Übersicht zu Microsoft Defender für Container

Microsoft Defender für Container ist die cloudnative Lösung, die zum Sichern Ihrer Container verwendet wird, damit Sie die Sicherheit Ihrer Cluster, Container und Anwendungen verbessern, überwachen und verwalten können.

Defender für Container unterstützt Sie bei drei Kernaspekten der Containersicherheit:

  • Umgebungshärtung: Microsoft Defender für Container schützt Ihre Kubernetes-Cluster unabhängig davon, ob sie unter Azure Kubernetes Service, einer lokalen Kubernetes/IaaS-Instanz oder Amazon EKS ausgeführt werden. Defender für Container bewertet kontinuierlich Cluster, um Einblicke in Fehlkonfigurationen und Richtlinien zu bieten, die bei der Minimierung identifizierter Bedrohungen helfen sollen.

  • Sicherheitsrisikobewertung: Tools zur Bewertung und Verwaltung von Sicherheitsrisiken für Images, die in ACR-Registrierungen gespeichert sind und in Azure Kubernetes Service ausgeführt werden.

  • Schutz vor Laufzeitbedrohungen für Knoten und Cluster: Der Bedrohungsschutz für Cluster und Linux-Knoten generiert Sicherheitswarnungen für verdächtige Aktivitäten.

Sie können mehr erfahren, indem Sie sich dieses Video aus der Videoserie „Defender für Cloud im Einsatz“ ansehen: Microsoft Defender für Container.

Verfügbarkeit des Microsoft Defender für Container-Plans

Aspekt Details
Status des Release: Allgemeine Verfügbarkeit (General Availability, GA)
Bestimmte Features befinden sich in der Vorschau. Eine vollständige Liste finden Sie im Abschnitt „Verfügbarkeit“.
Verfügbarkeit von Funktionen Weitere Informationen zum Status und zur Verfügbarkeit von Featurereleases finden Sie im Abschnitt „Verfügbarkeit“.
Preise: Microsoft Defender für Container wird gemäß den Angaben auf der Seite Preise abgerechnet.
Erforderliche Rollen und Berechtigungen: • Informationen zum automatischen Bereitstellen der erforderlichen Komponenten finden Sie in den Berechtigungen für jede der Komponenten
• Der Sicherheitsadministrator kann Warnungen verwerfen
Sicherheitsleseberechtigter kann die Ergebnisse der Schwachstellenbewertung anzeigen
Siehe auch Azure Container Registry Rollen und Berechtigungen
Clouds: Azure:
Kommerzielle Clouds
Nationale Clouds (Azure Government, Azure China 21Vianet) (Mit Ausnahme von Vorschaufunktionen))

Nicht-Azure:
Connected AWS accounts (Vorschau)
Verbundene GCP-Projekte (Vorschau)
Lokal/IaaS-unterstützt über Kubernetes mit Arc-Unterstützung (Vorschau).

Weitere Informationen finden Sie im Abschnitt zur Verfügbarkeit.

Härtung

Kontinuierliche Überwachung Ihrer Kubernetes-Cluster – unabhängig davon, wo sie gehostet werden

Defender für Cloud bewertet kontinuierlich die Konfigurationen Ihrer Cluster und vergleicht sie mit den Initiativen, die auf Ihre Abonnements angewendet werden. Wenn Defender für Cloud Fehlkonfigurationen feststellt, generiert es Sicherheitsempfehlungen, die auf der Seite „Empfehlungen“ von Defender für Cloud verfügbar sind. Die Empfehlungen ermöglichen es Ihnen, Probleme zu untersuchen und zu beheben. Ausführliche Informationen zu den Empfehlungen, die für dieses Feature angezeigt werden können, finden Sie im Abschnitt „Compute“ der Referenztabelle zu den Empfehlungen.

Für Kubernetes-Cluster auf EKS müssen Sie Ihr AWS-Konto mit Microsoft Defender für Cloud verbinden und sicherstellen, dass Sie den CSPM-Plan aktiviert haben.

Sie können den Ressourcenfilter verwenden, um die ausstehenden Empfehlungen für Ihre containerbezogenen Ressourcen zu überprüfen, egal ob im Ressourcenbestand oder auf der Seite „Empfehlungen“:

Screenshot: Position des Ressourcenfilters.

Härten der Kubernetes-Datenebene

Zum Schutz der Workloads Ihrer Kubernetes-Container mit individuell angepassten Empfehlungen können Sie die Azure-Richtlinie für Kubernetes installieren. Sie können diese Komponente auch automatisch bereitstellen, wie unter Aktivieren der automatischen Bereitstellung von Agenten und Erweiterungen erläutert.

Mit dem Add-On in Ihrem AKS-Cluster wird jede Anforderung an den Kubernetes-API-Server anhand der vordefinierten bewährten Methoden überwacht, bevor sie im Cluster persistent gespeichert wird. Anschließend können Sie das Erzwingen der bewährten Methoden konfigurieren und so verpflichtend auf zukünftige Workloads anwenden.

Beispielsweise können Sie vorschreiben, dass keine privilegierten Container erstellt werden sollen und dass zukünftige Anforderungen für diese Aktion blockiert werden sollen.

Sie können mehr über die Härtung der Kubernetes-Datenebene erfahren.

Sicherheitsrisikobewertung

Scannen von Images in ACR-Registrierungen

Defender für Container bietet die Überprüfung auf Sicherheitsrisiken für Images in Azure Container Registry-Instanzen (ACRs). Trigger für das Überprüfen eines Images umfassen:

  • Beim Pushen: Wenn ein Image zur Speicherung per Push an Ihre Registrierung übermittelt wird, wird es automatisch von Defender für Container überprüft.

  • Kürzlich per Pull übermittelt: Wöchentliche Überprüfungen der Images, die in den letzten 30 Tagen per Pull übermittelt wurden.

  • Beim Importieren: Wenn Sie Images in eine ACR-Instanz importieren, überprüft Defender für Container alle unterstützten Images.

Weitere Informationen finden Sie unter Sicherheitsrisikobewertung.

Beispiel einer Microsoft Defender für Cloud-Empfehlung zu in einem gehosteten Azure Container Registry-Image (ACR) erkannte Sicherheitsrisiken.

Anzeigen von Sicherheitsrisiken für ausgeführte Images

Defender für Cloud bietet seinen Kunden die Möglichkeit, die Beseitigung von Sicherheitsrisiken in Images, die derzeit in ihrer Umgebung verwendet werden, mit der Empfehlung Für ausgeführte Containerimages müssen erkannte Sicherheitsrisiken behoben werden. zu priorisieren.

Defender für Cloud stellt die Empfehlung bereit, indem der Bestand Ihrer ausgeführten Container, die von dem auf Ihren AKS-Clustern installierten Defender-Agent gesammelt werden, mit der Sicherheitsüberprüfung von in ACR gespeicherten Images korreliert wird. Die Empfehlung zeigt dann Ihre ausgeführten Container mit den Sicherheitsrisiken an, die mit den von den einzelnen Containern verwendeten Images verbunden sind, und liefert Ihnen Berichte über Sicherheitsrisiken und Schritte zur Behebung.

Hinweis

Windows-Container: Es gibt keinen Defender-Agent für Windows-Container. Der Defender-Agent wird auf einem im Cluster ausgeführten Linux-Knoten bereitgestellt, um den ausgeführten Containerbestand für Ihre Windows-Knoten abzurufen.

Die nicht per Pull aus ACR zur Bereitstellung in AKS abgerufenen Images werden nicht überprüft und werden auf der Registerkarte Nicht zutreffend angezeigt.

Aus der ACR-Registrierung gelöschte, aber noch ausgeführte Images werden erst 30 Tage nach der letzten Überprüfung in ACR gemeldet.

Screenshot, der zeigt, wo die Empfehlung zu sehen ist.

Laufzeitschutz für Kubernetes-Knoten und -Cluster

Microsoft Defender für Container bietet einen Echtzeit-Bedrohungsschutz für Ihre Containerumgebungen und generiert Warnungen für verdächtige Aktivitäten. Mit diesen Informationen können Sie schnell Sicherheitsprobleme lösen und die Sicherheit Ihrer Container verbessern. Bedrohungsschutz auf Clusterebene wird durch das Defender-Agent und die Analyse der Kubernetes-Überwachungsprotokolle bereitgestellt. Beispiele für Ereignisse auf dieser Ebene sind verfügbar gemachte Kubernetes-Dashboards und die Erstellung von Rollen mit hohen Berechtigungen sowie von sensiblen Einbindungen.

Darüber hinaus geht unsere Bedrohungserkennung über die Kubernetes-Verwaltungsebene hinaus. Defender für Container umfasst Bedrohungserkennung auf Hostebene mit mehr als 60 Kubernetes-fähigen Analysen, KI- und Anomalieerkennungen auf der Grundlage ihrer Laufzeitworkload.

Diese Lösung überwacht die wachsende Angriffsfläche von Multi-Cloud-Kubernetes-Bereitstellungen und verfolgt die MITRE ATT&CK®-Matrix für Container, ein Framework, das vom Zentrum für über Bedrohungen informierte Verteidigung in enger Partnerschaft mit Microsoft und anderen entwickelt wurde.

Häufig gestellte Fragen – Defender für Container

Welche Optionen gibt es, um den neuen Plan im großen Stil zu aktivieren?

Sie können die Azure-Richtlinie Configure Microsoft Defender for Containers to be enabled verwenden, um Defender für Container im großen Stil zu aktivieren. Sie können auch alle Optionen anzeigen, die verfügbar sind, um Microsoft Defender für Container zu aktivieren.

Unterstützt Microsoft Defender für Container AKS-Cluster mit VM-Skalierungsgruppen?

Ja.

Unterstützt Microsoft Defender für Container AKS ohne Skalierungsgruppe (Standard)?

Nein. Unterstützt werden nur AKS-Cluster (Azure Kubernetes Service), die VM-Skalierungsgruppen für die Knoten verwenden.

Muss ich die Log Analytics-VM-Erweiterung für den Sicherheitsschutz auf meinen AKS-Knoten installieren?

Nein. AKS ist ein verwalteter Dienst, und die Bearbeitung der IaaS-Ressourcen wird nicht unterstützt. Die Log Analytics-VM-Erweiterung ist nicht erforderlich und kann zusätzliche Gebühren verursachen.

Weitere Informationen

Erfahren Sie mehr über Defender für Container in den folgenden Blogs:

Der Releasestatus von Defender für Container wird nach zwei Dimensionen aufgeschlüsselt: Umgebung und Feature. Beispiel:

  • Kubernetes-Datenebenenempfehlungen für AKS-Cluster: GA
  • Kubernetes-Datenebenenempfehlungen für EKS-Cluster: Preview

Informationen zum Anzeigen des Status der vollständigen Matrix von Features und Umgebungen finden Sie unter Verfügbarkeit von Defender für Container-Features.

Nächste Schritte

In dieser Übersicht haben Sie die wichtigsten Elemente der Containersicherheit in Microsoft Defender für Cloud kennengelernt. Informationen zum Aktivieren des Plans finden Sie unter: