A Tárolók biztonságának áttekintése a Microsoft Defender for Containersben
A Microsoft Defender for Containers egy natív felhőbeli megoldás a tárolóalapú eszközök (Kubernetes-fürtök, Kubernetes-csomópontok, Kubernetes-számítási feladatok, tárolóregisztrációs adatbázisok, tárolólemezképek és egyebek) és alkalmazásaik biztonságának javítására, monitorozására és karbantartására többfelhős és helyszíni környezetekben.
A Defender for Containers négy alapvető tárolóbiztonsági tartományhoz nyújt segítséget:
Biztonsági helyzet kezelése – a felhőBELI API-k, a Kubernetes API-k és a Kubernetes számítási feladatok folyamatos monitorozását végzi a felhőbeli erőforrások felderítése, az átfogó leltározási képességek biztosítása, a helytelen konfigurációk észlelése és az ezek enyhítésére vonatkozó irányelvek biztosítása, a környezeti kockázatértékelés biztosítása és a felhasználók számára a fokozott kockázatkeresési képességek Felhőhöz készült Defender biztonsági kezelőn keresztül történő végrehajtására.
Sebezhetőségi felmérés – ügynök nélküli sebezhetőségi felmérést biztosít az Azure-hoz, az AWS-hez és a GCP-hez a szervizelési irányelvekkel, a nulla konfigurációval, a napi újraelemzésekkel, az operációs rendszer és a nyelvi csomagok lefedettségével, valamint a kihasználhatósági megállapításokkal.
Futásidejű veszélyforrások elleni védelem – a Kubernetes-fürtök, csomópontok és számítási feladatok gazdag fenyegetésészlelési csomagja, amely a Microsoft vezető fenyegetésintelligencia-intelligenciájával rendelkezik, megfeleltetést biztosít a MITRE ATT&CK-keretrendszerhez a kockázat és a kapcsolódó környezet, az automatizált válaszkezelés és az SIEM/XDR-integráció egyszerű megértéséhez.
Üzembe helyezés és figyelés – Figyeli a Kubernetes-fürtöket a hiányzó érzékelők számára, és zökkenőmentes, nagy léptékű üzembe helyezést biztosít az érzékelőalapú képességekhez, támogatja a standard Kubernetes-monitorozási eszközöket, és felügyeli a nem figyelt erőforrásokat.
Erről a Felhőhöz készült Defender a Microsoft Defender tárolókhoz készült videósorozatában olvashat bővebben.
A Microsoft Defender tárolókhoz csomag rendelkezésre állása
Szempont | Részletek |
---|---|
Kiadási állapot: | Általános rendelkezésre állás (GA) Bizonyos funkciók előzetes verzióban érhetők el. A teljes listát a Tárolók támogatási mátrixában találja Felhőhöz készült Defender |
Szolgáltatások rendelkezésre állása | A szolgáltatások kiadási állapotával és rendelkezésre állásával kapcsolatos további információkért tekintse meg a tárolók támogatási mátrixát Felhőhöz készült Defender. |
Díjszabás: | A Microsoft Defender for Containers számlázása a díjszabási oldalon látható módon történik |
Szükséges szerepkörök és engedélyek: | • A szükséges összetevők üzembe helyezéséhez tekintse meg az egyes összetevők engedélyeit • A biztonsági rendszergazda elutasíthatja a riasztásokat • A biztonsági olvasó megtekintheti a sebezhetőségi felmérés eredményeit Lásd még : Szervizelési szerepkörök és Azure Container Registry-szerepkörök és engedélyek |
Felhők: | A felhő rendelkezésre állásának megtekintéséhez tekintse meg a tárolók támogatási mátrixát Felhőhöz készült Defender. |
Biztonsági helyzet kezelése
Ügynök nélküli képességek
Ügynök nélküli felderítés a Kuberneteshez – zéró terhelést, API-alapú felderítést biztosít a Kubernetes-fürtökről, azok konfigurációiról és üzembe helyezéséről.
Ügynök nélküli biztonságirés-felmérés – biztonságirés-felmérést biztosít az összes tárolólemezképhez, beleértve a beállításjegyzékre és a futtatókörnyezetre vonatkozó javaslatokat, az új képek gyors vizsgálatát, az eredmények napi frissítését, a kihasználhatósági megállapításokat és egyebeket. A biztonsági résekre vonatkozó információk hozzáadva lesznek a biztonsági gráfhoz a környezeti kockázatfelméréshez és a támadási útvonalak kiszámításához, valamint a vadászati képességekhez.
Átfogó leltározási képességek – lehetővé teszi erőforrások, podok, szolgáltatások, adattárak, rendszerképek és konfigurációk felfedezését a Security Explorer használatával az eszközök egyszerű monitorozásához és kezeléséhez.
Továbbfejlesztett kockázatkeresés – lehetővé teszi a biztonsági rendszergazdák számára, hogy aktívan keressenek a tárolóalapú objektumok helyzetével kapcsolatos problémákat lekérdezésekkel (beépített és egyéni) és biztonsági elemzésekkel a security explorerben
Vezérlősík-megkeményedés – folyamatosan értékeli a fürtök konfigurációit, és összehasonlítja őket az előfizetésekre alkalmazott kezdeményezésekkel. Ha helytelen konfigurációkat talál, Felhőhöz készült Defender biztonsági javaslatokat hoz létre, amelyek Felhőhöz készült Defender Javaslatok oldalán érhetők el. A javaslatok lehetővé teszik a problémák kivizsgálását és elhárítását.
