Container-Sicherheitsempfehlungen

In diesem Artikel werden alle Containersicherheitsempfehlungen aufgeführt, die in Microsoft Defender for Cloud angezeigt werden.

Die Empfehlungen, die in Ihrer Umgebung angezeigt werden, basieren auf den Ressourcen, die Sie schützen und auf Ihrer angepassten Konfiguration. Sie können die Empfehlungen im Portal sehen, die für Ihre Ressourcen gelten.

Tip

Wenn eine Empfehlungsbeschreibung keine verwandte Richtlinie besagt, liegt dies in der Regel daran, dass diese Empfehlung von einer anderen Empfehlung abhängig ist.

Die Empfohlene Endpunktschutz-Integritätsfehler sollten beispielsweise behoben werden, indem empfohlen wird, dass überprüft wird, ob eine Endpunktschutzlösung installiert ist (Endpunktschutzlösung sollte installiert werden). Die zugrunde liegende Empfehlung verfügt über eine Richtlinie. Das Einschränken von Richtlinien auf grundlegende Empfehlungen vereinfacht die Richtlinienverwaltung.

Microsoft Defender for Cloud führt eine Sicherheitsrisikobewertung für Containerimages und das Ausführen von Containern in unterstützten Umgebungen durch. Die Ergebnisse werden in Defender for Cloud als individuelle Sicherheitsempfehlungen angezeigt, die basierend auf dem Cloudanbieter, dem Ressourcentyp (Containerregistrierungen oder dem Ausführen von Containern) und den aktivierten Defender-Plänen generiert werden. Anstatt sich auf einen festen Satz von Empfehlungen zu verlassen, wertet Defender for Cloud Containerarbeitslasten und -images dynamisch aus und stellt die relevanten Empfehlungen in der Empfehlungen-Erfahrung dar, wo sie basierend auf Risiko und Umfang gefiltert und priorisiert werden können. Mit diesem Ansatz wird sichergestellt, dass die Ergebnisse der Sicherheitsrisikobewertung genau und auf dem neuesten Stand bleiben, wenn neue Umgebungen, Bedrohungen und Funktionen eingeführt werden.

Empfehlungen für Azure Container

Azure Kubernetes-Cluster mit Arc-Unterstützung muss die Azure Policy-Erweiterung installiert sein.

Description: Azure Policy Erweiterung für Kubernetes erweitert Gatekeeper v3, ein Regler-Webhook für Open Policy Agent (OPA), um skalierte Erzwingungen und Sicherheitsvorkehrungen für Ihre Cluster zentral und einheitlich anzuwenden. (Keine zugehörige Richtlinie)

Schweregrad: Hoch

Typ: Steuerebene

Azure Arc-fähigen Kubernetes-Cluster sollten die Defender-Erweiterung installiert haben.

Description: Defenders Erweiterung für Azure Arc bietet Bedrohungsschutz für Ihre Arc-fähigen Kubernetes-Cluster. Die Erweiterung sammelt Daten von allen Steuerebenenknoten (Masterknoten) im Cluster und sendet sie zur weiteren Analyse an die Microsoft Defender für Container-Back-End. (Keine zugehörige Richtlinie)

Schweregrad: Hoch

Typ: Steuerebene

Azure Kubernetes Service Cluster sollten Defender-Profil aktiviert haben

Description: Microsoft Defender für Container bietet cloudeigene Kubernetes-Sicherheitsfunktionen, einschließlich Umgebungshärtung, Workloadschutz und Laufzeitschutz. Wenn Sie das SecurityProfile.AzureDefender-Profil auf Ihrem Azure Kubernetes Service-Cluster aktivieren, wird ein Agent für Ihren Cluster bereitgestellt, um Sicherheitsereignisdaten zu sammeln. Weitere Informationen finden Sie in Introduction to Microsoft Defender for Containers. (Keine zugehörige Richtlinie)

Schweregrad: Hoch

Typ: Steuerebene

Azure Kubernetes Service Cluster sollten das Azure Policy-Add-On für Kubernetes installiert haben.

Description: Azure Policy Add-On für Kubernetes erweitert Gatekeeper v3, ein Regler-Webhook für Open Policy Agent (OPA), um skalierte Erzwingungen und Garantien für Ihre Cluster auf eine zentralisierte und konsistente Weise anzuwenden. Für Defender für Cloud ist es erforderlich, dass das Add-On Sicherheitsfunktionen und Compliance in Ihren Clustern überwacht und erzwingt. Erfahren Sie mehr. Kubernetes v1.14.0 oder höher erforderlich. (Verwandte Richtlinie: Azure Policy-Add-On für Kubernetes-Dienst (AKS) sollte auf Ihren Clustern installiert und aktiviert werden).

Schweregrad: Hoch

Typ: Steuerebene

Azure Registrierungscontainerimages sollten Sicherheitsrisiken behoben haben (unterstützt von Microsoft Defender Vulnerability Management)

Beschreibung: Die Bewertung der Sicherheitsanfälligkeit des Containerimages überprüft Ihre Registrierung auf häufig bekannte Sicherheitsrisiken (CVEs) und bietet einen detaillierten Sicherheitsrisikobericht für jedes Image. Das Beheben von Sicherheitsrisiken kann Ihren Sicherheitsstatus erheblich verbessern und sicherstellen, dass Images vor der Bereitstellung gefahrlos verwendet werden können. (Verwandte Richtlinie: Vulnerabilities in Azure Container Registry Bildern sollten behoben werden).

Schweregrad: Hoch

Typ: Sicherheitsrisikobewertung

Azure ausführenden Containerimages sollten Sicherheitsrisiken behoben haben (unterstützt von Microsoft Defender Vulnerability Management)

Beschreibung: Die Bewertung der Sicherheitsanfälligkeit des Containerimages überprüft Ihre Registrierung auf häufig bekannte Sicherheitsrisiken (CVEs) und bietet einen detaillierten Sicherheitsrisikobericht für jedes Image. Diese Empfehlung bietet Sichtbarkeit für anfällige Images, die derzeit in Ihren Kubernetes-Clustern ausgeführt werden. Das Beheben von Schwachstellen in Container-Images, die derzeit ausgeführt werden, ist der Schlüssel zur Verbesserung Ihrer Sicherheitslage, wodurch die Angriffsoberfläche für Ihre Container-Workloads erheblich reduziert wird.

Schweregrad: Hoch

Typ: Sicherheitsrisikobewertung

Für Container müssen CPU- und Arbeitsspeicherlimits erzwungen werden

Beschreibung: Das Erzwingen von CPU- und Speichergrenzen verhindert Ressourcenausschöpfungsangriffe (eine Form des Denial-of-Service-Angriffs).

Es wird empfohlen, durch Grenzwerte für Container sicherzustellen, dass die Runtime den Container daran hindert, mehr als die konfigurierten Ressourcengrenzwerte zu verwenden.

(Verwandte Richtlinie: Stellen Sie sicher, dass die Grenzwerte für Die Container-CPU- und Arbeitsspeicherressourcen die angegebenen Grenzwerte im Kubernetes-Cluster nicht überschreiten).

Schweregrad: Mittel

Typ: Kubernetes-Datenebene

Containerimages dürfen nur aus vertrauenswürdigen Registrys bereitgestellt werden

Beschreibung: Bilder, die auf Ihrem Kubernetes-Cluster ausgeführt werden, sollten aus bekannten und überwachten Containerimageregistrierungen stammen. Vertrauenswürdige Registrierungen verringern das Risiko ihrer Clustergefährdung, indem das Potenzial für die Einführung unbekannter Sicherheitsrisiken, Sicherheitsprobleme und bösartiger Bilder eingeschränkt wird.

(Verwandte Richtlinie: Stellen Sie sicher, dass nur zulässige Containerimages im Kubernetes-Cluster zulässig sind).

Schweregrad: Hoch

Typ: Kubernetes-Datenebene

(Bei Bedarf aktivieren) Containerregistrierungen sollten mit einem vom Kunden verwalteten Schlüssel (CMK) verschlüsselt werden.

Beschreibung: Empfehlungen für die Verwendung von vom Kunden verwalteten Schlüsseln für die Verschlüsselung ruhender Daten werden standardmäßig nicht bewertet, stehen jedoch zur Verfügung, um entsprechende Szenarien zu aktivieren. Daten werden automatisch verschlüsselt, indem plattformseitig verwaltete Schlüssel verwendet werden. Daher sollten kundenseitig verwaltete Schlüssel nur angewendet werden, wenn dies aufgrund der Anforderungen von Konformitäts- oder restriktiven Richtlinien obligatorisch ist. Navigieren Sie zur Aktivierung dieser Empfehlung zu Ihrer Sicherheitsrichtlinie für den betreffenden Bereich, und aktualisieren Sie den Parameter Effect für die entsprechende Richtlinie, um die Verwendung von kundenseitig verwalteten Schlüsseln zu überwachen oder zu erzwingen. Weitere Informationen finden Sie unter Verwalten von Sicherheitsrichtlinien. Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung der Inhalte Ihrer Registrierungen im Ruhezustand zu verwalten. Standardmäßig werden die Daten im Ruhezustand mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel (Customer-Managed Key, CMK) sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. CMKs ermöglichen es, die Daten mit einem von Ihnen erstellten Azure Key Vault Schlüssel zu verschlüsseln. Sie haben volle Kontrolle und Verantwortung für den wichtigsten Lebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen zur CMK-Verschlüsselung finden Sie unter Übersicht über vom Kunden verwaltete Schlüssel. (Verwandte Richtlinie: Containerregistrierungen sollten mit einem vom Kunden verwalteten Schlüssel (CMK) verschlüsselt werden.

Schweregrad: Niedrig

Typ: Steuerebene

Containerregistrierungen dürfen keinen uneingeschränkten Netzwerkzugriff zulassen

Description: Azure Containerregistrierungen akzeptieren standardmäßig Verbindungen über das Internet von Hosts in einem beliebigen Netzwerk. Lassen Sie den Zugriff nur über bestimmte öffentliche IP-Adressen oder Adressbereiche zu, um Ihre Registrierungen vor potenziellen Bedrohungen zu schützen. Wenn Ihre Registrierung nicht über eine IP-/Firewallregel oder ein konfiguriertes virtuelles Netzwerk verfügt, wird sie unter den fehlerhaften Ressourcen aufgeführt. Weitere Informationen zu Containerregistrierungsnetzwerkregeln finden Sie unter Configure public IP network rules und Restrict access to a container registry using a service endpoint in an Azure virtual network. (Verwandte Richtlinie: Containerregistrierungen sollten keinen uneingeschränkten Netzwerkzugriff zulassen).

Schweregrad: Mittel

Typ: Steuerebene

Description: mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure Diensten ohne öffentliche IP-Adresse an der Quelle oder am Ziel verbinden. Auf der Private Link-Plattform wird die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk verarbeitet. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihren Containerregistrierungen zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter: https://aka.ms/acr/private-link. (Verwandte Richtlinie: Containerregistrierungen sollten einen privaten Link verwenden).

Schweregrad: Mittel

Typ: Steuerebene

Container, die sensible Host-Namespaces gemeinsam nutzen, sollten vermieden werden

Beschreibung: Vermeiden Sie den Pod-Zugriff auf vertrauliche Hostnamespaces (Hostprozess-ID und Host-IPC) in einem Kubernetes-Cluster, um vor einer Berechtigungseskalation außerhalb des Containers zu schützen. (Verwandte Richtlinie: Kubernetes-Clustercontainer sollten keine Hostprozess-ID oder Host-IPC-Namespace freigeben).

Schweregrad: Mittel

Typ: Kubernetes-Datenebene

Container mit Rechteausweitung müssen vermieden werden

Beschreibung: Container sollten nicht mit Berechtigungseskalation ausgeführt werden, um in Ihrem Kubernetes-Cluster zu rooten. Das AllowPrivilegeEscalation-Attribut steuert, ob ein Prozess mehr Berechtigungen als der übergeordnete Prozess erhalten kann. (Verwandte Richtlinie: Kubernetes-Cluster sollten keine Eskalation der Containerberechtigungen zulassen).

Schweregrad: Mittel

Typ: Kubernetes-Datenebene

Diagnoseprotokolle in Kubernetes-Diensten sollten aktiviert sein.

Beschreibung: Aktivieren Sie Diagnoseprotokolle in Ihren Kubernetes-Diensten, und behalten Sie sie bis zu einem Jahr bei. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn Sie Sicherheitsincidents untersuchen. (Keine zugehörige Richtlinie)

Schweregrad: Niedrig

Typ: Steuerebene

Unveränderliches (schreibgeschütztes) Stammdateisystem für Container erzwingen

Beschreibung: Container sollten mit einem schreibgeschützten Stammdateisystem in Ihrem Kubernetes-Cluster ausgeführt werden. Ein unveränderliches Dateisystem schützt Container vor Änderungen zur Laufzeit, wenn im PATH schädliche Binärdateien hinzugefügt werden. (Verwandte Richtlinie: Kubernetes-Clustercontainer sollten mit einem schreibgeschützten Stammdateisystem ausgeführt werden).

Schweregrad: Mittel

Typ: Kubernetes-Datenebene

Kubernetes-API-Server muss mit eingeschränktem Zugriff konfiguriert werden

Beschreibung: Um sicherzustellen, dass nur Anwendungen von zulässigen Netzwerken, Computern oder Subnetzen auf Ihren Cluster zugreifen können, beschränken Sie den Zugriff auf Ihren Kubernetes-API-Server. Sie können den Zugriff einschränken, indem Sie autorisierte IP-Bereiche definieren oder Ihre API-Server wie in Create a private Azure Kubernetes Service cluster. (Verwandte Richtlinie: Autorisierte IP-Bereiche sollten für Kubernetes-Dienste definiert werden).

Schweregrad: Hoch

Typ: Steuerebene

Auf Kubernetes-Cluster sollte nur über HTTPS zugegriffen werden können.

Beschreibung: Die Verwendung von HTTPS stellt die Authentifizierung sicher und schützt Daten während der Übertragung vor Lauschangriffen auf Netzwerkebene. Diese Funktion ist derzeit allgemein für Kubernetes Service (AKS) und in der Vorschau für AKS Engine und Azure Arc-fähige Kubernetes verfügbar. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc (verwandte Richtlinie: Erzwingen des HTTPS-Eingangs im Kubernetes-Cluster).

Schweregrad: Hoch

Typ: Kubernetes-Datenebene

Kubernetes-Cluster sollten das automatische Einhängen von API-Anmeldeinformationen deaktivieren

Beschreibung: Deaktivieren Sie die Anmeldeinformationen für die automatische Bereitstellung von APIs, um zu verhindern, dass eine potenziell kompromittierte Pod-Ressource API-Befehle für Kubernetes-Cluster ausführt. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. (Verwandte Richtlinie: Kubernetes-Cluster sollten api-Anmeldeinformationen für die automatische Bereitstellung deaktivieren).

Schweregrad: Hoch

Typ: Kubernetes-Datenebene

Kubernetes-Cluster dürfen nicht den Standardnamespace verwenden

Beschreibung: Verhindern Sie die Verwendung des Standardnamespaces in Kubernetes-Clustern, um vor unbefugtem Zugriff für Die Ressourcentypen ConfigMap, Pod, Secret, Service und ServiceAccount zu schützen. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. (Verwandte Richtlinie: Kubernetes-Cluster sollten nicht den Standardnamespace verwenden).

Schweregrad: Niedrig

Typ: Kubernetes-Datenebene

Linux-Funktionen mit den niedrigsten Berechtigungen für Container erzwingen

Beschreibung: Um die Angriffsfläche Ihres Containers zu reduzieren, beschränken Sie Linux-Funktionen, und gewähren Sie Containern bestimmte Berechtigungen, ohne alle Berechtigungen des Stammbenutzers zu gewähren. Es wird empfohlen, alle Funktionen zu löschen und dann diejenigen hinzuzufügen, die erforderlich sind (verwandte Richtlinie: Kubernetes-Clustercontainer sollten nur zulässige Funktionen verwenden).

Schweregrad: Mittel

Typ: Kubernetes-Datenebene

Microsoft Defender für Container sollte aktiviert sein

Description: Microsoft Defender für Container bietet Härtung, Sicherheitsrisikobewertung und Laufzeitschutz für Ihre Azure-, Hybrid- und Multicloud Kubernetes-Umgebungen. Sie können diese Informationen verwenden, um Sicherheitsprobleme schnell zu beheben und die Sicherheit Ihrer Container zu verbessern.

Wenn Sie diese Empfehlung umsetzen, fallen Gebühren für den Schutz Ihrer Kubernetes-Cluster an. Es fallen keine Gebühren an, falls Sie in diesem Abonnement nicht über Kubernetes-Cluster verfügen. Wenn Sie in diesem Abonnement Kubernetes-Cluster erstellen, werden diese automatisch geschützt, und die Abrechnung der Gebühren beginnt ab diesem Zeitpunkt. Weitere Informationen finden Sie in Introduction to Microsoft Defender for Containers. (Keine zugehörige Richtlinie)

Schweregrad: Hoch

Typ: Steuerebene

Privilegierte Container müssen vermieden werden

Beschreibung: Um uneingeschränkten Hostzugriff zu verhindern, vermeiden Sie nach Möglichkeit privilegierte Container.

Privilegierte Container verfügen über alle Stammfunktionen eines Hostcomputers. Sie können als Einstiegspunkte für Angriffe verwendet werden und bösartigen Code oder Schadsoftware auf kompromittierte Anwendungen, Hosts und Netzwerke verbreiten. (Verwandte Richtlinie: Privilegierte Container im Kubernetes-Cluster nicht zulassen).

Schweregrad: Mittel

Typ: Kubernetes-Datenebene

Role-Based Access Control sollte auf Kubernetes Services verwendet werden

Description: Verwenden Sie Role-Based Access Control (RBAC), um Berechtigungen in Kubernetes-Dienstclustern zu verwalten und relevante Autorisierungsrichtlinien zu konfigurieren. (Verwandte Richtlinie: Role-Based Access Control (RBAC) sollte für Kubernetes Services) verwendet werden.

Schweregrad: Hoch

Typ: Steuerebene

Das Ausführen von Containern als Root-Benutzer muss vermieden werden

Beschreibung: Container sollten nicht als Stammbenutzer in Ihrem Kubernetes-Cluster ausgeführt werden. Wenn Sie einen Prozess als Root-Benutzer in einem Container ausführen, wird dieser als Root auf dem Host ausgeführt. Bei einer Gefährdung hat ein Angreifer Root-Zugriff im Container, und etwaige Fehlkonfigurationen können einfacher ausgenutzt werden. (Verwandte Richtlinie: Kubernetes-Cluster-Pods und -Container sollten nur mit genehmigten Benutzer- und Gruppen-IDs ausgeführt werden).

Schweregrad: Hoch

Typ: Kubernetes-Datenebene

Upgrade Azure Kubernetes Service, um Sicherheitsrisiken von AKS-System pods zu entfernen

Typ: Upgrade Azure Kubernetes Service Version

Description: Defender for Cloud scannt AKS-verwaltete System pods auf bekannte Sicherheitsanfälligkeiten (CVEs). Wenn Sicherheitsrisiken erkannt werden, identifiziert diese Empfehlung das minimale AKS-Versionsupgrade, das jedes CVE behebt, wodurch Sie einen klaren und umsetzbaren Wartungspfad erhalten. Diese Empfehlung gilt für System pods, die von AKS verwaltet werden, nicht auf Kundenarbeitslasten. Für jeden CVE werden in der Empfehlung CVSS-Bewertung und die Mindestversion von AKS aufgeführt, die den Fix enthält. (Keine zugehörige Richtlinie)

Schweregrad: Hoch

Typ: Sicherheitsrisikobewertung

Empfehlungen für AWS-Container

Artefaktverschlüsselung sollte für CodeBuild-Projekte aktiviert sein

Description: Defender for Cloud identifizierte unverschlüsselte Buildartefakte in AWS CodeBuild-Projekten, die die Ausgabe in Amazon S3 speichern. Buildartefakte sind Dateien, die während eines Builds erstellt werden, z. B. Pakete, Binärdateien und Berichte. Wenn die Artefaktverschlüsselung deaktiviert ist, kann die Ausgabe vertraulicher Builds für nicht autorisierten Zugriff oder die Offenlegung verfügbar gemacht werden.

Schweregrad: Mittel

AWS-Registrierungscontainerimages sollten Sicherheitsrisiken behoben haben

Beschreibung: Überprüft Ihre AWS-Registrierungscontainerimages auf häufig bekannte Sicherheitsrisiken (CVEs) und stellt einen detaillierten Sicherheitsrisikobericht für jedes Image bereit. Das Beheben von Sicherheitsrisiken kann Ihren Sicherheitsstatus erheblich verbessern und sicherstellen, dass Images vor der Bereitstellung gefahrlos verwendet werden können.

Schweregrad: Hoch

Typ: Sicherheitsrisikobewertung

AWS-Ausgeführte Containerimages sollten Sicherheitsrisiken behoben haben

Beschreibung: Die Bewertung der Sicherheitsanfälligkeit des Containerimages überprüft Ihre Registrierung auf häufig bekannte Sicherheitsrisiken (CVEs) und bietet einen detaillierten Sicherheitsrisikobericht für jedes Image. Diese Empfehlung bietet Sichtbarkeit für risikobehaftete Images, die derzeit in Ihren Elastic Kubernetes-Clustern ausgeführt werden. Das Beheben von Schwachstellen in Container-Images, die derzeit ausgeführt werden, ist der Schlüssel zur Verbesserung Ihrer Sicherheitslage, wodurch die Angriffsoberfläche für Ihre Container-Workloads erheblich reduziert wird.

Schweregrad: Hoch

Typ: Sicherheitsrisikobewertung

EKS-Cluster sollten die erforderlichen AWS-Berechtigungen für Microsoft Defender for Cloud

Description: Microsoft Defender für Container bietet Schutzfunktionen für Ihre EKS-Cluster. Um Ihren Cluster auf Sicherheitsrisiken und Bedrohungen zu überwachen, benötigt Defender für Container Berechtigungen für Ihr AWS-Konto. Diese Berechtigungen werden verwendet, um die Kubernetes-Steuerungsebenenprotokollierung in Ihrem Cluster zu aktivieren und eine zuverlässige Pipeline zwischen Ihrem Cluster und Defender für Cloud-Back-End in der Cloud einzurichten. Erfahren Sie mehr über die Sicherheitsfeatures von Microsoft Defender for Cloud für containerisierte Umgebungen.

Schweregrad: Hoch

EKS-Cluster sollten Microsoft Defender Erweiterung für Azure Arc installiert haben

Description: Microsoft Defender cluster-Erweiterung bietet Sicherheitsfunktionen für Ihre EKS-Cluster. Die Erweiterung sammelt Daten aus einem Cluster und seinen Knoten, um Sicherheitsrisiken und Bedrohungen zu identifizieren. Die Erweiterung funktioniert mit Azure Arc-enabled Kubernetes. Erfahren Sie mehr über die Sicherheitsfeatures von Microsoft Defender for Cloud für containerisierte Umgebungen.

Schweregrad: Hoch

Microsoft Defender für Container sollte für AWS-Connectors aktiviert sein

Description: Microsoft Defender für Container bietet Echtzeit-Bedrohungsschutz für containerisierte Umgebungen und generiert Warnungen zu verdächtigen Aktivitäten. Verwenden Sie diese Informationen, um die Sicherheit von Kubernetes-Clustern zu erhöhen und Sicherheitsprobleme zu beheben.

Wenn Sie Microsoft Defender für Container aktivieren und Azure Arc in Ihren EKS-Clustern bereitstellen, beginnen die Schutzmaßnahmen und Gebühren. Wenn Sie Azure Arc nicht auf einem Cluster bereitstellen, schützt Defender für Container sie nicht, und für diesen Microsoft Defender Plan für diesen Cluster entstehen keine Gebühren.

Schweregrad: Hoch

Privileged mode should be disabled on CodeBuild projects

Description: Defender for Cloud identifizierten aktivierten privilegierten Modus in AWS CodeBuild-Projektumgebungen. Der privilegierte Modus ermöglicht dem Buildcontainer umfassenderen Zugriff auf den Host und die Docker-Laufzeit. Dies stellt ein Risiko einer Berechtigungseskalation und eines nicht autorisierten Zugriffs dar, wenn ein Buildprozess oder eine Abhängigkeit kompromittiert wird.

Schweregrad: Mittel

Sicheres SSL sollte für CodeBuild-Quellverbindungen aktiviert sein

Description: Defender for Cloud identifizierte unsichere SSL-Einstellungen in AWS CodeBuild-Quellverbindungen. SSL schützt zwischen CodeBuild und dem Quell-Repository ausgetauschte Daten, indem die Verbindung verschlüsselt und der Remoteendpunkt überprüft wird. Dies stellt ein Risiko für die Abfangen oder Manipulation von Quellcode dar, wenn der verschlüsselte Transport nicht erzwungen wird.

Schweregrad: Mittel

Die Quellanbieterauthentifizierung sollte für CodeBuild-Projekte aktiviert sein

Description: Defender for Cloud fehlende Quellanbieterauthentifizierung in AWS CodeBuild-Projekten identifiziert, die eine Verbindung mit externen Quellrepositorys herstellen. Die Quellanbieterauthentifizierung überprüft, ob CodeBuild mithilfe einer genehmigten Verbindung oder Anmeldeinformationen auf das Repository zugreift. Dies stellt ein Risiko eines nicht autorisierten Repositoryzugriffs und einer Gefährdung des Quellcodes dar, wenn der Zugriff auf ein privates Repository nicht ordnungsgemäß gesteuert wird. Für öffentliche Repositorys ist diese Einstellung nicht erforderlich.

Schweregrad: Mittel

Empfehlungen auf Datenebene

Alle sicherheitsrelevanten Kubernetes Sicherheitsempfehlungen werden für AWS unterstützt, nachdem Sie enable Azure Policy für Kubernetes.

Empfehlungen für GCP-Container

Die erweiterte Konfiguration von Defender for Containers sollte für GCP-Connectors aktiviert sein.

Description: Microsoft Defender für Container bietet cloudeigene Kubernetes-Sicherheitsfunktionen, einschließlich Umgebungshärtung, Workloadschutz und Laufzeitschutz. Um sicherzustellen, dass die Lösung ordnungsgemäß bereitgestellt wird und alle Berechtigungen verfügbar sind, aktivieren Sie alle erweiterten Konfigurationseinstellungen.

Schweregrad: Hoch

GCP-Registrierungscontainerimages sollten Sicherheitsrisiken behoben haben

Beschreibung: Überprüft Ihre GCP-Containerimages auf häufig bekannte Sicherheitsrisiken (CVEs) und stellt einen detaillierten Sicherheitsrisikobericht für jedes Image bereit. Das Beheben von Sicherheitsrisiken kann Ihren Sicherheitsstatus erheblich verbessern und sicherstellen, dass Images vor der Bereitstellung gefahrlos verwendet werden können.

Schweregrad: Hoch

Typ: Sicherheitsrisikobewertung

GCP-Ausgeführte Containerimages sollten Sicherheitsrisiken behoben haben

Beschreibung: Die Bewertung der Sicherheitsanfälligkeit des Containerimages überprüft Ihre Registrierung auf häufig bekannte Sicherheitsrisiken (CVEs) und bietet einen detaillierten Sicherheitsrisikobericht für jedes Image. Diese Empfehlung bietet Sichtbarkeit für anfällige Images, die derzeit in Ihren Google Kubernetes-Clustern ausgeführt werden. Das Beheben von Schwachstellen in Container-Images, die derzeit ausgeführt werden, ist der Schlüssel zur Verbesserung Ihrer Sicherheitslage, wodurch die Angriffsoberfläche für Ihre Container-Workloads erheblich reduziert wird.

Schweregrad: Hoch

Typ: Sicherheitsrisikobewertung

GKE-Cluster sollten die Erweiterung Microsoft Defender für Azure Arc installiert haben.

Description: Microsoft Defender clustererweiterung bietet Sicherheitsfunktionen für Ihre GKE-Cluster. Die Erweiterung sammelt Daten aus einem Cluster und seinen Knoten, um Sicherheitsrisiken und Bedrohungen zu identifizieren. Die Erweiterung funktioniert mit Azure Arc-enabled Kubernetes. Erfahren Sie mehr über die Sicherheitsfeatures von Microsoft Defender for Cloud für containerisierte Umgebungen.

Schweregrad: Hoch

GKE-Cluster sollten die Azure Policy Erweiterung installiert haben

Description: Azure Policy Erweiterung für Kubernetes erweitert Gatekeeper v3, ein Regler-Webhook für Open Policy Agent (OPA), um skalierte Erzwingungen und Sicherheitsvorkehrungen für Ihre Cluster zentral und einheitlich anzuwenden. Die Erweiterung funktioniert mit Azure Arc-enabled Kubernetes.

Schweregrad: Hoch

Microsoft Defender für Container sollte für GCP-Connectors aktiviert sein

Description: Microsoft Defender für Container bietet cloudeigene Kubernetes-Sicherheitsfunktionen, einschließlich Umgebungshärtung, Workloadschutz und Laufzeitschutz. Aktivieren Sie den Containerplan für Ihren GCP-Connector, um die Sicherheit von Kubernetes-Clustern zu erhöhen und Sicherheitsprobleme zu verringern. Erfahren Sie mehr über Microsoft Defender für Container.

Schweregrad: Hoch

Das Feature für die automatische Reparatur des GKE-Clusters sollte aktiviert sein.

Beschreibung: Diese Empfehlung wertet die Verwaltungseigenschaft eines Knotenpools für das Schlüsselwertpaar aus. key: autoRepair, value: true

Schweregrad: Mittel

Das Feature für das automatische Upgrade des GKE-Clusters sollte aktiviert sein.

Beschreibung: Diese Empfehlung wertet die Verwaltungseigenschaft eines Knotenpools für das Schlüsselwertpaar aus. key: autoUpgrade, value: true

Schweregrad: Hoch

Die Überwachung auf GKE-Clustern sollte aktiviert sein.

Beschreibung: Diese Empfehlung wertet aus, ob die monitoringService-Eigenschaft eines Clusters die Standort-Cloudüberwachung enthält, die zum Schreiben von Metriken verwendet werden soll.

Schweregrad: Mittel

Die Protokollierung für GKE-Cluster sollte aktiviert sein.

Beschreibung: Diese Empfehlung wertet aus, ob die loggingService-Eigenschaft eines Clusters die Speicherort-Cloudprotokollierung zum Schreiben von Protokollen enthält.

Schweregrad: Hoch

Das GKE-Webdashboard sollte deaktiviert sein.

Beschreibung: Diese Empfehlung wertet das KubernetesDashboard-Feld der AddonsConfig-Eigenschaft für das Schlüsselwertpaar "disabled": false aus.

Schweregrad: Hoch

Die Legacy-Autorisierung sollte in GKE-Clustern deaktiviert werden.

Beschreibung: Diese Empfehlung wertet die LegacyAbac-Eigenschaft eines Clusters für das Schlüsselwertpaar "enabled": true aus.

Schweregrad: Hoch

Die Steuerungsebene autorisierter Netzwerke sollte für GKE-Cluster aktiviert sein.

Beschreibung: Diese Empfehlung wertet die masterAuthorizedNetworksConfig-Eigenschaft eines Clusters für das Schlüsselwertpaar "enabled": false aus.

Schweregrad: Hoch

Für GKE-Cluster sollten Alias-IP-Bereiche aktiviert sein.

Beschreibung: Diese Empfehlung wertet aus, ob das useIPAliases-Feld der ipAllocationPolicy in einem Cluster auf "false" festgelegt ist.

Schweregrad: Niedrig

Für GKE-Cluster sollten private Cluster aktiviert sein.

Beschreibung: Diese Empfehlung wertet aus, ob das EnablePrivateNodes-Feld der privateClusterConfig-Eigenschaft auf "false" festgelegt ist.

Schweregrad: Hoch

Die Netzwerkrichtlinie sollte auf GKE-Clustern aktiviert sein.

Beschreibung: Diese Empfehlung wertet das NetworkPolicy-Feld der AddonsConfig-Eigenschaft für das Schlüsselwertpaar "disabled" aus: true.

Schweregrad: Mittel

Empfehlungen auf Datenebene

Alle sicherheitsrelevanten Empfehlungen für Kubernetes werden für GCP unterstützt, nachdem Sie enable Azure Policy für Kubernetes.

Empfehlungen für externe Containerregistrierungen

Containerimages in Docker Hub Registrierung sollten Sicherheitsrisiken behoben haben

Beschreibung: Defender für Cloud überprüft Ihre Registrierungsimages auf bekannte Sicherheitsrisiken (CVEs) und stellt detaillierte Ergebnisse für jedes gescannte Bild bereit. Das Beheben von Sicherheitsrisiken in Containerimages trägt dazu bei, eine sichere und zuverlässige Software-Lieferkette aufrechtzuerhalten, das Risiko von Sicherheitsvorfällen zu verringern und die Einhaltung der Branchenstandards sicherzustellen."

