Protección y supervisión de Azure Kubernetes Service

  • 7 minutos

Microsoft Defender para contenedores es una solución nativa de nube para mejorar, supervisar y mantener la seguridad de los recursos contenedorizados (clústeres de Kubernetes, nodos de Kubernetes, cargas de trabajo de Kubernetes, registros de contenedor, imágenes de contenedor y mucho más) y sus aplicaciones, en entornos multinube y locales.

Defender for Containers le ayuda con cinco dominios principales de seguridad de contenedor:

  • Administración de la posición de seguridad: realiza una supervisión continua de las API en la nube, las API de Kubernetes y las cargas de trabajo de Kubernetes para detectar recursos en la nube, proporcionar funcionalidades de inventario completas, detectar configuraciones incorrectas y proporcionar directrices para mitigarlas, proporcionar evaluación de riesgos contextuales y permitir a los usuarios realizar funcionalidades mejoradas de búsqueda de riesgos a través del Explorador de seguridad de Defender for Cloud.
  • Evaluación de vulnerabilidades: genera una evaluación de vulnerabilidades sin intervención de agentes de las imágenes del registro del contenedor, de los contenedores en ejecución y de los nodos de Kubernetes compatibles con Azure, AWS y GCP con reglas de corrección, sin configuraciones, con exámenes diarios, con cobertura para paquetes de sistema operativo y de idiomas y con información sobre vulnerabilidades de seguridad. Los hallazgos de vulnerabilidades se firman con certificados de Microsoft para la integridad y la autenticidad.
  • Protección contra amenazas en tiempo de ejecución: una suite rica en detección de amenazas para clústeres, nodos y cargas de trabajo de Kubernetes, potenciada por la inteligencia sobre amenazas líder de Microsoft, proporciona asignación al marco MITRE ATT&CK para comprender fácilmente el riesgo, el contexto relevante y la respuesta automatizada. Los operadores de seguridad pueden investigar y responder a amenazas a través del portal de XDR de Microsoft Defender.
  • Protección de la cadena de suministro de software de contenedor : refuerza la cadena de suministro de software mediante la inserción de comprobaciones de seguridad de la compilación a la implementación. Aplica las directivas de seguridad de la organización a través de la implementación controlada que bloquea las imágenes de riesgo y evalúa las implementaciones con respecto a las reglas de seguridad, lo que ayuda a evitar que las vulnerabilidades lleguen a producción.
  • Implementación y supervisión : supervisa los clústeres de Kubernetes para los sensores que faltan y proporciona una implementación sin fricción a escala para funcionalidades basadas en sensores, compatibilidad con herramientas estándar de supervisión de Kubernetes y administración de recursos no supervisados.

Administración de la posición de seguridad

Funcionalidades sin agente

  • Detección sin agente para Kubernetes - ofrece una detección sin huella basada en API de los clústeres de Kubernetes, sus configuraciones e implementaciones.
  • Evaluación de vulnerabilidades sin agente : proporciona evaluación de vulnerabilidades para los nodos de clúster y para todas las imágenes de contenedor, incluidas las recomendaciones para el registro y el tiempo de ejecución, exámenes rápidos de nuevas imágenes, actualización diaria de resultados, información sobre vulnerabilidades de seguridad, etc. El análisis de contenedores en tiempo de ejecución sin agente ahora está disponible con carácter general para AKS y amplía la cobertura a los contenedores en ejecución mediante imágenes de cualquier registro. La información sobre vulnerabilidades se agrega al grafo de seguridad para la evaluación contextual del riesgo y el cálculo de rutas de acceso de los ataques y las funcionalidades de búsqueda.
  • Funcionalidades de inventario completas : permite explorar recursos, pods, servicios, repositorios, imágenes y configuraciones a través del Explorador de seguridad para supervisar y administrar fácilmente los recursos.
  • Búsqueda de riesgos mejorada : permite a los administradores de seguridad buscar activamente problemas de posición en sus recursos en contenedores a través de consultas (integradas y personalizadas) y información de seguridad en el explorador de seguridad.
  • Protección del plano de control: evalúa continuamente las configuraciones de los clústeres y las compara con las iniciativas aplicadas a las suscripciones. Cuando encuentra configuraciones incorrectas, Defender for Cloud genera recomendaciones de seguridad que están disponibles en la página Recomendaciones de Defender for Cloud. Las recomendaciones le permiten investigar y corregir problemas.

Puede usar el filtro de recursos para revisar las recomendaciones pendientes para los recursos relacionados con el contenedor, ya sea en el inventario de recursos o en la página de recomendaciones:

Captura de pantalla que muestra cómo usar el filtro de recursos para revisar las recomendaciones pendientes.

Funcionalidades basadas en sensores

Protección del plano de datos de Kubernetes; para proteger las cargas de trabajo de los contenedores de Kubernetes con recomendaciones de mejores prácticas, puede instalar Azure Policy para Kubernetes.

Con Azure Policy para Kubernetes, todas las solicitudes al servidor de API de Kubernetes se supervisan con el conjunto predefinido de procedimientos recomendados antes de conservarse en el clúster. Después, puede configurarlo para implantar las mejores prácticas y hacerlas obligatorias para futuras cargas de trabajo.

Por ejemplo, puede exigir que no se creen los contenedores con privilegios y que se bloqueen las solicitudes futuras para este fin.

Detección de desfase binario: Defender para contenedores proporciona una funcionalidad basada en sensores que le avisa sobre posibles amenazas de seguridad mediante la detección de procesos externos no autorizados dentro de contenedores. Puede definir directivas de desfase para especificar condiciones en las que se deben generar alertas, lo que ayuda a distinguir entre actividades legítimas y posibles amenazas.

Evaluación de vulnerabilidades

Defender for Containers examina imágenes de contenedor en Azure Container Registry (ACR), Amazon AWS Elastic Container Registry (ECR), Google Artifact Registry (GAR), Google Container Registry (GCR) y registros externos compatibles (incluidos JFrog Artifactory Cloud y Docker Hub) para proporcionar informes de vulnerabilidades para las imágenes de contenedor. También realiza exámenes diarios sin agente de todos los contenedores en ejecución para proporcionar una evaluación de vulnerabilidad actualizada, independiente del registro de imágenes del contenedor.

Los informes de vulnerabilidades proporcionan detalles para cada vulnerabilidad detectada, guía de corrección, información sobre vulnerabilidades reales, puntuación de CVSS e información de vulnerabilidad. La evaluación de vulnerabilidades se basa en la administración de vulnerabilidades de Microsoft Defender.

Protección en tiempo de ejecución de los clústeres y nodos de Kubernetes

Defender para contenedores proporciona protección contra amenazas en tiempo real para los entornos en contenedores compatibles y genera alertas de actividades sospechosas. Puede usar esta información para corregir problemas de seguridad y mejorar la seguridad de los contenedores rápidamente.

El sensor de Defender proporciona protección contra amenazas en el nivel de clúster y el análisis de los registros de auditoría de Kubernetes. Los operadores de seguridad también pueden investigar y responder a amenazas a los servicios de Kubernetes a través del portal de XDR de Microsoft Defender. Esto significa que las alertas de seguridad solo se desencadenan para acciones e implementaciones que se producen después de habilitar Defender para contenedores en la suscripción.

Entre los ejemplos de eventos de seguridad que supervisa Microsoft Defender para contenedores se incluyen:

  • Paneles de Kubernetes expuestos
  • Creación de roles con privilegios elevados.
  • Creación de montajes confidenciales

Para ver las alertas de seguridad, seleccione el icono Alertas de seguridad en la parte superior de la página de información general de Defender for Cloud o el vínculo de la barra lateral.

Captura de pantalla que muestra cómo ver las alertas de seguridad en Defender for Cloud.

Se abre la página de alertas de seguridad:

Captura de pantalla que muestra las alertas de seguridad para la carga de trabajo en tiempo de ejecución en los clústeres.

Los avisos de seguridad para la carga de trabajo en tiempo de ejecución en los clústeres se identifican mediante el prefijo del tipo de alerta K8S.NODE_.

Defender for Containers también incluye la detección de amenazas de nivel de host con más de 60 análisis compatibles con Kubernetes, inteligencia artificial y detecciones de anomalías basadas en la carga de trabajo en tiempo de ejecución. Hay otras funcionalidades, que son:

  • Acción de respuesta para restringir el acceso a Pods – disponible en versión preliminar en Microsoft Defender XDR, esta acción bloquea las interfaces confidenciales dentro de los pods de Kubernetes para contener posibles infracciones y reducir la exposición en entornos de clúster.
  • Implementación controlada de Kubernetes : ahora disponible con carácter general, esta característica aplica la seguridad de la imagen de contenedor en el momento de la implementación mediante el control de admisión de Kubernetes para bloquear o auditar las implementaciones de imágenes de contenedor que infringen las reglas de seguridad de la organización.

Defender for Cloud supervisa la superficie de ataque de implementaciones de Kubernetes multinube según la matriz MITRE ATT&CK para Contenedores. MITRE ATT&CK es un marco desarrollado por el Centro de Defensa Informada por Amenazas en estrecha colaboración con Microsoft.