Introducción a Microsoft Defender for Containers

Microsoft Defender para Contenedores es la solución nativa de la nube que se utiliza para asegurar sus contenedores para que pueda mejorar, supervisar y mantener la seguridad de sus clústeres, contenedores y sus aplicaciones.

Defender para Contenedores le ayuda con los tres aspectos principales de la seguridad de los contenedores:

  • Protección del entorno: Defender para Containers protege los clústeres de Kubernetes tanto si se ejecutan en Azure Kubernetes Service, Kubernetes local o IaaS, como en Amazon EKS. Defender para Contenedores evalúa continuamente los clústeres para proporcionar visibilidad de las configuraciones erróneas y directrices para ayudar a mitigar las amenazas identificadas.

  • Evaluación de vulnerabilidades: herramientas de evaluación y administración de vulnerabilidades para imágenes almacenadas en registros de ACR y que se ejecutan en Azure Kubernetes Service.

  • Protección contra amenazas en tiempo de ejecución para nodos y clústeres: la protección contra amenazas para clústeres y nodos de Linux genera alertas de seguridad de actividades sospechosas.

Para obtener más información, vea este vídeo en la serie de vídeos del ámbito de Defender for Cloud: Microsoft Defender para contenedores.

Disponibilidad de planes de Microsoft Defender para contenedores

Aspecto Detalles
Estado de la versión: Disponibilidad general (GA)
Algunas características están en versión preliminar. Para obtener una lista completa, consulte la sección de disponibilidad.
Disponibilidad de características Consulte la sección de disponibilidad para obtener información adicional sobre el estado y la disponibilidad de la versión de actualización de características.
Precios: Microsoft Defender para contenedores se factura como se muestra en la página de precios.
Roles y permisos necesarios: • Para implementar automáticamente los componentes necesarios, consulte los permisos de cada uno de los componentes.
• El administrador de seguridad puede descartar las alertas
• El Lector de seguridad puede visualizar las vulnerabilidades de la evaluación
También consulte Roles y permisos de Azure Container Registry
Nubes: Azure:
Nubes comerciales
Nubes nacionales (Azure Government, Azure China 21Vianet) (excepto para las características en versión preliminar)

No de Azure:
Cuentas de AWS conectadas (versión preliminar)
Proyectos de GCP conectados (versión preliminar)
se admiten en el entorno local o IaaS mediante Kubernetes habilitado para Arc (versión preliminar).

Para más información, vea la sección sobre disponibilidad.

Protección

Supervisión continua de los clústeres de Kubernetes, dondequiera que estén hospedados

Defender for Cloud evalúa continuamente las configuraciones de los clústeres y las compara con las iniciativas aplicadas a las suscripciones. Cuando encuentra configuraciones incorrectas, Defender for Cloud genera recomendaciones de seguridad que están disponibles en la página Recomendaciones de Defender for Cloud. Las recomendaciones le permiten investigar y corregir problemas. Para conocer los detalles de las recomendaciones que pueden aparecer para esta función, consulte la sección de cálculo de la tabla de referencia de recomendaciones.

Para los clústeres de Kubernetes en EKS, tendrá que conectar la cuenta de AWS a Microsoft Defender for Cloud y asegúrese de que ha habilitado el plan CSPM.

Puede usar el filtro de recursos para revisar las recomendaciones pendientes para los recursos relacionados con el contenedor, ya sea en el inventario de recursos o en la página de recomendaciones:

Captura de pantalla que muestra dónde se encuentra el filtro de recursos.

Protección del plano de datos de Kubernetes

Para proteger las cargas de trabajo de los contenedores de Kubernetes con recomendaciones a medida, puede instalar Azure Policy para Kubernetes. Obtenga información sobre la supervisión de componentes para Defender for Cloud.

Con el complemento en el clúster de AKS, todas las solicitudes al servidor de la API de Kubernetes se supervisarán según el conjunto predefinido de procedimientos recomendados antes de que se guarden en el clúster. Después, puede realizar la configurar para aplicar los procedimientos recomendados y exigirlos para futuras cargas de trabajo.

Por ejemplo, puede exigir que no se creen los contenedores con privilegios y que se bloqueen las solicitudes futuras para este fin.

Puede obtener más información sobre la protección del plano de datos de Kubernetes.

Evaluación de vulnerabilidades

Examen de imágenes en registros de contenedor

Defender para contenedores examina los contenedores en Azure Container Registry (ACR) y Amazon AWS Elastic Container Registry (ECR) para notificarle si hay vulnerabilidades conocidas en las imágenes.

Al insertar una imagen en un registro de contenedor y mientras esta se almacena en el registro de contenedor, Defender para contenedores la examina automáticamente. Defender para contenedores comprueba si hay vulnerabilidades conocidas en los paquetes o dependencias que se han definido en el archivo de imagen.

Cuando se completa el examen, Defender para contenedores proporciona detalles para cada vulnerabilidad detectada, una clasificación de seguridad para cada una de ellas e instrucciones sobre cómo corregir problemas y proteger las superficies expuestas a ataques vulnerables.

Más información sobre:

Protección en tiempo de ejecución de los clústeres y nodos de Kubernetes

Defender para contenedores proporciona protección contra amenazas en tiempo real para los entornos en contenedores y genera alertas de actividades sospechosas. Puede usar esta información para corregir problemas de seguridad y mejorar la seguridad de los contenedores rápidamente. La protección contra amenazas en el nivel de clúster se proporciona mediante el agente de Defender y el análisis de los registros de auditoría de Kubernetes. Entre los ejemplos de eventos en este nivel se incluyen los paneles de Kubernetes expuestos, y la creación de roles con privilegios elevados y de montajes confidenciales.

Defender para contenedores también incluye la detección de amenazas de nivel de host con más de 60 detecciones de anomalías, inteligencia artificial y análisis con reconocimiento de Kubernetes en función de la carga de trabajo en tiempo de ejecución.

Defender for Cloud supervisa la superficie de ataque de las implementaciones de varias nubes de Kubernetes y realiza el seguimiento de la matriz MITRE ATT&CK® para Contenedores, un marco desarrollado por el Centro de defensa contra amenazas informadas en estrecha colaboración con Microsoft.

Preguntas frecuentes: Defender for Containers

¿Cuáles son las opciones para habilitar el nuevo plan a escala?

Puede usar el Azure Policy Configure Microsoft Defender for Containers to be enabled, para habilitar Defender para contenedores a escala. También puede ver todas las opciones disponibles para habilitar Microsoft Defender para contenedores.

¿Microsoft Defender para contenedores admite clústeres de AKS con conjuntos de escalado de máquinas virtuales?

Sí.

¿Microsoft Defender para contenedores admite AKS con un conjunto de escalado (valor predeterminado)?

No. Solo se admiten los clústeres de Azure Kubernetes Service (AKS) que usan Virtual Machine Scale Sets para los nodos.

¿Necesito instalar la extensión de máquina virtual de Log Analytics en mis nodos de AKS con fines de protección de seguridad?

No, AKS es un servicio administrado y no se admite la manipulación de los recursos de IaaS. La extensión de máquina virtual de Log Analytics no es necesaria y puede generar cargos adicionales.

Más información

Obtenga más información sobre Defender para contenedores en los siguientes blogs:

El estado de lanzamiento de Defender para contenedores se desglosa en función de dos dimensiones: entorno y característica. Así, por ejemplo:

  • Las recomendaciones para el uso del plano de datos de Kubernetes para clústeres de AKS están disponibles con disponibilidad general.
  • Las recomendaciones para el uso del plano de datos de Kubernetes para clústeres de EKS están disponibles con disponibilidad general.

Para ver el estado de lanzamiento de todas las características y entornos, consulte Disponibilidad de características de Microsoft Defender para contenedores.

Pasos siguientes

En esta información general, ha aprendido los elementos básicos de la seguridad de los contenedores en Microsoft Defender para la nube. Para habilitar el plan, consulte: