Introducción a Microsoft Defender for Containers

Microsoft Defender para Contenedores es la solución nativa de la nube que se utiliza para asegurar sus contenedores para que pueda mejorar, supervisar y mantener la seguridad de sus clústeres, contenedores y sus aplicaciones.

Defender para Contenedores le ayuda con los tres aspectos principales de la seguridad de los contenedores:

  • Protección del entorno: Defender para Containers protege los clústeres de Kubernetes tanto si se ejecutan en Azure Kubernetes Service, Kubernetes local o IaaS, como en Amazon EKS. Defender para Contenedores evalúa continuamente los clústeres para proporcionar visibilidad de las configuraciones erróneas y directrices para ayudar a mitigar las amenazas identificadas.

  • Evaluación de vulnerabilidades: herramientas de evaluación y administración de vulnerabilidades para imágenes almacenadas en registros de ACR y que se ejecutan en Azure Kubernetes Service.

  • Protección contra amenazas en tiempo de ejecución para nodos y clústeres: la protección contra amenazas para clústeres y nodos de Linux genera alertas de seguridad de actividades sospechosas.

Para obtener más información, vea este vídeo en la serie de vídeos del ámbito de Defender for Cloud: Microsoft Defender para contenedores.

Disponibilidad de planes de Microsoft Defender para contenedores

Aspecto Detalles
Estado de la versión: Disponibilidad general (GA)
Algunas características están en versión preliminar. Para obtener una lista completa, consulte la sección de disponibilidad.
Disponibilidad de características Consulte la sección de disponibilidad para obtener información adicional sobre el estado y la disponibilidad de la versión de actualización de características.
Precios: Microsoft Defender para contenedores se factura como se muestra en la página de precios.
Roles y permisos necesarios: • Para aprovisionar automáticamente los componentes necesarios, consulte los permisos de cada uno de los componentes.
• El administrador de seguridad puede descartar las alertas
• El Lector de seguridad puede visualizar las vulnerabilidades de la evaluación
También consulte Roles y permisos de Azure Container Registry
Nubes: Azure:
Nubes comerciales
Nubes nacionales (Azure Government, Azure China 21Vianet) (excepto para las características en versión preliminar)

No de Azure:
Cuentas de AWS conectadas (versión preliminar)
Proyectos de GCP conectados (versión preliminar)
se admiten en el entorno local o IaaS mediante Kubernetes habilitado para Arc (versión preliminar).

Para más información, vea la sección sobre disponibilidad.

Protección

Supervisión continua de los clústeres de Kubernetes, dondequiera que estén hospedados

Defender for Cloud evalúa continuamente las configuraciones de los clústeres y las compara con las iniciativas aplicadas a las suscripciones. Cuando encuentra configuraciones incorrectas, Defender for Cloud genera recomendaciones de seguridad que están disponibles en la página Recomendaciones de Defender for Cloud. Las recomendaciones le permiten investigar y corregir problemas. Para conocer los detalles de las recomendaciones que pueden aparecer para esta función, consulte la sección de cálculo de la tabla de referencia de recomendaciones.

Para los clústeres de Kubernetes en EKS, tendrá que conectar la cuenta de AWS a Microsoft Defender for Cloud y asegúrese de que ha habilitado el plan CSPM.

Puede usar el filtro de recursos para revisar las recomendaciones pendientes para los recursos relacionados con el contenedor, ya sea en el inventario de recursos o en la página de recomendaciones:

Captura de pantalla que muestra dónde se encuentra el filtro de recursos.

Protección del plano de datos de Kubernetes

Para proteger las cargas de trabajo de los contenedores de Kubernetes con recomendaciones a medida, puede instalar Azure Policy para Kubernetes. También puede implementar automáticamente este componente tal y como se explica en Habilitar el aprovisionamiento automático de agentes y extensiones.

Con el complemento en el clúster de AKS, todas las solicitudes al servidor de la API de Kubernetes se supervisarán según el conjunto predefinido de procedimientos recomendados antes de que se guarden en el clúster. Después, puede realizar la configurar para aplicar los procedimientos recomendados y exigirlos para futuras cargas de trabajo.

Por ejemplo, puede exigir que no se creen los contenedores con privilegios y que se bloqueen las solicitudes futuras para este fin.

Puede obtener más información sobre la protección del plano de datos de Kubernetes.

Evaluación de vulnerabilidades

Examinación de imágenes en registros de ACR

Defender para contenedores ofrece el examen de vulnerabilidad de las imágenes en Azure Container Registries (ACR). Entre los desencadenadores para examinar una imagen se incluyen:

  • Al insertar: cuando se inserta una imagen en un registro para el almacenamiento, Defender para contenedores examina automáticamente la imagen.

  • Extraída recientemente: exámenes semanales de imágenes que se han extraído en los últimos 30 días.

  • Al importar: al importar imágenes en un ACR, Defender para contenedores examina las imágenes admitidas.

Más información en Evaluación de vulnerabilidades.

Ejemplo de recomendación de Microsoft Defender for Cloud sobre vulnerabilidades detectadas en una imagen hospedada en Azure Container Registry (ACR).

Visualización de vulnerabilidades para imágenes en ejecución

Defender for Cloud ofrece a sus clientes la capacidad de priorizar la corrección de vulnerabilidades en imágenes que se usan actualmente en su entorno mediante la recomendación La ejecución de imágenes de contenedor debe resolver los resultados de vulnerabilidad.

Defender for Cloud puede proporcionar la recomendación, mediante la correlación del inventario de los contenedores en ejecución que recopila el agente de Defender, que está instalado en los clústeres de AKS, con el examen de valoración de vulnerabilidades de las imágenes almacenadas en ACR. A continuación, la recomendación muestra los contenedores en ejecución con las vulnerabilidades asociadas a las imágenes que usa cada contenedor y proporciona los informes de vulnerabilidades y los pasos de corrección.

Nota:

Contenedores de Windows: no existe ningún agente de Defender para contenedores de Windows, el agente de Defender se implementa en un nodo de Linux que se ejecuta en el clúster, a fin de recuperar el inventario de contenedores en ejecución para los nodos de Windows.

Las imágenes que no se extraen de ACR para la implementación en AKS no se comprobarán y aparecerán en la pestaña No aplicable.

Las imágenes que se han eliminado del registro de ACR, pero que todavía se están ejecutando, no se notificarán hasta 30 días después de que se haya producido el último examen en ACR.

Captura de pantalla que muestra dónde se puede ver la recomendación.

Protección en tiempo de ejecución de los clústeres y nodos de Kubernetes

Defender para contenedores proporciona protección contra amenazas en tiempo real para los entornos en contenedores y genera alertas de actividades sospechosas. Puede usar esta información para corregir problemas de seguridad y mejorar la seguridad de los contenedores rápidamente. La protección contra amenazas en el nivel de clúster se proporciona mediante el agente de Defender y el análisis de los registros de auditoría de Kubernetes. Entre los ejemplos de eventos en este nivel se incluyen los paneles de Kubernetes expuestos, y la creación de roles con privilegios elevados y de montajes confidenciales.

Además, nuestra detección de amenazas va más allá del nivel de administración de Kubernetes. Defender for Containers incluye la detección de amenazas de nivel de host con más de 60 detecciones de anomalías, inteligencia artificial y análisis con reconocimiento de Kubernetes en función de la carga de trabajo en tiempo de ejecución.

Esta solución supervisa la creciente superficie de ataque de las implementaciones de varias nubes de Kubernetes y realiza el seguimiento de la matriz MITRE ATT&CK® para Containers, un marco desarrollado por el Centro de defensa contra amenazas informadas en estrecha colaboración con Microsoft y otros.

Preguntas frecuentes: Defender for Containers

¿Cuáles son las opciones para habilitar el nuevo plan a escala?

Puede usar el Azure Policy Configure Microsoft Defender for Containers to be enabled, para habilitar Defender para contenedores a escala. También puede ver todas las opciones disponibles para habilitar Microsoft Defender para contenedores.

¿Microsoft Defender para contenedores admite clústeres de AKS con conjuntos de escalado de máquinas virtuales?

Sí.

¿Microsoft Defender para contenedores admite AKS con un conjunto de escalado (valor predeterminado)?

No. Solo se admiten los clústeres de Azure Kubernetes Service clústeres (AKS) que usan conjuntos de escalado de máquinas virtuales para los nodos.

¿Necesito instalar la extensión de máquina virtual de Log Analytics en mis nodos de AKS con fines de protección de seguridad?

No, AKS es un servicio administrado y no se admite la manipulación de los recursos de IaaS. La extensión de máquina virtual de Log Analytics no es necesaria y puede generar cargos adicionales.

Más información

Obtenga más información sobre Defender para contenedores en los siguientes blogs:

El estado de lanzamiento de Defender para contenedores se desglosa en función de dos dimensiones: entorno y característica. Así, por ejemplo:

  • Las recomendaciones para el uso del plano de datos de Kubernetes para clústeres de AKS están disponibles con disponibilidad general.
  • Las recomendaciones para el uso del plano de datos de Kubernetes para clústeres de EKS están disponibles con disponibilidad general.

Para ver el estado de lanzamiento de todas las características y entornos, consulte Disponibilidad de características de Microsoft Defender para contenedores.

Pasos siguientes

En esta información general, ha aprendido los elementos básicos de la seguridad de los contenedores en Microsoft Defender para la nube. Para habilitar el plan, consulte: