Přehled Microsoft Defenderu pro kontejnery

Microsoft Defender for Containers je cloudové nativní řešení, které slouží k zabezpečení kontejnerů, abyste mohli zlepšit, monitorovat a udržovat zabezpečení clusterů, kontejnerů a jejich aplikací.

Defender for Containers vám pomůže se třemi základními aspekty zabezpečení kontejnerů:

  • Posílení zabezpečení prostředí – Defender for Containers chrání clustery Kubernetes bez ohledu na to, jestli běží na Azure Kubernetes Service, místním prostředí Kubernetes nebo IaaS nebo Amazon EKS. Defender for Containers průběžně vyhodnocuje clustery, aby poskytoval přehled o chybných konfiguracích a pokynech, které pomáhají zmírnit zjištěné hrozby.

  • Posouzení ohrožení zabezpečení – Nástroje pro posouzení a správu ohrožení zabezpečení pro image uložené v registrech ACR a spuštěné v Azure Kubernetes Service

  • Ochrana před hrozbami za běhu pro uzly a clustery – Ochrana před hrozbami pro clustery a uzly s Linuxem generuje výstrahy zabezpečení pro podezřelé aktivity.

Další informace najdete v tomto videu v programu Defender for Cloud v sérii videí Pole: Microsoft Defender for Containers.

Dostupnost plánu Microsoft Defender for Containers

Aspekt Podrobnosti
Stav vydání: Všeobecná dostupnost (GA)
Některé funkce jsou ve verzi Preview. Úplný seznam najdete v části dostupnost .
Dostupnost funkcí Další informace o stavu a dostupnosti funkcí najdete v části dostupnost .
Ceny: Microsoft Defender for Containers se účtuje, jak je znázorněno na stránce s cenami.
Požadované role a oprávnění: • Pokud chcete automaticky zřizovat požadované komponenty, přečtěte si oprávnění pro každou komponentu.
Správce zabezpečení může zavřít výstrahy.
Čtenář zabezpečení může zobrazit zjištění posouzení ohrožení zabezpečení.
Viz také Azure Container Registry rolí a oprávnění
Mraky: Azure:
Komerční cloudy
Národní cloudy (Azure Government, Azure China 21Vianet) (s výjimkou funkcí preview)

Mimo Azure:
Připojené účty AWS (Preview)
Připojené projekty GCP (Preview)
Místní/IaaS podporované prostřednictvím Kubernetes s podporou Arc (Preview).

Další informace o dostupnosti najdete v části o dostupnosti.

Posílení zabezpečení

Průběžné monitorování clusterů Kubernetes – ať jsou hostované kdekoli

Defender for Cloud průběžně posuzuje konfigurace vašich clusterů a porovnává je s iniciativami použitými pro vaše předplatná. Když najde chybné konfigurace, Defender for Cloud vygeneruje doporučení zabezpečení, která jsou k dispozici na stránce Doporučení v programu Defender for Cloud. Doporučení umožňují prošetřit a opravit problémy. Podrobnosti odoporučeních

V případě clusterů Kubernetes v EKS budete muset svůj účet AWS připojit ke službě Microsoft Defender for Cloud a zajistit, abyste povolili plán CSPM.

Filtr prostředků můžete použít ke kontrole nevyřízených doporučení pro prostředky související s kontejnery, ať už v inventáři prostředků nebo na stránce doporučení:

Snímek obrazovky znázorňující umístění filtru prostředků

Posílení zabezpečení roviny dat Kubernetes

Pokud chcete chránit úlohy kontejnerů Kubernetes pomocí přizpůsobených doporučení, můžete nainstalovat Azure Policy pro Kubernetes. Tuto komponentu můžete také automaticky nasadit, jak je vysvětleno v tématu povolení automatického zřizování agentů a rozšíření.

S doplňkem v clusteru AKS budou všechny požadavky na server rozhraní API Kubernetes monitorovány předdefinovanou sadou osvědčených postupů před tím, než se uloží do clusteru. Pak ji můžete nakonfigurovat tak, aby vynucovala osvědčené postupy a nařídila je pro budoucí úlohy.

Můžete například nařídit, aby se privilegované kontejnery neměly vytvářet a všechny budoucí požadavky na to budou blokované.

Další informace o posílení zabezpečení roviny dat Kubernetes

Posouzení ohrožení zabezpečení

Skenování imagí v registrech ACR

Defender for Containers nabízí kontrolu ohrožení zabezpečení imagí v Azure Container Registry (ACLR). Mezi triggery pro kontrolu obrázku patří:

  • Při nabízení: Když se image nasdílí do registru pro úložiště, Defender for Containers tuto image automaticky prohledá.

  • Naposledy staženo: Týdenní skenování obrázků, které byly staženy za posledních 30 dnů.

  • Při importu: Při importu imagí do ACR program Defender for Containers prohledá všechny podporované image.

Další informace najdete v posouzení ohrožení zabezpečení.

Ukázkové doporučení v programu Microsoft Defender pro cloud týkající se ohrožení zabezpečení zjištěných v hostovaných imagích Azure Container Registry (ACR).

Zobrazení ohrožení zabezpečení pro spouštění imagí

Defender for Cloud poskytuje zákazníkům možnost upřednostnit nápravu ohrožení zabezpečení v imagích, které se aktuálně používají ve svém prostředí, pomocí imagí spuštěných kontejnerů by měla mít vyřešená doporučení k ohrožení zabezpečení .

Defender for Cloud může poskytnout doporučení tím, že koreluje inventář spuštěných kontejnerů shromážděných agentem Defenderu, který je nainstalovaný ve vašich clusterech AKS, s kontrolou posouzení ohrožení zabezpečení imagí uložených v ACR. Doporučení pak ukazuje spuštěné kontejnery s chybami zabezpečení přidruženými k imagím, které jednotlivé kontejnery používají, a poskytuje vám sestavy ohrožení zabezpečení a kroky pro nápravu.

Poznámka

Kontejnery Windows: Pro kontejnery Windows neexistuje žádný agent Defenderu, agent Programu Defender se nasadí do uzlu Linuxu spuštěného v clusteru, aby se načetl spuštěný inventář kontejneru pro uzly Windows.

Image, které nejsou načítané z ACR pro nasazení v AKS, se nekontrolují a zobrazí se na kartě Nepoužitelné .

Image, které byly odstraněny z registru služby ACR, ale jsou stále spuštěné, nebudou hlášeny pouze 30 dnů po jejich poslední kontrole v ACR.

Snímek obrazovky znázorňující zobrazení doporučení

Ochrana za běhu pro uzly a clustery Kubernetes

Defender for Containers poskytuje ochranu před hrozbami v reálném čase pro vaše kontejnerizovaná prostředí a generuje výstrahy pro podezřelé aktivity. Pomocí těchto informací můžete rychle opravit problémy se zabezpečením a vylepšit zabezpečení kontejnerů. Ochranu před hrozbami na úrovni clusteru poskytuje agent Defender a analýza protokolů auditu Kubernetes. Mezi příklady událostí na této úrovni patří vystavené řídicí panely Kubernetes, vytváření vysoce privilegovaných rolí a vytváření citlivých připojení.

Kromě toho naše detekce hrozeb přesahuje vrstvu správy Kubernetes. Defender for Containers zahrnuje detekci hrozeb na úrovni hostitele s více než 60 analýzami, AI a detekcemi anomálií na základě úloh modulu runtime.

Toto řešení monitoruje rostoucí prostor pro útoky nasazení Kubernetes s více cloudy a sleduje matici MITRE ATT&CK® pro kontejnery, což je architektura vyvinutá Centrem pro Threat-Informed Defense v úzké spolupráci s Microsoftem a dalšími uživateli.

Nejčastější dotazy – Defender for Containers

Jaké jsou možnosti povolení nového plánu ve velkém měřítku?

Pomocí Azure Policy Configure Microsoft Defender for Containers to be enabledmůžete povolit Defender for Containers ve velkém měřítku. Můžete také zobrazit všechny možnosti, které jsou k dispozici pro povolení Microsoft Defenderu pro kontejnery.

Podporuje Microsoft Defender for Containers clustery AKS se škálovacími sadami virtuálních počítačů?

Ano.

Podporuje Microsoft Defender for Containers AKS bez škálovací sady (výchozí)?

No. Podporují se jenom clustery Azure Kubernetes Service (AKS), které používají škálovací sady virtuálních počítačů pro uzly.

Potřebuji nainstalovat rozšíření virtuálního počítače Log Analytics na uzly AKS kvůli ochraně zabezpečení?

Ne, AKS je spravovaná služba a manipulace s prostředky IaaS se nepodporuje. Rozšíření virtuálního počítače Log Analytics není potřeba a může mít za následek další poplatky.

Další informace

Další informace o Defenderu pro kontejnery najdete v následujících blogech:

Stav verze Defenderu pro kontejnery je rozdělený podle dvou dimenzí: prostředí a funkce. Příklad:

  • Doporučení roviny dat Kubernetes pro clustery AKS jsou obecná dostupnost
  • Doporučení roviny dat Kubernetes pro clustery EKS jsou ve verzi Preview

Pokud chcete zobrazit stav úplné matice funkcí a prostředí, podívejte se na dostupnost funkcí Microsoft Defenderu for Containers.

Další kroky

V tomto přehledu jste se dozvěděli o základních prvcích zabezpečení kontejnerů v programu Microsoft Defender for Cloud. Pokud chcete plán povolit, přečtěte si: