Resumen
El equipo de ingeniería de seguridad en la nube de Contoso Retail comenzó este módulo con dos carencias de detección no resueltas: ningún análisis de vulnerabilidades de las imágenes de Azure Container Registry (ACR) y ninguna visibilidad del entorno de ejecución en los clústeres de Azure Kubernetes Service (AKS). Una imagen de base externa sospechosa no se detectó durante semanas y el equipo no tenía forma de saber lo que realmente se estaba ejecutando en el entorno de producción.
Ha explorado la arquitectura de Microsoft Defender para contenedores y sus cuatro pilares de protección: evaluación de vulnerabilidades, protección contra amenazas en tiempo de ejecución, administración de la posición de seguridad y implementación controlada. Cada pilar cubre una fase distinta del ciclo de vida del contenedor y, juntas, crean un modelo de defensa superpuesta.
Ha habilitado el plan Defender para contenedores en Microsoft Defender para la nube y ha configurado sus componentes —el sensor de Defender, el complemento de Azure Policy, el acceso a la API de Kubernetes y el acceso a los registros— para proteger los clústeres de AKS y los registros de ACR en toda una suscripción. Ha comprobado la cobertura de implementación mediante la pantalla Recomendaciones.
Ha evaluado los hallazgos sobre vulnerabilidades de las imágenes del contenedor obtenidos mediante el análisis de ACR, revisando las vistas de recomendaciones que muestran las puntuaciones CVSS, los paquetes afectados, los datos de explotabilidad y las directrices de corrección. Ha aprendido cómo funcionan conjuntamente el examen repetido activado por inserción y continuo, y cómo los hallazgos de vulnerabilidades en tiempo de ejecución permiten rastrear las imágenes vulnerables hasta las cargas de trabajo activas en los clústeres de AKS.
Ha detectado amenazas en tiempo de ejecución de contenedores y configuraciones erróneas mediante el análisis de registros de auditoría de Kubernetes, las alertas de tiempo de ejecución del sensor Defender y la detección de desviaciones binarias. Ha configurado políticas de deriva tanto para alertar sobre procesos no autorizados como para bloquearlos en contenedores en ejecución. Ha revisado las recomendaciones sobre la postura de seguridad alineadas con CIS Kubernetes Benchmark y ha explorado cómo la implementación restringida, mediante el control de admisión de Azure Policy, impide que las cargas de trabajo no conformes lleguen al clúster. Ha configurado el reenvío de alertas a Microsoft Sentinel y Microsoft Defender XDR para que el equipo de SOC pueda investigar las alertas de contenedor junto con las señales de identidad y red en sus herramientas de investigación.
El modelo en capas que forman estas funcionalidades es: evitar configuraciones incorrectas a través de recomendaciones de posición e implementación cerrada, detectar vulnerabilidades y amenazas a través del examen de imágenes y las alertas en tiempo de ejecución, y bloquear el comportamiento no autorizado con bloqueo de desfase binario.
En este módulo, ha aprendido a:
- Describir los pilares de arquitectura y protección de Microsoft Defender para contenedores
- Habilitación y configuración del plan de Defender para contenedores en Microsoft Defender para la nube
- Evaluación de los hallazgos de vulnerabilidades de las imágenes de contenedor del análisis de ACR
- Interpretación de alertas de amenazas en tiempo de ejecución y recomendaciones de posición de seguridad para clústeres de AKS