A Tárolók biztonságának áttekintése a Microsoft Defender for Containersben

A Microsoft Defender for Containers egy natív felhőbeli megoldás a tárolóalapú eszközök (Kubernetes-fürtök, Kubernetes-csomópontok, Kubernetes-számítási feladatok, tárolóregisztrációs adatbázisok, tárolólemezképek és egyebek) és alkalmazásaik biztonságának javítására, monitorozására és karbantartására többfelhős és helyszíni környezetekben.

A Defender for Containers négy alapvető tárolóbiztonsági tartományhoz nyújt segítséget:

• Biztonsági helyzet kezelése – a felhőBELI API-k, a Kubernetes API-k és a Kubernetes számítási feladatok folyamatos monitorozását végzi a felhőbeli erőforrások felderítése, az átfogó leltározási képességek biztosítása, a helytelen konfigurációk észlelése és az ezek enyhítésére vonatkozó irányelvek biztosítása, a környezeti kockázatértékelés biztosítása és a felhasználók számára a fokozott kockázatkeresési képességek Felhőhöz készült Defender biztonsági kezelőn keresztül történő végrehajtására.

• Sebezhetőségi felmérés – ügynök nélküli sebezhetőségi felmérést biztosít az Azure-hoz, az AWS-hez és a GCP-hez a szervizelési irányelvekkel, a nulla konfigurációval, a napi újraelemzésekkel, az operációs rendszer és a nyelvi csomagok lefedettségével, valamint a kihasználhatósági megállapításokkal.

• Futásidejű veszélyforrások elleni védelem – a Kubernetes-fürtök, csomópontok és számítási feladatok gazdag fenyegetésészlelési csomagja, amely a Microsoft vezető fenyegetésintelligencia-intelligenciájával rendelkezik, megfeleltetést biztosít a MITRE ATT&CK-keretrendszerhez a kockázat és a kapcsolódó környezet, az automatizált válaszkezelés és az SIEM/XDR-integráció egyszerű megértéséhez.

• Üzembe helyezés és figyelés – Figyeli a Kubernetes-fürtöket a hiányzó érzékelők számára, és zökkenőmentes, nagy léptékű üzembe helyezést biztosít az érzékelőalapú képességekhez, támogatja a standard Kubernetes-monitorozási eszközöket, és felügyeli a nem figyelt erőforrásokat.

Erről a Felhőhöz készült Defender a Microsoft Defender tárolókhoz készült videósorozatában olvashat bővebben.

A Microsoft Defender tárolókhoz csomag rendelkezésre állása

Szempont	Részletek
Kiadási állapot:	Általános rendelkezésre állás (GA) Bizonyos funkciók előzetes verzióban érhetők el. A teljes listát a Tárolók támogatási mátrixában találja Felhőhöz készült Defender
Szolgáltatások rendelkezésre állása	A szolgáltatások kiadási állapotával és rendelkezésre állásával kapcsolatos további információkért tekintse meg a tárolók támogatási mátrixát Felhőhöz készült Defender.
Díjszabás:	A Microsoft Defender for Containers számlázása a díjszabási oldalon látható módon történik
Szükséges szerepkörök és engedélyek:	• A szükséges összetevők üzembe helyezéséhez tekintse meg az egyes összetevők engedélyeit • A biztonsági rendszergazda elutasíthatja a riasztásokat • A biztonsági olvasó megtekintheti a sebezhetőségi felmérés eredményeit Lásd még : Szervizelési szerepkörök és Azure Container Registry-szerepkörök és engedélyek
Felhők:	A felhő rendelkezésre állásának megtekintéséhez tekintse meg a tárolók támogatási mátrixát Felhőhöz készült Defender.

Biztonsági helyzet kezelése

Ügynök nélküli képességek

• Ügynök nélküli felderítés a Kuberneteshez – zéró terhelést, API-alapú felderítést biztosít a Kubernetes-fürtökről, azok konfigurációiról és üzembe helyezéséről.

• Ügynök nélküli biztonságirés-felmérés – biztonságirés-felmérést biztosít az összes tárolólemezképhez, beleértve a beállításjegyzékre és a futtatókörnyezetre vonatkozó javaslatokat, az új képek gyors vizsgálatát, az eredmények napi frissítését, a kihasználhatósági megállapításokat és egyebeket. A biztonsági résekre vonatkozó információk hozzáadva lesznek a biztonsági gráfhoz a környezeti kockázatfelméréshez és a támadási útvonalak kiszámításához, valamint a vadászati képességekhez.

• Átfogó leltározási képességek – lehetővé teszi erőforrások, podok, szolgáltatások, adattárak, rendszerképek és konfigurációk felfedezését a Security Explorer használatával az eszközök egyszerű monitorozásához és kezeléséhez.

• Továbbfejlesztett kockázatkeresés – lehetővé teszi a biztonsági rendszergazdák számára, hogy aktívan keressenek a tárolóalapú objektumok helyzetével kapcsolatos problémákat lekérdezésekkel (beépített és egyéni) és biztonsági elemzésekkel a security explorerben

• Vezérlősík-megkeményedés – folyamatosan értékeli a fürtök konfigurációit, és összehasonlítja őket az előfizetésekre alkalmazott kezdeményezésekkel. Ha helytelen konfigurációkat talál, Felhőhöz készült Defender biztonsági javaslatokat hoz létre, amelyek Felhőhöz készült Defender Javaslatok oldalán érhetők el. A javaslatok lehetővé teszik a problémák kivizsgálását és elhárítását.

  Az erőforrásszűrővel áttekintheti a tárolóhoz kapcsolódó erőforrásokra vonatkozó függő javaslatokat, akár az eszközleltárban, akár a javaslatok oldalon:

  

  A funkcióval kapcsolatos részletekért tekintse meg a javaslatok referenciatáblájának tárolók szakaszát , és keressen "Vezérlősík" típusú javaslatokat

Érzékelőalapú képességek

A Kubernetes adatsíkjának megkeményedése – A Kubernetes-tárolók számítási feladatainak ajánlott eljárásokkal való védelméhez telepítheti a Kubernetes-hez készült Azure Policyt. További információ a Felhőhöz készült Defender monitorozási összetevőiről.

A Kubernetes-fürt bővítményével a Kubernetes API-kiszolgálóra irányuló minden kérést az előre meghatározott ajánlott eljárások alapján figyel a rendszer, mielőtt az megmarad a fürtben. Ezután konfigurálhatja úgy, hogy kikényszerítse az ajánlott eljárásokat, és megbízhassa őket a jövőbeli számítási feladatokhoz.

Megadhatja például, hogy a kiemelt tárolók ne legyenek létrehozva, és az erre vonatkozó jövőbeli kérések le lesznek tiltva.

További információ a Kubernetes adatsík-megkeményedéséről.

Sebezhetőségi felmérés

A Defender for Containers az Azure Container Registryben (ACR), az Amazon AWS Elastic Container Registryben (ECR), a Google Artifact Registryben (GAR) és a Google Container Registryben (GCR) vizsgálja a tárolólemezképek ügynök nélküli biztonságirés-felmérését, beleértve a beállításjegyzékre és a futtatókörnyezetre vonatkozó javaslatokat, a szervizelési útmutatót, az új képek gyors vizsgálatát, a valós kihasználási elemzéseket, a kihasználhatósági megállapításokat stb.

A Microsoft Defender biztonságirés-kezelés által működtetett biztonságirés-információk hozzáadva lesznek a felhőalapú biztonsági grafikonhoz a környezetfüggő kockázatok, a támadási útvonalak kiszámítása és a keresési képességek szempontjából.

További információk:

• Az Azure biztonságirés-felmérései Microsoft Defender biztonságirés-kezelés
• Biztonságirés-felmérés az AWS-hez Microsoft Defender biztonságirés-kezelés
• Biztonságirés-felmérés a GCP-hez Microsoft Defender biztonságirés-kezelés

Futásidejű védelem Kubernetes-csomópontokhoz és -fürtökhöz

A Defender for Containers valós idejű fenyegetésvédelmet biztosít a támogatott tárolóalapú környezetekhez , és riasztásokat hoz létre gyanús tevékenységekhez. Ezen adatok alapján gyorsan elháríthatja a biztonsági problémákat, és javíthatja tárolói védelmét.

A veszélyforrások elleni védelem a Kubernetes számára fürtszinten, csomópontszinten és számítási feladatok szintjén érhető el, és magában foglalja az érzékelőalapú lefedettséget is, amely megköveteli a Defender-érzékelőt és az ügynök nélküli lefedettséget, amely a Kubernetes auditnaplóinak elemzésén alapul. A biztonsági riasztások csak akkor aktiválódnak, ha engedélyezte a Defender for Containerst az előfizetésben.

Példák a Microsoft Defenders for Containers által figyelt biztonsági eseményekre:

• Közzétett Kubernetes-irányítópultok
• Magas jogosultsági szintű szerepkörök létrehozása
• Bizalmas csatlakoztatások létrehozása

A biztonsági riasztásokat az Felhőhöz készült Defender áttekintési oldalának tetején található Biztonsági riasztások csempére vagy az oldalsávon található hivatkozásra kattintva tekintheti meg.

Megnyílik a biztonsági riasztások lapja:

A fürtök futtatókörnyezeti számítási feladataira vonatkozó biztonsági riasztásokat a K8S.NODE_ riasztástípus előtagja ismerheti fel. A fürtszintű riasztások teljes listáját a riasztások referenciatáblázatában találja.

A Defender for Containers gazdagépszintű fenyegetésészlelést is tartalmaz, amely több mint 60 Kubernetes-tudatos elemzéssel, mesterséges intelligenciával és anomáliadetektálással rendelkezik a futtatókörnyezeti számítási feladat alapján.

Felhőhöz készült Defender figyeli a többfelhős Kubernetes-telepítések támadási felületét a MITRE ATT&CK® matrix for Containers, a Center for Threat-Informed Defense által a Microsofttal szoros együttműködésben kifejlesztett keretrendszer.

További információ

További információ a Defender for Containersről az alábbi blogokban:

• A Microsoft Defender for Containers bemutatása
• A Felhőhöz készült Microsoft Defender bemutatása

Következő lépések

Ebben az áttekintésben megismerhette a tárolóbiztonság alapvető elemeit Felhőhöz készült Microsoft Defender. A terv engedélyezéséhez lásd:

• A Defender for Containers engedélyezése
• Tekintse meg a Defender for Containers szolgáltatásra vonatkozó gyakori kérdéseket .