Microsoft Defender para contenedores es una solución nativa de nube para mejorar, supervisar y mantener la seguridad de los recursos contenedorizados (clústeres de Kubernetes, nodos de Kubernetes, cargas de trabajo de Kubernetes, registros de contenedor, imágenes de contenedor y mucho más) y sus aplicaciones, en entornos multinube y locales.
Defender para contenedores le ayuda con cuatro dominios principales de la seguridad de los contenedores:
Administración de la posición de seguridad ejecuta la supervisión continua de las API en la nube, las API de Kubernetes y las cargas de trabajo de Kubernetes para detectar recursos en la nube, proporcionar funcionalidades de inventario completas, detectar configuraciones incorrectas con directrices de mitigación, proporcionar evaluación de riesgos contextuales y permitir a los usuarios realizar funcionalidades mejoradas de búsqueda de riesgos a través del Explorador de seguridad de Defender for Cloud.
Evaluación de vulnerabilidades: realiza una evaluación de vulnerabilidades sin agente de nodos K8s y registros de contenedor admitidos con directrices de corrección, configuración cero, exámenes diarios, cobertura de paquetes de sistema operativo y lenguaje y información sobre vulnerabilidades de seguridad.
Protección contra amenazas en tiempo de ejecución: un amplio conjunto de detección de amenazas para clústeres, nodos y cargas de trabajo de Kubernetes, con tecnología de inteligencia sobre amenazas líder de Microsoft, proporciona asignación al marco MITRE ATT&CK para comprender fácilmente el riesgo y el contexto pertinente y la respuesta automatizada. Los operadores de seguridad también pueden investigar y responder a amenazas a los servicios de Kubernetes a través del Portal de Microsoft Defender XDR.
Implementación y supervisión: Supervisa los clústeres de Kubernetes para los sensores que faltan y proporciona una implementación sin fricción a escala para funcionalidades basadas en sensores, compatibilidad con herramientas de supervisión estándar de Kubernetes y administración de recursos no supervisados.
Consulte la matriz de Soporte de contenedores en Defender for Cloud para obtener información adicional sobre el estado y la disponibilidad de la versión de actualización de características.
Precios:
Microsoft Defender para contenedores se factura como se muestra en la página de precios.
Detección sin agente para Kubernetes : proporciona cero superficie, detección basada en API de los clústeres, configuraciones e implementaciones de Kubernetes.
Evaluación de vulnerabilidades sin agente: proporciona una evaluación de vulnerabilidades para nodos de clúster y para todas las imágenes de contenedor, incluidas recomendaciones para el registro y el tiempo de ejecución, exámenes rápidos de nuevas imágenes, actualización diaria de resultados, información sobre vulnerabilidades de seguridad, y más. La información sobre vulnerabilidades se agrega al grafo de seguridad para la evaluación contextual del riesgo y el cálculo de rutas de acceso de los ataques y las funcionalidades de búsqueda.
Funcionalidades de inventario completas: permite explorar recursos, pods, servicios, repositorios, imágenes y configuraciones a través del explorador de seguridad para supervisar y administrar fácilmente los recursos.
Protección del plano de control: evalúa continuamente las configuraciones de los clústeres y las compara con las iniciativas aplicadas a las suscripciones. Cuando encuentra configuraciones incorrectas, Defender for Cloud genera recomendaciones de seguridad que están disponibles en la página Recomendaciones de Defender for Cloud. Las recomendaciones le permiten investigar y corregir problemas.
Puede usar el filtro de recursos para revisar las recomendaciones pendientes para los recursos relacionados con el contenedor, ya sea en el inventario de recursos o en la página de recomendaciones:
Para obtener más información incluida con esta funcionalidad, revise las recomendaciones de contenedor y busque recomendaciones con el tipo "Plano de control"
Funcionalidades basadas en sensores
Detección de desfase binario: Defender para contenedores proporciona una funcionalidad basada en sensores que le avisa sobre posibles amenazas de seguridad mediante la detección de procesos externos no autorizados dentro de contenedores. Puede definir directivas de desfase para especificar las condiciones en las que se deben generar alertas, lo que le ayuda a distinguir entre actividades legítimas y posibles amenazas. Para obtener más información, consulte Protección de desfase binario (versión preliminar).
Protección del plano de datos de Kubernetes: para proteger las cargas de trabajo de los contenedores de Kubernetes con recomendaciones de procedimientos recomendados, puede instalar Azure Policy para Kubernetes. Obtenga información sobre la supervisión de componentes para Defender for Cloud.
Con las directivas definidas para el clúster de Kubernetes, todas las solicitudes al servidor de API de Kubernetes se supervisan con el conjunto predefinido de procedimientos recomendados antes de conservarse en el clúster. Después, puede realizar la configurar para aplicar los procedimientos recomendados y exigirlos para futuras cargas de trabajo.
Por ejemplo, puede exigir que no se creen los contenedores con privilegios y que se bloqueen las solicitudes futuras para este fin.
Defender para contenedores examina el sistema operativo del nodo de clúster y el software de aplicación, las imágenes de contenedor en Azure Container Registry (ACR), Amazon AWS Elastic Container Registry (ECR), Google Artifact Registry (GAR), Google Container Registry (GCR) y los registros de imágenes externos admitidos para proporcionar una evaluación de vulnerabilidades sin agente.
La información de vulnerabilidades con tecnología de administración de vulnerabilidades de Microsoft Defender se agrega al gráfico de seguridad en la nube para el riesgo contextual, el cálculo de rutas de acceso a ataques y las funcionalidades de búsqueda.
Obtenga más información sobre la evaluación de vulnerabilidades para:
Protección en tiempo de ejecución de los clústeres y nodos de Kubernetes
Defender para contenedores proporciona protección contra amenazas en tiempo real para los entornos en contenedores compatibles y genera alertas de actividades sospechosas. Puede usar esta información para corregir problemas de seguridad y mejorar la seguridad de los contenedores rápidamente.
La protección contra amenazas se proporciona para Kubernetes en los niveles de clúster, nodo y carga de trabajo. Tanto la cobertura basada en sensores que requiere elSensor de Defendery la cobertura sin agente que se basa en el análisis de los registros de auditoría de Kubernetes, se usan para detectar amenazas. Las alertas de seguridad solo se desencadenan para las acciones e implementaciones que se producen después de habilitar Defender para contenedores en la suscripción.
Entre los ejemplos de eventos de seguridad que supervisa Microsoft Defender para contenedores, se incluyen los siguientes:
Paneles de Kubernetes expuestos.
Creación de roles con privilegios elevados.
Creación de montajes confidenciales
Para ver las alertas de seguridad, seleccione el icono Alertas de seguridad en la parte superior de la página de información general de Defender for Cloud o el vínculo de la barra lateral.
Las alertas de seguridad para la carga de trabajo en tiempo de ejecución de los clústeres tienen el prefijo de tipo de alerta K8S.NODE_. Para la lista completa de las alertas de nivel de clúster, consulte la tabla de referencia de alertas.
Defender para contenedores incluye detección de amenazas con más de 60 análisis compatibles con Kubernetes, inteligencia artificial y detecciones de anomalías basadas en la carga de trabajo en tiempo de ejecución.
En esta información general, ha aprendido los elementos básicos de la seguridad de los contenedores en Microsoft Defender para la nube. Para habilitar el plan, consulte:
Descubra cómo aprovechar Microsoft Defender for Cloud a través de Azure Portal para garantizar la seguridad de los servicios y cargas de trabajo de Azure, lo que ofrece detección y prevención de amenazas continuas.
Obtenga información sobre las ventajas y las características de Microsoft Defender para Kubernetes y cómo proporciona protección contra amenazas en tiempo real para los entornos en contenedores de Azure Kubernetes Service (AKS).