Vue d’ensemble de Microsoft Defender pour les conteneurs

  • Article

Microsoft Defender pour les conteneurs est la solution native du cloud pour améliorer, surveiller et maintenir la sécurité de vos clusters, de vos conteneurs et de leurs applications.

Defender pour les conteneurs vous aide avec trois besoins essentiels de la sécurité des conteneurs :

  • Durcissement de l’environnement - Defender pour les conteneurs protège vos clusters Kubernetes, qu’ils s’exécutent sur Azure Kubernetes Service, Kubernetes en local/IaaS ou Amazon EKS. En évaluant les clusters en continu, Defender pour les conteneurs offre une visibilité sur les mauvaises configurations et fournit des recommandations sur la façon d’atténuer les menaces identifiées.

  • Évaluation des vulnérabilités - Outils d’évaluation et de gestion des vulnérabilités pour les images stockées dans Azure Container Registry et Elastic Container Registry

  • Protection contre les menaces au moment de l’exécution pour les nœuds et les clusters : la protection contre les menaces pour les clusters et les nœuds génère des alertes de sécurité en cas d’activités suspectes.

Vous pouvez en savoir plus en regardant cette vidéo Defender for Cloud dans la série de vidéos Field : Microsoft Defender pour les conteneurs.

Disponibilité des plans Microsoft Defender pour les conteneurs

Aspect Détails
État de sortie : Disponibilité générale
Certaines fonctionnalités sont en préversion. Pour obtenir une liste complète, consultez la section Disponibilité.
Disponibilité des fonctionnalités Reportez-vous à la section Disponibilité pour plus d’informations sur l’état de publication et la disponibilité des fonctionnalités.
Prix : Microsoft Defender pour les conteneurs est facturé comme indiqué dans la page de tarification.
Rôles et autorisations obligatoires : • Pour déployer les composants requis, consultez les autorisations pour chacun des composants
• L’administrateur de la sécurité peut ignorer les alertes
• Le lecteur de sécurité peut voir les résultats de l’évaluation des vulnérabilités
Voir aussi Rôles pour la correction et Rôles et autorisations Azure Container Registry
Clouds : Azure :
Clouds commerciaux
Clouds nationaux (Azure Government, Azure China 21Vianet) (à l’exception des fonctionnalités d’évaluation)

Non-Azure :
Comptes AWS connectés (préversion)
Projets GCP connectés (préversion)
Local/IaaS pris en charge via Kubernetes avec Arc (préversion).

Pour plus d’informations à ce sujet, consultez la section relative à la disponibilité.

Renforcement de la sécurité

Monitoring continu de vos clusters Kubernetes, où qu’ils soient hébergés

Defender pour le cloud évalue en permanence les configurations de vos clusters et les compare aux initiatives appliquées à vos abonnements. Lorsqu’il trouve des configurations incorrectes, Defender pour Cloud génère des recommandations de sécurité disponibles sur la page Recommandations de Defender pour cloud. Les recommandations vous permettent d’examiner et de corriger les problèmes.

Vous pouvez utiliser le filtre de ressources pour passer en revue les recommandations en attente pour vos ressources liées au conteneur, que ce soit dans l’inventaire des ressources ou la page de recommandations :

Capture d’écran montrant où le filtre de ressource se trouve.

Pour plus d’informations sur les recommandations qui peuvent s’afficher au sujet de cette fonctionnalité, consultez la section relative au calcul de la table de référence des recommandations.

Sécurisation renforcée des plans de données Kubernetes

Pour obtenir des recommandations personnalisées visant à protéger les charges de travail de vos conteneurs Kubernetes, vous pouvez installer Azure Policy pour Kubernetes. Découvrez en plus sur les composants de surveillance pour Defender pour le cloud.

Avec le module complémentaire sur votre cluster AKS, chaque demande adressée au serveur d’API Kubernetes est analysée par rapport à l’ensemble prédéfini de bonnes pratiques, avant d’être conservée sur le cluster. Vous pouvez ensuite configurer la mise en œuvre des meilleures pratiques et les imposer aux charges de travail futures.