Schweregrad: Hoch

Typ: Sicherheitsrisikobewertung

[Vorschau] Containerimages in der Jfrog Artifactory-Registrierung sollten Sicherheitsrisiken behoben haben

Beschreibung: Defender für Cloud überprüft Ihre Registrierungsimages auf bekannte Sicherheitsrisiken (CVEs) und stellt detaillierte Ergebnisse für jedes gescannte Bild bereit. Das Beheben von Sicherheitsrisiken in Containerimages trägt dazu bei, eine sichere und zuverlässige Software-Lieferkette aufrechtzuerhalten, das Risiko von Sicherheitsvorfällen zu verringern und die Einhaltung von Branchenstandards sicherzustellen.",

Schweregrad: Hoch

Typ: Sicherheitsrisikobewertung

AWS Batchauftragsdefinitionen sollten keine Container im privilegierten Modus ausführen

Beschreibung: Das Ausführen von Containern im privilegierten Modus gewährt ihnen erhöhten Zugriff auf das Hostsystem, um Containerisolationssteuerelemente effektiv zu umgehen. Dadurch wird das Risiko von Hostkompromittierung, unbefugtem Zugriff auf sensible Ressourcen und lateraler Bewegung innerhalb der Umgebung erheblich erhöht. Durch das Deaktivieren des privilegierten Modus wird das Prinzip der geringsten Berechtigungen erzwungen und die Auswirkungen von kompromittierten oder schädlichen Containerarbeitslasten reduziert.

Schweregrad: Hoch

AWS Batchauftragsdefinitionen sollten ein schreibgeschütztes Stammdateisystem verwenden.

Beschreibung: Die Ausführung von Containern mit einem beschreibbaren Stammdateisystem erhöht das Risiko einer nicht autorisierten Änderung von Systembinärdateien, Konfigurationsdateien und Laufzeitartefakten. Dies schwächt die Unveränderlichkeit von Containern und ermöglicht Persistenz, Schadsoftwareinstallation und Ausweichtechniken im Falle eines Containerkompromittierungs. Durch das Erzwingen eines schreibgeschützten Stammdateisystems wird die Workloadisolation gestärkt und der Strahlradius von Sicherheitsvorfällen begrenzt.

Schweregrad: Mittel

Schreibgeschütztes Stammdateisystem sollte für ECS-Container aktiviert sein

Beschreibung: Defender für Cloud identifizierte ECS-Aufgabendefinitionen mit beschreibbaren Stammdateisystemen. Diese Konfiguration stellt ein Risiko dar, indem Laufzeitänderungen an kritischen Systempfaden ermöglicht werden, wodurch manipulationsfähige Änderungen, Persistenz von nicht autorisierten Änderungen und die Nutzung von veränderbaren Verzeichnissen möglich sind. Ein schreibgeschütztes Stammdateisystem schränkt diese Risiken ein, indem Änderungen während der Containerausführung verhindert und an unveränderliche Infrastruktur und am wenigsten bewährte Methoden für Berechtigungen angepasst werden.

Schweregrad: Mittel

Geheime Schlüssel sollten für Container konfiguriert werden, um die Verwendung vertraulicher Nur-Text-Umgebungsvariablen zu verhindern.

Beschreibung: Defender für Cloud identifizierte Nur-Text-Umgebungsvariablen in Ihren ECS-Aufgabendefinitionen. Dieses Problem tritt auf, wenn vertrauliche Informationen wie Anmeldeinformationen, Token oder Schlüssel direkt in Containerkonfigurationen gespeichert werden und nicht mithilfe von geheimen Schlüsseln gesichert werden. Nur-Text-Variablen können von jedem internen Prozess oder versehentlich protokolliert werden, wodurch das Risiko eines unbefugten Zugriffs und geheimer Lecks erhöht wird.

Schweregrad: Hoch

Sichere Netzwerkmodi sollten für ECS-Aufgabendefinitionen aktiviert sein

Beschreibung: Defender für Cloud identifizierte unsichere Netzwerkkonfigurationen in Ihren ECS-Aufgabendefinitionen. Die Bewertung stellte fest, dass Fargate-Aufgaben die awsvpc mode-allocating dedizierten elastischen Netzwerkschnittstellen und Sicherheitsgruppengrenzen verwenden müssen und dass EC2-Aufgaben Host- oder keine Modi vermeiden sollten, die containerisolation umgehen. Ohne sichere Modi haben Aufgaben die Belastung durch laterale Bewegungen und andere Netzwerkrisiken erhöht, was die Arbeitsauslastungsisolation potenziell beeinträchtigt.

Schweregrad: Mittel

Die Transitverschlüsselung sollte für ECS-Aufgabendefinitionen mithilfe von EFS aktiviert werden.

Beschreibung: Defender für Cloud identifizierte ECS-Aufgabendefinitionen, die Amazon EFS-Dateisysteme ohne Transitverschlüsselung einbinden. Die Übertragung der Verschlüsselung sichert Daten, die zwischen Ihren ECS-Aufgaben und EFS-Bereitstellungszielen reisen, indem sie während der Übertragung verschlüsselt werden, wodurch das Risiko einer netzwerkbasierten Abfangen innerhalb Ihres GERÄTS minimiert wird. Ohne sie werden vertrauliche Daten potenziellem unbefugtem Zugriff ausgesetzt. Durch aktivieren der Transitverschlüsselung wird sichergestellt, dass Daten bei der Übertragung angemessen geschützt sind.

Schweregrad: Mittel