Az erőforrásszűrővel áttekintheti a tárolóhoz kapcsolódó erőforrásokra vonatkozó függő javaslatokat, akár az eszközleltárban, akár a javaslatok oldalon:
A funkcióval kapcsolatos részletekért tekintse meg a javaslatok referenciatáblájának tárolók szakaszát , és keressen "Vezérlősík" típusú javaslatokat
Érzékelőalapú képességek
A Kubernetes adatsíkjának megkeményedése – A Kubernetes-tárolók számítási feladatainak ajánlott eljárásokkal való védelméhez telepítheti a Kubernetes-hez készült Azure Policyt. További információ a Felhőhöz készült Defender monitorozási összetevőiről.
A Kubernetes-fürt bővítményével a Kubernetes API-kiszolgálóra irányuló minden kérést az előre meghatározott ajánlott eljárások alapján figyel a rendszer, mielőtt az megmarad a fürtben. Ezután konfigurálhatja úgy, hogy kikényszerítse az ajánlott eljárásokat, és megbízhassa őket a jövőbeli számítási feladatokhoz.
Megadhatja például, hogy a kiemelt tárolók ne legyenek létrehozva, és az erre vonatkozó jövőbeli kérések le lesznek tiltva.
További információ a Kubernetes adatsík-megkeményedéséről.
Sebezhetőségi felmérés
A Defender for Containers az Azure Container Registryben (ACR), az Amazon AWS Elastic Container Registryben (ECR), a Google Artifact Registryben (GAR) és a Google Container Registryben (GCR) vizsgálja a tárolólemezképek ügynök nélküli biztonságirés-felmérését, beleértve a beállításjegyzékre és a futtatókörnyezetre vonatkozó javaslatokat, a szervizelési útmutatót, az új képek gyors vizsgálatát, a valós kihasználási elemzéseket, a kihasználhatósági megállapításokat stb.
A Microsoft Defender biztonságirés-kezelés által működtetett biztonságirés-információk hozzáadva lesznek a felhőalapú biztonsági grafikonhoz a környezetfüggő kockázatok, a támadási útvonalak kiszámítása és a keresési képességek szempontjából.
További információk:
- Az Azure biztonságirés-felmérései Microsoft Defender biztonságirés-kezelés
- Biztonságirés-felmérés az AWS-hez Microsoft Defender biztonságirés-kezelés
- Biztonságirés-felmérés a GCP-hez Microsoft Defender biztonságirés-kezelés
Futásidejű védelem Kubernetes-csomópontokhoz és -fürtökhöz
A Defender for Containers valós idejű fenyegetésvédelmet biztosít a támogatott tárolóalapú környezetekhez , és riasztásokat hoz létre gyanús tevékenységekhez. Ezen adatok alapján gyorsan elháríthatja a biztonsági problémákat, és javíthatja tárolói védelmét.
A veszélyforrások elleni védelem a Kubernetes számára fürtszinten, csomópontszinten és számítási feladatok szintjén érhető el, és magában foglalja az érzékelőalapú lefedettséget is, amely megköveteli a Defender-érzékelőt és az ügynök nélküli lefedettséget, amely a Kubernetes auditnaplóinak elemzésén alapul. A biztonsági riasztások csak akkor aktiválódnak, ha engedélyezte a Defender for Containerst az előfizetésben.
Példák a Microsoft Defenders for Containers által figyelt biztonsági eseményekre:
- Közzétett Kubernetes-irányítópultok
- Magas jogosultsági szintű szerepkörök létrehozása
- Bizalmas csatlakoztatások létrehozása
A biztonsági riasztásokat az Felhőhöz készült Defender áttekintési oldalának tetején található Biztonsági riasztások csempére vagy az oldalsávon található hivatkozásra kattintva tekintheti meg.
Megnyílik a biztonsági riasztások lapja:
A fürtök futtatókörnyezeti számítási feladataira vonatkozó biztonsági riasztásokat a K8S.NODE_
riasztástípus előtagja ismerheti fel. A fürtszintű riasztások teljes listáját a riasztások referenciatáblázatában találja.
A Defender for Containers gazdagépszintű fenyegetésészlelést is tartalmaz, amely több mint 60 Kubernetes-tudatos elemzéssel, mesterséges intelligenciával és anomáliadetektálással rendelkezik a futtatókörnyezeti számítási feladat alapján.
Felhőhöz készült Defender figyeli a többfelhős Kubernetes-telepítések támadási felületét a MITRE ATT&CK® matrix for Containers, a Center for Threat-Informed Defense által a Microsofttal szoros együttműködésben kifejlesztett keretrendszer.
További információ
További információ a Defender for Containersről az alábbi blogokban:
Következő lépések
Ebben az áttekintésben megismerhette a tárolóbiztonság alapvető elemeit Felhőhöz készült Microsoft Defender. A terv engedélyezéséhez lásd: