Recomendações de segurança de contêiner

Este artigo lista todas as recomendações de segurança de contentores que pode encontrar no Microsoft Defender para a Cloud.

As recomendações que aparecem em seu ambiente são baseadas nos recursos que você está protegendo e em sua configuração personalizada. Pode ver as recomendações no portal que se aplicam aos seus recursos.

Dica

Se uma descrição de recomendação diz Nenhuma política relacionada, geralmente é porque essa recomendação depende de uma recomendação diferente.

Por exemplo, a recomendação Falhas de integridade do endpoint protection devem ser corrigidas baseia-se na recomendação de que verifica se uma solução de endpoint protection está instalada (a solução Endpoint protection deve ser instalada). A recomendação subjacente tem uma política. Limitar as políticas apenas a recomendações fundamentais simplifica o gerenciamento de políticas.

O Microsoft Defender para a Cloud realiza avaliações de vulnerabilidades para imagens de contentores e para a execução de containers em ambientes suportados. As conclusões surgem como recomendações individuais de segurança no Defender para a Cloud, geradas com base no fornecedor da cloud, tipo de recurso (registos de contentores ou containers em execução) e nos planos do Defender ativados. Em vez de depender de um conjunto fixo de recomendações, o Defender para a Cloud avalia dinamicamente cargas de trabalho e imagens de contentores e apresenta as recomendações relevantes na experiência de Recomendações, onde podem ser filtradas e priorizadas com base no risco e no âmbito. Esta abordagem assegura que os resultados das avaliações de vulnerabilidades permanecem precisos e atualizados à medida que novos ambientes, ameaças e capacidades são introduzidos.

Azure Container recomendações

Os clusters Kubernetes habilitados pelo Azure Arc devem ter a extensão Azure Policy instalada

Description: Azure Policy extensão para Kubernetes estende Gatekeeper v3, um webhook de controladores de admissão para Open Policy Agent (OPA), para aplicar aplicações e salvaguardas em larga escala nos seus clusters de forma centralizada e consistente. (Nenhuma política relacionada)

Gravidade: Alta

Tipo: Plano de controlo

Clusters Kubernetes habilitados pelo Azure Arc devem ter a extensão Defender instalada

Description: A extensão do Defender para Azure Arc oferece proteção contra ameaças para os seus clusters Kubernetes com Arc. A extensão recolhe dados de todos os nós do plano de controlo (mestre) do cluster e envia-os para o Microsoft Defender para o backend dos Containers na cloud para análise adicional. (Nenhuma política relacionada)

Gravidade: Alta

Tipo: Plano de controlo

Azure Kubernetes Service clusters devem ter o perfil Defender ativado

Description: O Microsoft Defender for Containers fornece capacidades de segurança nativas na cloud do Kubernetes, incluindo reforço do ambiente, proteção de carga de trabalho e proteção em tempo de execução. Quando ativa o perfil SecurityProfile.AzureDefender no seu cluster Azure Kubernetes Service, um agente é implementado no seu cluster para recolher dados de eventos de segurança. Saiba mais em Introdução à Microsoft Defender para Contentores. (Nenhuma política relacionada)

Gravidade: Alta

Tipo: Plano de controlo

Azure Kubernetes Service clusters devem ter instalado o add-on Azure Policy for Kubernetes

Description: Azure Policy complemento para Kubernetes estende o Gatekeeper v3, um webhook de controladores de admissão para Open Policy Agent (OPA), para aplicar aplicações e salvaguardas em larga escala nos seus clusters de forma centralizada e consistente. O Defender para a Cloud requer o complemento para auditar e aplicar recursos de segurança e conformidade dentro de seus clusters. Saiba mais. Requer Kubernetes v1.14.0 ou posterior. (Política relacionada: Azure Policy O complemento para serviço Kubernetes (AKS) deve estar instalado e ativado nos seus clusters).

Gravidade: Alta

Tipo: Plano de controlo

As imagens do contentor do registo Azure devem ter vulnerabilidades resolvidas (alimentado pelo Gestão de vulnerabilidades do Microsoft Defender)

Descrição: A avaliação da vulnerabilidade da imagem do contentor analisa o seu registo à procura de vulnerabilidades mais conhecidas (CVEs) e fornece um relatório detalhado de vulnerabilidades para cada imagem. A resolução de vulnerabilidades pode melhorar muito sua postura de segurança, garantindo que as imagens sejam seguras para uso antes da implantação. (Política relacionada: Vulnerabilidades em imagens Azure Container Registry devem ser corrigidas).

Gravidade: Alta

Tipo: Avaliação de Vulnerabilidades

Imagens de contentores a correr no Azure devem ter vulnerabilidades resolvidas (alimentado pelo Gestão de vulnerabilidades do Microsoft Defender)

Descrição: A avaliação da vulnerabilidade da imagem do contentor analisa o seu registo à procura de vulnerabilidades mais conhecidas (CVEs) e fornece um relatório detalhado de vulnerabilidades para cada imagem. Essa recomendação fornece visibilidade para imagens vulneráveis atualmente em execução em seus clusters Kubernetes. Corrigir vulnerabilidades em imagens de contêiner que estão em execução no momento é fundamental para melhorar sua postura de segurança, reduzindo significativamente a superfície de ataque para suas cargas de trabalho conteinerizadas.

Gravidade: Alta

Tipo: Avaliação de Vulnerabilidades

Os limites de CPU e memória do contêiner devem ser impostos

Descrição: A aplicação de limites de CPU e memória previne ataques de esgotamento de recursos (uma forma de ataque de negação de serviço).

Recomendamos definir limites para contêineres para garantir que o tempo de execução impeça que o contêiner use mais do que o limite de recursos configurado.

(Política relacionada: Garantir que os limites de CPU e memória do contentor não excedam os limites especificados no cluster Kubernetes).

Gravidade: Média

Tipo: Plano de dados Kubernetes

As imagens de contenedor devem ser desplegadas apenas a partir de registos confiáveis

Descrição: As imagens a correr no seu cluster Kubernetes devem vir de registos de imagens de contentores conhecidos e monitorizados. Os registos fidedignos reduzem o risco de exposição do cluster, limitando o potencial de introdução de vulnerabilidades desconhecidas, problemas de segurança e imagens maliciosas.

(Política relacionada: Garantir que apenas imagens de contentor permitidas no cluster Kubernetes).

Gravidade: Alta

Tipo: Plano de dados Kubernetes

(Ativar, se necessário) Os registros de contêiner devem ser criptografados com uma chave gerenciada pelo cliente (CMK)

Descrição: as recomendações para usar chaves gerenciadas pelo cliente para criptografia de dados em repouso não são avaliadas por padrão, mas estão disponíveis para habilitação para cenários aplicáveis. Os dados são criptografados automaticamente usando chaves gerenciadas pela plataforma, portanto, o uso de chaves gerenciadas pelo cliente só deve ser aplicado quando exigido por requisitos de conformidade ou políticas restritivas. Para habilitar essa recomendação, navegue até sua Política de Segurança para obter o escopo aplicável e atualize o parâmetro Effect para a política correspondente para auditar ou impor o uso de chaves gerenciadas pelo cliente. Saiba mais em Gerir políticas de segurança. Use chaves gerenciadas pelo cliente para gerenciar a criptografia no restante do conteúdo de seus registros. Por padrão, os dados são criptografados em repouso com chaves gerenciadas por serviço, mas as chaves gerenciadas pelo cliente (CMK) geralmente são necessárias para atender aos padrões de conformidade regulamentar. Os CMKs permitem que os dados sejam encriptados com uma chave do Azure Key Vault criada e propriedade sua. Você tem total controle e responsabilidade pelo ciclo de vida das chaves, incluindo a rotação e o gerenciamento. Saiba mais sobre encriptação CMK na Visão Geral das chaves geridas pelo cliente. (Política relacionada: Os registos de contentores devem ser encriptados com uma chave gerida pelo cliente (CMK)).

Gravidade: Baixa

Tipo: Plano de controlo

Os registos de contentores não devem permitir o acesso irrestrito à rede

Description: Azure registos de contentores aceitam por defeito ligações via internet a partir de hosts em qualquer rede. Para proteger os seus registos de potenciais ameaças, permita o acesso apenas a partir de endereços IP públicos específicos ou intervalos de endereços. Se o seu registro não tiver uma regra de IP/firewall ou uma rede virtual configurada, ela aparecerá nos recursos não íntegros. Saiba mais sobre as regras de rede do Registo de Contentores em Configurar regras de rede IP pública e Restringir o acesso a um registo de contentores usando um endpoint de serviço numa rede virtual Azure. (Política relacionada: Os registos de contentores não devem permitir acesso irrestrito à rede).

Gravidade: Média

Tipo: Plano de controlo

Description: Azure Private Link permite ligar a sua rede virtual a Azure serviços sem um endereço IP público na origem ou destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seus registros de contêiner em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/acr/private-link. (Política relacionada: Os registos de contentores devem usar ligação privada).

Gravidade: Média

Tipo: Plano de controlo

Contêineres que compartilham namespaces de host confidenciais devem ser evitados

Descrição: Para proteger contra escalonamento de privilégios fora do contentor, evite o acesso pod a namespaces sensíveis do host (ID do processo do host e IPC do host) num cluster Kubernetes. (Política relacionada: Os contentores do cluster Kubernetes não devem partilhar o ID do processo do host nem o namespace IPC do host).

Gravidade: Média

Tipo: Plano de dados Kubernetes

Contêiner com escalonamento de privilégios deve ser evitado

Descrição: Os containers não devem correr com escalamento de privilégios para root no teu cluster Kubernetes. O atributo AllowPrivilegeEscalation controla se um processo pode obter mais privilégios do que seu processo pai. (Política relacionada: os clusters Kubernetes não devem permitir a escalonada de privilégios de contentores).

Gravidade: Média

Tipo: Plano de dados Kubernetes

Os registos de diagnóstico nos serviços do Kubernetes devem estar ativados

Descrição: Ative os registos de diagnóstico nos seus serviços Kubernetes e mantenha-os até um ano. Isso permite recriar trilhas de atividade para fins de investigação quando ocorre um incidente de segurança. (Nenhuma política relacionada)

Gravidade: Baixa

Tipo: Plano de controlo

O sistema de arquivos raiz imutável (somente leitura) deve ser imposto para contêineres

Descrição: Os contentores devem funcionar com um sistema de ficheiros raiz apenas de leitura no seu cluster Kubernetes. O sistema de arquivos imutável protege os contêineres contra alterações em tempo de execução com binários mal-intencionados sendo adicionados ao PATH. (Política relacionada: os contentores de cluster Kubernetes devem funcionar com um sistema de ficheiros raiz apenas leitura).

Gravidade: Média

Tipo: Plano de dados Kubernetes

O servidor de API do Kubernetes deve ser configurado com acesso restrito

Descrição: Para garantir que apenas aplicações de redes, máquinas ou sub-redes permitidas possam aceder ao seu cluster, restrinja o acesso ao seu servidor API Kubernetes. Pode restringir o acesso definindo intervalos de IP autorizados, ou configurando os seus servidores API como clusters privados, conforme explicado em Crie um cluster de Azure Kubernetes Service privado. (Política relacionada: Os intervalos de IP autorizados devem ser definidos nos Serviços Kubernetes).

Gravidade: Alta

Tipo: Plano de controlo

Os clusters Kubernetes devem ser acessíveis somente por HTTPS

Descrição: O uso de HTTPS assegura a autenticação e protege os dados em trânsito contra ataques de escuta na camada de rede. Esta funcionalidade está atualmente geralmente disponível para Kubernetes Service (AKS) e em pré-visualização para AKS Engine e Kubernetes com Azure Arc. Para mais informações, visite https://aka.ms/kubepolicydoc (Política relacionada: Impor entrada HTTPS no cluster Kubernetes).

Gravidade: Alta

Tipo: Plano de dados Kubernetes

Os clusters Kubernetes devem desativar a montagem automática das credenciais da API

Descrição: Desativar as credenciais API que montam automaticamente para evitar que um recurso Pod potencialmente comprometido execute comandos API contra clusters Kubernetes. Para obter mais informações, veja https://aka.ms/kubepolicydoc. (Política relacionada: Os clusters Kubernetes devem desativar as credenciais API que montam automaticamente).

Gravidade: Alta

Tipo: Plano de dados Kubernetes

Os clusters Kubernetes não devem usar o namespace padrão

Descrição: Evitar o uso do namespace padrão nos clusters Kubernetes para proteger contra acessos não autorizados para tipos de recursos ConfigMap, Pod, Secret, Service e ServiceAccount. Para obter mais informações, veja https://aka.ms/kubepolicydoc. (Política relacionada: Clusters Kubernetes não devem usar o namespace padrão).

Gravidade: Baixa

Tipo: Plano de dados Kubernetes

Capacidades Linux menos privilegiadas devem ser impostas a contenedores

Descrição: Para reduzir a superfície de ataque do seu contentor, restringa as capacidades do Linux e conceda privilégios específicos aos containers sem conceder todos os privilégios do utilizador root. Recomendamos eliminar todas as capacidades e depois adicionar as necessárias (Política relacionada: os contentores do cluster Kubernetes devem usar apenas as capacidades permitidas).

Gravidade: Média

Tipo: Plano de dados Kubernetes

O Microsoft Defender for Containers deve estar ativado

Description: Microsoft Defender for Containers fornece proteções de reforço, avaliação de vulnerabilidades e tempo de execução para os seus ambientes Kubernetes Azure, híbridos e multicloud. Você pode usar essas informações para corrigir rapidamente problemas de segurança e melhorar a segurança de seus contêineres.

A correção dessa recomendação resultará em cobranças para proteger seus clusters do Kubernetes. Se você não tiver nenhum cluster Kubernetes nesta assinatura, nenhuma cobrança será cobrada. Se você criar clusters Kubernetes nesta assinatura no futuro, eles serão automaticamente protegidos e as cobranças começarão nesse momento. Saiba mais em Introdução à Microsoft Defender para Contentores. (Nenhuma política relacionada)

Gravidade: Alta

Tipo: Plano de controlo

Contentores privilegiados devem ser evitados

Descrição: Para evitar o acesso irrestrito do host, evite containers privilegiados sempre que possível.

Os contêineres privilegiados têm todos os recursos raiz de uma máquina host. Eles podem ser usados como pontos de entrada para ataques e para espalhar código malicioso ou malware para aplicativos, hosts e redes comprometidos. (Política relacionada: Não permitir contentores privilegiados no cluster Kubernetes).

Gravidade: Média

Tipo: Plano de dados Kubernetes

Role-Based Controlo de Acesso devem ser usados nos Serviços Kubernetes

Description: Para fornecer filtragem detalhada das ações que os utilizadores podem realizar, use Role-Based Controlo de Acesso (RBAC) para gerir permissões nos Clusters de Serviços Kubernetes e configurar políticas de autorização relevantes. (Política relacionada: Role-Based Controlo de Acesso (RBAC) deve ser usada nos Serviços Kubernetes).

Gravidade: Alta

Tipo: Plano de controlo

A execução de contêineres como usuário raiz deve ser evitada

Descrição: Os containers não devem correr como utilizadores root no seu cluster Kubernetes. A execução de um processo como o usuário raiz dentro de um contêiner o executa como root no host. Se houver um comprometimento, um invasor tem root no contêiner e qualquer configuração incorreta se torna mais fácil de explorar. (Política relacionada: os pods e containers de cluster Kubernetes só devem funcionar com IDs de utilizador e grupo aprovados).

Gravidade: Alta

Tipo: Plano de dados Kubernetes

Upgrade Azure Kubernetes Service to remove vulnerabilities from AKS system pods

Type: Upgrade Azure Kubernetes Service Version

Description: Defender para a Cloud analisa pods de sistemas geridos por AKS à procura de vulnerabilidades conhecidas (CVEs). Quando são detetadas vulnerabilidades, esta recomendação identifica a atualização mínima da versão do AKS que resolve cada CVE, dando-lhe um caminho de remediação claro e acionável. Esta recomendação aplica-se a pods de sistema geridos pelo AKS, não a cargas de trabalho dos clientes. Para cada CVE, a recomendação lista a pontuação CVSS e a versão mínima do AKS que inclui a correção. (Nenhuma política relacionada)

Gravidade: Alta

Tipo: Avaliação de Vulnerabilidades

Recomendações de contêineres da AWS

A encriptação de artefactos deve estar ativada em projetos CodeBuild

Description: Defender para a Cloud identificou artefactos de compilação não encriptados em projetos AWS CodeBuild que armazenam a saída na Amazon S3. Artefactos de compilação são ficheiros produzidos durante uma compilação, como pacotes, binários e relatórios. Se a encriptação do artefacto estiver desativada, a saída sensível da compilação pode ser exposta a acesso ou divulgação não autorizada.

Gravidade: Média

As imagens de contêiner de registro da AWS devem ter as descobertas de vulnerabilidade resolvidas

Descrição: Analisa as imagens dos contentores dos registos AWS à procura de vulnerabilidades mais conhecidas (CVEs) e fornece um relatório detalhado de vulnerabilidades para cada imagem. A resolução de vulnerabilidades pode melhorar muito sua postura de segurança, garantindo que as imagens sejam seguras para uso antes da implantação.

Gravidade: Alta

Tipo: Avaliação de Vulnerabilidades

A AWS que executa imagens de contêiner deve ter as descobertas de vulnerabilidade resolvidas

Descrição: A avaliação da vulnerabilidade da imagem do contentor analisa o seu registo à procura de vulnerabilidades mais conhecidas (CVEs) e fornece um relatório detalhado de vulnerabilidades para cada imagem. Essa recomendação fornece visibilidade para imagens vulneráveis atualmente em execução em seus clusters do Elastic Kubernetes. Corrigir vulnerabilidades em imagens de contêiner que estão em execução no momento é fundamental para melhorar sua postura de segurança, reduzindo significativamente a superfície de ataque para suas cargas de trabalho conteinerizadas.

Gravidade: Alta

Tipo: Avaliação de Vulnerabilidades

Os clusters EKS devem conceder as permissões AWS necessárias ao Microsoft Defender para a Cloud

Description: Microsoft Defender para Contentores fornece proteções para os teus clusters EKS. Para monitorar seu cluster em busca de vulnerabilidades e ameaças de segurança, o Defender for Containers precisa de permissões para sua conta da AWS. Essas permissões são usadas para habilitar o log do plano de controle do Kubernetes em seu cluster e estabelecer um pipeline confiável entre seu cluster e o back-end do Defender para a Cloud na nuvem. Saiba mais sobre as funcionalidades de segurança da Microsoft Defender para a Cloud para ambientes contentorizados.

Gravidade: Alta

Os clusters EKS devem ter a extensão do Microsoft Defender para Azure Arc instalada

Description: A extensão cluster da Microsoft Defender fornece capacidades de segurança para os seus clusters EKS. A extensão coleta dados de um cluster e seus nós para identificar vulnerabilidades e ameaças de segurança. A extensão funciona com Kubernetes habilitado para Azure Arc. Saiba mais sobre as funcionalidades de segurança da Microsoft Defender para a Cloud para ambientes contentorizados.

Gravidade: Alta

O Microsoft Defender for Containers deve estar ativado nos conectores AWS

Description: O Microsoft Defender for Containers fornece proteção contra ameaças em tempo real para ambientes containerizados e gera alertas sobre atividades suspeitas. Use essas informações para fortalecer a segurança de clusters Kubernetes e corrigir problemas de segurança.

Quando ativas o Microsoft Defender para Containers e implementas o Azure Arc nos teus clusters EKS, as proteções – e as cobranças – começarão. Se não implementares o Azure Arc num cluster, o Defender for Containers não o protegerá, e não há custos para este plano Microsoft Defender para esse cluster.

Gravidade: Alta

O modo privilegiado deve ser desativado nos projetos CodeBuild

Description: Defender para a Cloud modo privilegiado identificado nos ambientes de projeto AWS CodeBuild. O modo privilegiado permite ao contentor de compilação um acesso mais amplo ao anfitrião e ao tempo de execução Docker. Isto representa um risco de escalada de privilégios e acesso não autorizado se um processo de compilação ou dependência for comprometido.

Gravidade: Média

O SSL seguro deve estar ativado nas ligações de origem do CodeBuild

Description: Defender para a Cloud identificou definições SSL inseguras nas ligações de código fonte do AWS CodeBuild. O SSL protege os dados trocados entre o CodeBuild e o repositório de origem ao encriptar a ligação e validar o endpoint remoto. Isto representa um risco de interceção ou adulteração do código-fonte se o transporte encriptado não for aplicado.

Gravidade: Média

A autenticação do fornecedor de origem deve estar ativada nos projetos CodeBuild

Description: Defender para a Cloud identificou a ausência de autenticação do fornecedor de origem em projetos AWS CodeBuild que se ligam a repositórios de fonte externos. A autenticação do fornecedor de origem verifica que o CodeBuild acede ao repositório usando uma ligação ou credencial aprovada. Isto representa um risco de acesso não autorizado ao repositório e exposição ao código-fonte se o acesso a um repositório privado não for devidamente controlado. Os repositórios públicos não requerem esta configuração.

Gravidade: Média

Recomendações do plano de dados

Todas as recomendações de segurança Kubernetes para planos de dados são suportadas para AWS depois de para Kubernetes.

Recomendações de contêiner GCP

A configuração avançada do Defender for Containers deve ser habilitada em conectores GCP

Description: O Microsoft Defender for Containers fornece capacidades de segurança nativas na cloud do Kubernetes, incluindo reforço do ambiente, proteção de carga de trabalho e proteção em tempo de execução. Para garantir que a solução seja provisionada corretamente e que o conjunto completo de recursos esteja disponível, habilite todas as definições de configuração avançadas.

Gravidade: Alta

As imagens de contêiner do Registro GCP devem ter as descobertas de vulnerabilidade resolvidas

Descrição: Analisa as imagens dos contentores dos seus registos GCP à procura de vulnerabilidades mais conhecidas (CVEs) e fornece um relatório detalhado de vulnerabilidades para cada imagem. A resolução de vulnerabilidades pode melhorar muito sua postura de segurança, garantindo que as imagens sejam seguras para uso antes da implantação.

Gravidade: Alta

Tipo: Avaliação de Vulnerabilidades

O GCP executando imagens de contêiner deve ter as descobertas de vulnerabilidade resolvidas

Descrição: A avaliação da vulnerabilidade da imagem do contentor analisa o seu registo à procura de vulnerabilidades mais conhecidas (CVEs) e fornece um relatório detalhado de vulnerabilidades para cada imagem. Esta recomendação fornece visibilidade para imagens vulneráveis atualmente em execução em seus clusters do Google Kubernetes. Corrigir vulnerabilidades em imagens de contêiner que estão em execução no momento é fundamental para melhorar sua postura de segurança, reduzindo significativamente a superfície de ataque para suas cargas de trabalho conteinerizadas.

Gravidade: Alta

Tipo: Avaliação de Vulnerabilidades

Os clusters GKE devem ter a extensão do Microsoft Defender para Azure Arc instalada

Description: A extensão cluster da Microsoft Defender fornece capacidades de segurança para os seus clusters GKE. A extensão coleta dados de um cluster e seus nós para identificar vulnerabilidades e ameaças de segurança. A extensão funciona com Kubernetes habilitado para Azure Arc. Saiba mais sobre as funcionalidades de segurança da Microsoft Defender para a Cloud para ambientes contentorizados.

Gravidade: Alta

Os clusters GKE devem ter a extensão Azure Policy instalada

Description: Azure Policy extensão para Kubernetes estende Gatekeeper v3, um webhook de controladores de admissão para Open Policy Agent (OPA), para aplicar aplicações e salvaguardas em larga escala nos seus clusters de forma centralizada e consistente. A extensão funciona com Kubernetes habilitado para Azure Arc.

Gravidade: Alta

O Microsoft Defender for Containers deve estar ativado nos conectores GCP

Description: O Microsoft Defender for Containers fornece capacidades de segurança nativas na cloud do Kubernetes, incluindo reforço do ambiente, proteção de carga de trabalho e proteção em tempo de execução. Habilite o plano de contêineres em seu conector GCP, para fortalecer a segurança de clusters Kubernetes e corrigir problemas de segurança. Saiba mais sobre o Microsoft Defender for Containers.

Gravidade: Alta

O recurso de reparo automático do cluster GKE deve ser ativado

Descrição: Esta recomendação avalia a propriedade de gestão de um pool de nós para o par-chave-valor, key: autoRepair, value: true.

Gravidade: Média

O recurso de atualização automática do cluster GKE deve ser ativado

Descrição: Esta recomendação avalia a propriedade de gestão de um pool de nós para o par-chave-valor, key: autoUpgrade, value: true.

Gravidade: Alta

O monitoramento em clusters GKE deve ser habilitado

Descrição: esta recomendação avalia se a propriedade monitoringService de um cluster contém o local que o Cloud Monitoring deve usar para escrever métricas.

Gravidade: Média

O registro em log para clusters GKE deve ser habilitado

Descrição: esta recomendação avalia se a propriedade loggingService de um cluster contém o local que o Cloud Logging deve usar para gravar logs.

Gravidade: Alta

O painel da web GKE deve ser desativado

Descrição: Esta recomendação avalia o campo kubernetesDashboard da propriedade addonsConfig para o par chave-valor, 'disabled': false.

Gravidade: Alta

A autorização herdada deve ser desativada em clusters GKE

Descrição: Esta recomendação avalia a propriedade legacyAbac de um cluster para o par chave-valor, 'enabled': true.

Gravidade: Alta

As Redes Autorizadas do Plano de Controle devem ser habilitadas em clusters GKE

Descrição: Esta recomendação avalia a propriedade masterAuthorizedNetworksConfig de um cluster para o par chave-valor, 'enabled': false.

Gravidade: Alta

Os clusters GKE devem ter intervalos de IP de alias habilitados

Descrição: esta recomendação avalia se o campo useIPAliases do ipAllocationPolicy em um cluster está definido como false.

Gravidade: Baixa

Os clusters GKE devem ter clusters privados habilitados

Descrição: Esta recomendação avalia se o campo enablePrivateNodes da propriedade privateClusterConfig está definido como false.

Gravidade: Alta

A política de rede deve ser habilitada em clusters GKE

Descrição: Esta recomendação avalia o campo networkPolicy da propriedade addonsConfig para o par chave-valor, 'disabled': true.

Gravidade: Média

Recomendações do plano de dados

Todas as recomendações de segurança do plano de dados Kubernetes são suportadas para GCP depois de c1 Azure Policy para Kubernetes.

Recomendações de registos de contentores externos

Imagens de contentores no registo do Docker Hub devem ter descobertas de vulnerabilidades resolvidas

Descrição: O Defender para a Cloud analisa as imagens do seu registo à procura de vulnerabilidades conhecidas (CVEs) e fornece resultados detalhados para cada imagem digitalizada. Remediar vulnerabilidades nas imagens dos contentores ajuda a manter uma cadeia de abastecimento de software segura e fiável, reduz o risco de incidentes de segurança e assegura o cumprimento das normas do setor."

Gravidade: Alta

Tipo: Avaliação de Vulnerabilidades

[Pré-visualização] As imagens de contêiner no registro Jfrog Artifactory devem ter as descobertas de vulnerabilidade resolvidas

Descrição: O Defender para a Cloud analisa as imagens do seu registo à procura de vulnerabilidades conhecidas (CVEs) e fornece resultados detalhados para cada imagem digitalizada. A correção de vulnerabilidades em imagens de contêiner ajuda a manter uma cadeia de suprimentos de software segura e confiável, reduz o risco de incidentes de segurança e garante a conformidade com os padrões do setor.",

Gravidade: Alta

Tipo: Avaliação de Vulnerabilidades

As definições de trabalhos em lote AWS não devem correr contentores em modo privilegiado

Descrição: Executar contentores em modo privilegiado concede-lhes acesso elevado ao sistema anfitrião, contornando efetivamente os controlos de isolamento de contentores. Isto aumenta significativamente o risco de comprometimento do hospedeiro, acesso não autorizado a recursos sensíveis e movimento lateral dentro do ambiente. Desativar o modo privilegiado impõe o princípio do menor privilégio e reduz o impacto de cargas de trabalho de contentores comprometidas ou maliciosas.

Gravidade: Alta

As definições de trabalhos lotados AWS devem usar um sistema de ficheiros raiz apenas de leitura

Descrição: Permitir que contentores corram com um sistema de ficheiros raiz gravável aumenta o risco de modificação não autorizada de binários do sistema, ficheiros de configuração e artefactos de tempo de execução. Isto enfraquece as garantias de imutabilidade do contentor e permite persistência, instalação de malware e técnicas de evasão em caso de comprometimento de container. Aplicar um sistema de ficheiros raiz apenas de leitura reforça o isolamento da carga de trabalho e limita o raio de explosão dos incidentes de segurança.

Gravidade: Média

O sistema de ficheiros raiz de apenas leitura deve estar ativado para Contentores ECS

Descrição: O Defender para a Cloud identificou definições de tarefas ECS com sistemas de ficheiros raiz graváveis. Esta configuração representa um risco ao permitir modificações em tempo de execução em caminhos críticos do sistema, potencialmente possibilitando adulteração, persistência de alterações não autorizadas e exploração de diretórios mutáveis. Um sistema de ficheiros raiz apenas de leitura limita estes riscos ao impedir alterações durante a execução do contentor, alinhando-se com infraestruturas imutáveis e melhores práticas de menor privilégio.

Gravidade: Média

Os segredos devem ser configurados para contentores para evitar o uso de variáveis sensíveis de ambiente de texto simples

Descrição: O Defender para a Cloud identificou variáveis de ambiente de texto simples nas definições das suas tarefas ECS. Este problema surge quando informações sensíveis, como credenciais, tokens ou chaves, são armazenadas diretamente em configurações de contentores, em vez de serem protegidas por segredos. As variáveis em texto simples podem ser acedidas por qualquer processo interno ou registadas inadvertidamente, aumentando o risco de acesso não autorizado e fuga de segredos.

Gravidade: Alta

Os modos de rede seguros devem estar ativados nas definições de tarefas ECS

Descrição: O Defender para a Cloud identificou configurações de rede inseguras nas definições das suas tarefas ECS. A avaliação concluiu que as tarefas Fargate devem usar o modo awsvpc — alocando interfaces de rede elásticas dedicadas e limites de grupos de segurança — e que as tarefas EC2 devem evitar modos host ou nenhum que contornem o isolamento do contentor. Sem modos seguros, as tarefas aumentam a exposição a movimentos laterais e outros riscos de rede, podendo comprometer o isolamento da carga de trabalho.

Gravidade: Média

A encriptação de trânsito deve estar ativada nas definições de tarefas ECS usando EFS

Descrição: O Defender para a Cloud identificou definições de tarefas ECS montando sistemas de ficheiros Amazon EFS sem encriptação de trânsito ativada. A encriptação de trânsito assegura a circulação de dados entre as suas tarefas ECS e os alvos de montagem EFS ao encriptar durante o trânsito, minimizando assim o risco de interceção baseada em rede dentro da sua VPC. Sem isso, os dados sensíveis ficam expostos a potenciais acessos não autorizados. Ativar a encriptação de trânsito ajuda a garantir que os dados em trânsito estão devidamente protegidos.

Gravidade: Média