Par exemple, vous pouvez faire en sorte que des conteneurs privilégiés ne soient pas créés, et que toutes les demandes ultérieures soient bloquées.

Vous pouvez en savoir plus sur le renforcement du plan de données Kubernetes.

Évaluation des vulnérabilités

Defender pour les conteneurs analyse les conteneurs dans Azure Container Registry (ACR) et Amazon AWS Elastic Container Registry (ECR) pour vous avertir de la présence de vulnérabilités connues dans vos images. Une fois l’analyse terminée, Defender pour les conteneurs fournit des détails sur chaque vulnérabilité détectée, une classification de sécurité pour chaque vulnérabilité détectée et de l’aide sur la façon de corriger les problèmes et de protéger les surfaces d’attaque vulnérables.

Pour en savoir plus :

Protection à l’exécution pour les nœuds et les clusters Kubernetes

Defender pour les conteneurs fournit une protection contre les menaces en temps réel pour les environnements conteneurisés pris en charge, et génère des alertes en cas d’activités suspectes. Vous pouvez utiliser ces informations pour remédier rapidement aux problèmes de sécurité et améliorer la sécurité de vos conteneurs. La protection contre les menaces au niveau du cluster est fournie par l’agent Defender et l’analyse des journaux d’audit Kubernetes. Les tableaux de bord Kubernetes exposés, la création de rôles dotés de privilèges élevés et la création de montages sensibles sont des exemples d’événements à ce niveau.

Defender pour les conteneurs inclut la détection des menaces au niveau de l’hôte avec plus de 60 analyses prenant en charge Kubernetes, l’IA, ainsi que les détections d’anomalies en fonction de votre charge de travail d’exécution. Pour obtenir la liste complète des alertes au niveau du cluster, consultez la Table de référence des alertes.

Defender pour le cloud surveille la surface d’attaque des déploiements multiclouds Kubernetes basés sur MITRE ATT&matrice CK® pour les conteneurs, une infrastructure développée par le Center for Threat-Informed Defence en partenariat étroit avec Microsoft.

FAQ - Defender pour les conteneurs

Quelles sont les options permettant d’activer le nouveau plan à grande échelle ?

Vous pouvez utiliser le Azure Policy Configure Microsoft Defender for Containers to be enabled pour activer Defender pour conteneurs à grande échelle. Vous pouvez également voir toutes les options disponibles pour activer Microsoft Defender pour conteneurs.

Les clusters AKS avec groupe de machines virtuelles identiques sont-ils pris en charge par Microsoft Defender pour les conteneurs ?

Oui.

Les clusters AKS sans groupe identique (par défaut) sont-ils pris en charge par Microsoft Defender pour les conteneurs ?

Non. Seuls les clusters Azure Kubernetes Service (AKS) qui utilisent des groupes de machines virtuelles identiques pour les nœuds sont pris en charge.

Dois-je installer l’extension de machine virtuelle Log Analytics sur mes nœuds AKS pour la protection de la sécurité ?

Non, AKS est un service géré et la manipulation des ressources IaaS n’est pas prise en charge. L’extension de machine virtuelle Log Analytics n’est pas nécessaire et peut occasionner des frais supplémentaires.

En savoir plus

En savoir plus sur Defender pour conteneurs dans les blogs suivants :

L’état de mise en production de Defender pour les conteneurs est divisé par deux dimensions : l’environnement et la fonctionnalité. Par exemple :

  • Les recommandations de plan de données Kubernetes pour les clusters AKS sont en disponibilité générale
  • Les recommandations de plan de données Kubernetes pour les clusters EKS sont en préversion

Pour afficher l’état de la matrice complète des fonctionnalités et des environnements, consultez Disponibilité des fonctionnalités Microsoft Defender pour les conteneurs.

Étapes suivantes

Dans cette vue d’ensemble, vous avez découvert des informations sur les principaux éléments de la sécurité des conteneurs dans Microsoft Defender pour le cloud. Pour activer le plan, consultez :

Activer Defender pour les conteneurs