Zabezpečení kontejnerů v programu Microsoft Defender for Containers

  • 3 min

Microsoft Defender for Containers je řešení nativní pro cloud, které vylepšuje, monitoruje a udržuje zabezpečení kontejnerizovaných prostředků (clustery Kubernetes, uzly Kubernetes, úlohy Kubernetes, registry kontejnerů, image kontejnerů a další) a jejich aplikace v různých cloudových a místních prostředích.

Defender for Containers vám pomůže se čtyřmi základními doménami zabezpečení kontejnerů:

  • Správa stavu zabezpečení – zajišťuje nepřetržité monitorování cloudových rozhraní API, rozhraní API Kubernetes a úloh Kubernetes za účelem zjišťování cloudových prostředků, poskytování komplexních funkcí inventáře, zjišťování chyb konfigurace a poskytování pokynů pro zmírnění jejich rizik, poskytování posouzení kontextových rizik a umožňuje uživatelům provádět rozšířené možnosti proaktivního vyhledávání rizik prostřednictvím Průzkumníka zabezpečení v Defenderu pro cloud.
  • Posouzení ohrožení zabezpečení – poskytuje posouzení ohrožení zabezpečení bez agentů pro Azure, AWS a GCP s pokyny k nápravě, nulovou konfigurací, denním prohledáváním, pokrytím balíčků operačního systému a jazykových balíčků a přehledy o zneužití.
  • Ochrana před hrozbami za běhu – bohatá sada pro detekci hrozeb pro clustery Kubernetes, uzly a úlohy, které využívají špičkové analýzy hrozeb Od Microsoftu, poskytuje mapování na architekturu MITRE ATT&CK pro snadné pochopení rizik a relevantních kontextů, automatizované reakce a integrace správy informací o zabezpečení a událostí (SIEM) / integrace rozšířené detekce a reakce (XDR).
  • Nasazení a monitorování – Monitoruje clustery Kubernetes pro chybějící agenty a poskytuje bezproblémové nasazení ve velkém měřítku pro funkce založené na agentech, podporu standardních monitorovacích nástrojů Kubernetes a správu nemonitorovaných prostředků.

Dostupnost plánu Microsoft Defenderu pro kontejnery

Aspekt Podrobnosti
Stav vydání: Všeobecná dostupnost (GA)
Některé funkce jsou ve verzi Preview. Úplný seznam najdete v matici podpory kontejnerů v programu Defender for Cloud.
Dostupnost funkcí Další informace o stavu a dostupnosti funkcí najdete v matici podpory kontejnerů v programu Defender for Cloud.
Ceny: Microsoft Defender for Containers se účtuje, jak je znázorněno na stránce s cenami.
Požadované role a oprávnění: • Pokud chcete nasadit požadované součásti, podívejte se na oprávnění pro každou komponentu.
• Správce zabezpečení může zavřít výstrahy.
• Čtenář zabezpečení může zobrazit závěry posouzení ohrožení zabezpečení.
Viz také Role pro nápravu a role a oprávnění služby Azure Container Registry
Mraky: Zobrazte si matici podpory kontejnerů v defenderu pro cloud a zobrazte dostupnost cloudu.

Správa stavu zabezpečení

Možnosti bez agentů

  • Zjišťování bez agentů pro Kubernetes – poskytuje nulové nároky, zjišťování clusterů Kubernetes založené na rozhraní API, jejich konfigurace a nasazení.
  • Posouzení ohrožení zabezpečení bez agentů – poskytuje posouzení ohrožení zabezpečení pro všechny image kontejnerů, včetně doporučení pro registr a modul runtime, rychlé kontroly nových imagí, denní aktualizace výsledků, přehledy o zneužitelnosti a další. Do grafu zabezpečení se přidají informace o ohrožení zabezpečení pro posouzení kontextových rizik a výpočet cest útoku a možností proaktivního vyhledávání.
  • Komplexní možnosti inventáře – umožňuje prozkoumávat prostředky, pody, služby, úložiště, image a konfigurace prostřednictvím Průzkumníka zabezpečení a snadno monitorovat a spravovat vaše prostředky.
  • Rozšířené proaktivní vyhledávání rizik – umožňuje správcům zabezpečení aktivně vyhledávat problémy s stavem v kontejnerizovaných prostředcích prostřednictvím dotazů (integrovaných a vlastních) a přehledů zabezpečení v Průzkumníku zabezpečení.
  • Posílení zabezpečení roviny řízení – nepřetržitě posuzuje konfigurace vašich clusterů a porovnává je s iniciativami použitými pro vaše předplatná. Když najde chybné konfigurace, Defender for Cloud vygeneruje doporučení zabezpečení, která jsou k dispozici na stránce Doporučení pro Defender for Cloud. Doporučení vám umožňují prozkoumat a opravit problémy.

Filtr prostředků můžete použít ke kontrole nevyřízených doporučení pro vaše prostředky související s kontejnery, ať už v inventáři prostředků, nebo na stránce s doporučeními:

Snímek obrazovky znázorňující příklad použití filtru prostředků ke kontrole nevyřízených doporučení

Poznámka:

Podrobnosti, které jsou součástí této funkce, najdete v části kontejnery v referenční tabulce doporučení a vyhledejte doporučení typu Řídicí rovina.

Možnosti založené na agentech

Posílení zabezpečení roviny dat Kubernetes – Pokud chcete chránit úlohy kontejnerů Kubernetes s doporučeními osvědčených postupů, můžete nainstalovat Službu Azure Policy pro Kubernetes. Přečtěte si další informace o komponentách monitorování pro Defender for Cloud.

S doplňkem v clusteru Kubernetes se každý požadavek na server rozhraní Kubernetes API monitoruje předdefinovanou sadou osvědčených postupů před tím, než se zachová v clusteru. Pak ji můžete nakonfigurovat tak, aby vynucovala osvědčené postupy a nařídila je pro budoucí úlohy.

Můžete například nařídit, aby se privilegované kontejnery neměly vytvářet a že všechny budoucí požadavky na to budou blokované.

Posouzení ohrožení zabezpečení

Defender for Containers prohledá image kontejnerů ve službě Azure Container Registry (ACR), Amazon AWS Elastic Container Registry (ECR), Google Artifact Registry (GAR) a Google Container Registry (GCR) za účelem zajištění posouzení ohrožení zabezpečení bez agentů pro vaše image kontejnerů, včetně doporučení registru a modulu runtime, pokynů k nápravě, rychlých kontrol nových imagí, přehledů o zneužití reálného světa, přehledů zneužití a dalších.

Do grafu cloudového zabezpečení se přidávají informace o ohrožení zabezpečení s využitím Microsoft Defender Správa zranitelností pro kontextové riziko, výpočet cest útoku a možnosti proaktivního vyhledávání.

V Azure existují dvě řešení pro posouzení ohrožení zabezpečení, jedno využívající Microsoft Defender Správa zranitelností a jedno využívající Qualys.

Ochrana za běhu pro uzly a clustery Kubernetes

Defender for Containers poskytuje ochranu před hrozbami v reálném čase pro podporovaná kontejnerizovaná prostředí a generuje výstrahy pro podezřelé aktivity. Pomocí těchto informací můžete rychle opravit problémy se zabezpečením a vylepšit zabezpečení kontejnerů.

Ochrana před hrozbami je poskytována pro Kubernetes na úrovni clusteru, na úrovni uzlů a na úrovni úloh a zahrnuje pokrytí na základě agenta Agenta Defenderu i bez agenta, které je založené na analýze protokolů auditu Kubernetes. Výstrahy zabezpečení se aktivují jenom pro akce a nasazení, ke kterým dochází po povolení defenderu pro kontejnery ve vašem předplatném.

  • Mezi příklady událostí zabezpečení, které monitorují Microsoft Defendery pro kontejnery, patří:
  • Vystavené řídicí panely Kubernetes
  • Vytvoření vysoce privilegovaných rolí

Vytváření citlivých přípojek

Výstrahy zabezpečení můžete zobrazit výběrem dlaždice Výstrahy zabezpečení v horní části stránky přehledu Defenderu pro cloud nebo odkazem na bočním panelu.

Snímek obrazovky znázorňující příklad zobrazení výstrah zabezpečení na stránce přehledu Defenderu pro cloud

Otevře se stránka výstrah zabezpečení:

Snímek obrazovky znázorňující příklad zobrazení výstrah zabezpečení pro úlohy modulu runtime v clusterech

Kubernetes K8S rozpozná výstrahy zabezpečení pro úlohy modulu runtime v clusterech. NODE_ předpona typu výstrahy.

Defender for Containers také zahrnuje detekci hrozeb na úrovni hostitele s více než 60 analýzami, AI a detekcemi anomálií na základě úloh modulu runtime.