Přehled zabezpečení kontejnerů v programu Microsoft Defender for Containers

Článek
02/02/2024

Microsoft Defender for Containers je řešení nativní pro cloud, které vylepšuje, monitoruje a udržuje zabezpečení kontejnerizovaných prostředků (clustery Kubernetes, uzly Kubernetes, úlohy Kubernetes, registry kontejnerů, image kontejnerů a další) a jejich aplikace v různých cloudových a místních prostředích.

Defender for Containers vám pomůže se čtyřmi základními doménami zabezpečení kontejnerů:

Správa stavu zabezpečení – zajišťuje nepřetržité monitorování cloudových rozhraní API, rozhraní API Kubernetes a úloh Kubernetes za účelem zjišťování cloudových prostředků, poskytování komplexních funkcí inventáře, zjišťování chyb konfigurace a poskytování pokynů pro zmírnění jejich rizik, poskytování posouzení kontextových rizik a umožňuje uživatelům provádět rozšířené možnosti proaktivního vyhledávání rizik prostřednictvím Průzkumníka zabezpečení v Defenderu pro cloud.
Posouzení ohrožení zabezpečení – poskytuje posouzení ohrožení zabezpečení bez agentů pro Azure, AWS a GCP s pokyny k nápravě, nulovou konfigurací, denním prohledáváním, pokrytím balíčků operačního systému a jazykových balíčků a přehledy o zneužití.
Ochrana před hrozbami za běhu – bohatá sada pro detekci hrozeb pro clustery Kubernetes, uzly a úlohy, které využívají hlavní analýzu hrozeb Od Microsoftu, poskytuje mapování na architekturu MITRE ATT&CK, která umožňuje snadno pochopit rizika a relevantní kontext, automatizovanou reakci a integraci SIEM/XDR.
Nasazení a monitorování – Monitoruje clustery Kubernetes pro chybějící senzory a poskytuje bezproblémové nasazení ve velkém měřítku pro funkce založené na senzorech, podporu standardních monitorovacích nástrojů Kubernetes a správu nemonitorovaných prostředků.

Další informace najdete v tomto videu v programu Defender for Cloud v sérii videí Pole: Microsoft Defender for Containers.

Dostupnost plánu Microsoft Defenderu pro kontejnery

Aspekt	Detaily
Stav vydání:	Všeobecná dostupnost (GA) Některé funkce jsou ve verzi Preview. Úplný seznam najdete v matici podpory kontejnerů v programu Defender for Cloud.
Dostupnost funkcí	Další informace o stavu a dostupnosti funkcí najdete v matici podpory kontejnerů v programu Defender for Cloud.
Ceny:	Microsoft Defender for Containers se účtuje, jak je znázorněno na stránce s cenami.
Požadované role a oprávnění:	• Pokud chcete nasadit požadované součásti, podívejte se na oprávnění pro každou komponentu. • Správce zabezpečení může zavřít výstrahy. • Čtenář zabezpečení může zobrazit závěry posouzení ohrožení zabezpečení. Viz také Role pro nápravu a role a oprávnění služby Azure Container Registry
Mraky:	Zobrazte si matici podpory kontejnerů v defenderu pro cloud a zobrazte dostupnost cloudu.

Správa stavu zabezpečení

Možnosti bez agentů

Zjišťování bez agentů pro Kubernetes – poskytuje nulové nároky, zjišťování clusterů Kubernetes založené na rozhraní API, jejich konfigurace a nasazení.
Posouzení ohrožení zabezpečení bez agentů – poskytuje posouzení ohrožení zabezpečení pro všechny image kontejnerů, včetně doporučení pro registr a modul runtime, rychlé kontroly nových imagí, denní aktualizace výsledků, přehledy o zneužitelnosti a další. Do grafu zabezpečení se přidají informace o ohrožení zabezpečení pro posouzení kontextových rizik a výpočet cest útoku a možností proaktivního vyhledávání.
Komplexní možnosti inventáře – umožňuje prozkoumávat prostředky, pody, služby, úložiště, image a konfigurace prostřednictvím Průzkumníka zabezpečení a snadno monitorovat a spravovat vaše prostředky.
Rozšířené proaktivní vyhledávání rizik – umožňuje správcům zabezpečení aktivně vyhledávat problémy s stavem v kontejnerizovaných prostředcích prostřednictvím dotazů (integrovaných a vlastních) a přehledů zabezpečení v Průzkumníku zabezpečení.
Posílení zabezpečení roviny řízení – nepřetržitě posuzuje konfigurace vašich clusterů a porovnává je s iniciativami použitými pro vaše předplatná. Když najde chybné konfigurace, Defender for Cloud vygeneruje doporučení zabezpečení, která jsou k dispozici na stránce Doporučení pro Defender for Cloud. Doporučení vám umožňují prozkoumat a opravit problémy.

Filtr prostředků můžete použít ke kontrole nevyřízených doporučení pro vaše prostředky související s kontejnery, ať už v inventáři prostředků, nebo na stránce s doporučeními:

Podrobnosti, které jsou součástí této funkce, najdete v části kontejnery v referenční tabulce doporučení a vyhledejte doporučení typu Řídicí rovina.

Možnosti založené na senzorech

Posílení zabezpečení roviny dat Kubernetes – Pokud chcete chránit úlohy kontejnerů Kubernetes s doporučeními osvědčených postupů, můžete nainstalovat Službu Azure Policy pro Kubernetes. Přečtěte si další informace o komponentách monitorování pro Defender for Cloud.

S doplňkem v clusteru Kubernetes se každý požadavek na server rozhraní Kubernetes API monitoruje předdefinovanou sadou osvědčených postupů před tím, než se zachová v clusteru. Pak ji můžete nakonfigurovat tak, aby vynucovala osvědčené postupy a nařídila je pro budoucí úlohy.

Můžete například nařídit, aby se privilegované kontejnery neměly vytvářet a že všechny budoucí požadavky na to budou blokované.

Další informace o posílení zabezpečení roviny dat Kubernetes

Posouzení ohrožení zabezpečení

Defender for Containers prohledá image kontejnerů ve službě Azure Container Registry (ACR), Amazon AWS Elastic Container Registry (ECR), Google Artifact Registry (GAR) a Google Container Registry (GCR) za účelem zajištění posouzení ohrožení zabezpečení bez agentů pro vaše image kontejnerů, včetně doporučení registru a modulu runtime, pokynů k nápravě, rychlých kontrol nových imagí, přehledů o zneužití reálného světa, přehledů zneužití a dalších.

Do grafu cloudového zabezpečení se přidávají informace o ohrožení zabezpečení s využitím Microsoft Defender Správa zranitelností pro kontextové riziko, výpočet cest útoku a možnosti proaktivního vyhledávání.

Přečtěte si další informace:

Ochrana za běhu pro uzly a clustery Kubernetes

Defender for Containers poskytuje ochranu před hrozbami v reálném čase pro podporovaná kontejnerizovaná prostředí a generuje výstrahy pro podezřelé aktivity. Pomocí těchto informací můžete rychle opravit problémy se zabezpečením a vylepšit zabezpečení kontejnerů.

Ochrana před hrozbami je poskytována pro Kubernetes na úrovni clusteru, na úrovni uzlu a na úrovni úloh a zahrnuje pokrytí založené na senzoru Defenderu a bez agentů, které je založené na analýze protokolů auditu Kubernetes. Výstrahy zabezpečení se aktivují jenom pro akce a nasazení, ke kterým dochází po povolení defenderu pro kontejnery ve vašem předplatném.

Mezi příklady událostí zabezpečení, které monitorují Microsoft Defendery pro kontejnery, patří:

Vystavené řídicí panely Kubernetes
Vytvoření vysoce privilegovaných rolí
Vytváření citlivých přípojek

Výstrahy zabezpečení můžete zobrazit výběrem dlaždice Výstrahy zabezpečení v horní části stránky přehledu Defenderu pro cloud nebo odkazem na bočním panelu.

Otevře se stránka výstrah zabezpečení:

Výstrahy zabezpečení pro úlohy modulu runtime v clusterech lze rozpoznat předponou K8S.NODE_ typu výstrahy. Úplný seznam výstrah na úrovni clusteru najdete v referenční tabulce výstrah.

Defender for Containers také zahrnuje detekci hrozeb na úrovni hostitele s více než 60 analýzami, AI a detekcemi anomálií na základě úloh modulu runtime.

Defender for Cloud monitoruje prostor pro útoky na nasazení Kubernetes s více cloudy na základě matice MITRE ATT&CK® pro kontejnery, architektura vyvinutá centrem pro ochranu před hrozbami v úzké spolupráci s Microsoftem.

Další informace

Další informace o defenderu for Containers najdete v následujících blogech:

Další kroky

V tomto přehledu jste se dozvěděli o základních prvcích zabezpečení kontejnerů v programu Microsoft Defender for Cloud. Pokud chcete plán povolit, přečtěte si:

Povolení defenderu pro kontejnery
Podívejte se na běžné dotazy týkající se Defenderu for Containers.