A tárolókhoz készült Microsoft Defender bemutatása

A Microsoft Defender for Containers egy natív felhőbeli megoldás, amely javítja, figyeli és tartja karban a tárolóalapú eszközök biztonságát. Ezek az eszközök közé tartoznak a Kubernetes-fürtök, csomópontok, számítási feladatok, nyilvántartások, képek és egyebek. Többfelhős és helyszíni környezetekben védi az alkalmazásokat.

A Defender for Containers öt alapvető tárolóbiztonsági tartománnyal segít:

• A biztonsági helyzet kezelése a felhőBELI API-k, a Kubernetes API-k és a Kubernetes számítási feladatok folyamatos monitorozását futtatja. Felderíti a felhőbeli erőforrásokat, átfogó leltározási képességeket biztosít, észleli a helytelen konfigurációkat a kockázatcsökkentési irányelvekkel, környezeti kockázatértékelést biztosít, és lehetővé teszi a felhasználók számára, hogy továbbfejlesztett kockázatkeresési képességeket hajtsanak végre a Defender for Cloud biztonsági kezelőjével.

• Sebezhetőségi felmérés – ügynök nélküli biztonságirés-felmérést végez a tárolóregisztrációs adatbázis lemezképeinek, a tárolók futtatásának és a támogatott Kubernetes-csomópontoknak a szervizelési irányelvekkel, a nulla konfigurációval, a napi újraellenőrzésekkel, az operációs rendszer és a nyelvi csomagok lefedettségével, valamint a kihasználhatósági megállapításokkal. A sérülékenységek megállapításait tartalmazó objektum egy Microsoft-tanúsítvánnyal van aláírva az integritás és a hitelesség érdekében, és a regiszterben lévő konténerképhez van társítva az érvényesítési igények miatt.

• Futásidejű veszélyforrások elleni védelem – a Microsoft vezető fenyegetésintelligencia-alapú, Kubernetes-fürtökhöz, csomópontokhoz és számítási feladatokhoz készült gazdag fenyegetésészlelési csomag a MITRE ATT&CK-keretrendszerhez való leképezést biztosítja a kockázatok és a kapcsolódó környezetek egyszerű megértéséhez, valamint az automatizált reagáláshoz. A biztonsági operátorok a Microsoft Defender XDR portálon keresztül is kivizsgálhatják és megválaszolhatják a Kubernetes-szolgáltatásokat fenyegető fenyegetéseket.

• Tárolók szoftverellátási láncának védelme – a biztonsági ellenőrzések buildeléstől üzembe helyezésig történő beágyazásával erősíti a szoftverellátási láncot. Ez magában foglalja a Microsoft Defender for Cloud CLI-t is, amely lehetővé teszi a fejlesztők számára, hogy közvetlenül a CI/CD-folyamatokban (például a GitHub Actionsben vagy az Azure Pipelinesban) vagy a helyi fejlesztési környezetekben keressen biztonsági réseket és helytelen konfigurációkat a tárolólemezképek között. A biztonság balra történő áthelyezésével az eredmények korán felszínre kerülnek, ami lehetővé teszi a javítást, mielőtt a rendszerképeket feltöltené a regisztrációs tárolóba. A megoldás microsoftos tanúsítványokkal is aláírja a biztonságirés-összetevőket az integritás és a hitelesség biztosítása érdekében, és a rendszerképekkel társítja őket az ellenőrzéshez. A szervezeti biztonsági szabályzatokat úgy kényszerítheti ki, hogy olyan szabályokat hoz létre, amelyek blokkolják a kockázatos lemezképeket, és értékelik az üzembe helyezéseket ezen szabályok alapján, megakadályozva a biztonsági rések bevezetését a környezetekben. További információért lásd: Kubernetes-tárolólemezképek vezérelt üzembe helyezése.

• Üzembe helyezés és monitorozás – Figyeli a Kubernetes klasztereket a hiányzó érzékelők felderítése érdekében, és zökkenőmentes, nagy léptékű üzembe helyezést biztosít az érzékelőalapú képességekhez, a szabványos Kubernetes monitorozó eszközök támogatásával és a meg nem figyelt erőforrások kezelése érdekében.

A Felhő védelmére készült Defender területen lévő videósorozatában a Microsoft Defender for Containers című videó megtekintése további információkkal szolgálhat.

A tárolókhoz készült Defender a következő alapvető képességeket biztosítja:

• Biztonsági helyzet kezelése: Folyamatosan monitorozza a felhőalapú API-kat, a Kubernetes API-kat és a Kubernetes számítási feladatokat az erőforrások felderítéséhez, a helytelen konfigurációk észleléséhez és a felületi biztonsági javaslatok megoldási útmutatóval történő észleléséhez. A helyzetadatok a leltárnézeteken, javaslatokon és a Security Exploreren keresztül érhetők el a kockázatvizsgálathoz és a vadászathoz.

• Sebezhetőségi felmérés: Ügynök nélküli biztonságirés-felmérést végez a tárolóregisztrációs adatbázis lemezképeiről, a futó tárolókról és a támogatott Kubernetes-csomópontokról. Az eredmények közé tartozik a szervizelési útmutató, a kihasználhatósági elemzések és a felhőalapú biztonsági gráfba való integráció a környezeti kockázatelemzéshez.

• Futásidejű veszélyforrások elleni védelem: Gyanús tevékenységeket észlel a Kubernetes-fürtökben, csomópontokban és számítási feladatokban a Kubernetes-tudatos elemzés és fenyegetésintelligencia használatával. A riasztások a MITRE ATT&CK® tárolókra vonatkozó keretrendszeréhez vannak leképezve, és a Microsoft Defender XDR segítségével vizsgálhatók.

• Szoftverellátási lánc védelme: A tárolólemezképek vizsgálatával és a biztonságirés-felmérés eredményeinek a beállításjegyzékben lévő rendszerképekkel való társításával csökkentheti a sebezhető képek üzembe helyezésének kockázatát. Ezeket az eredményeket más Defender for Containers képességek is felhasználhatják, például a Kubernetes ellenőrizett telepítéseihez.

• Üzembe helyezés és felügyelet: Támogatja a Defender-összetevők nagy mértékű üzembe helyezését és felügyeletét, beleértve a láthatóságot azokban a Kubernetes-fürtökben, ahol hiányoznak az érzékelők, vagy nem állnak teljes védelem alatt.

Biztonsági helyzet kezelése

Ügynök nélküli képességek

• Ügynök nélküli felderítés Kuberneteshez – zéró lenyomatú, API-alapú felderítést biztosít a Kubernetes-fürtök, konfigurációk és üzemeltetett példányok számára.

• Ügynök nélküli biztonságirés-felmérés – biztonságirés-felmérést biztosít a fürtcsomópontokhoz és az összes tárolórendszerképhez, beleértve a beállításjegyzékre és a futtatókörnyezetre vonatkozó javaslatokat, az új képek gyors vizsgálatát, az eredmények napi frissítését, a kihasználhatósági megállapításokat stb. A biztonsági résekre vonatkozó információk hozzáadva lesznek a biztonsági gráfhoz a környezeti kockázatfelméréshez és a támadási útvonalak kiszámításához, valamint a vadászati képességekhez.

• Átfogó leltározási képességek – lehetővé teszi erőforrások, podok, szolgáltatások, adattárak, rendszerképek és konfigurációk felfedezését a Security Explorer használatával az objektumok egyszerű monitorozásához és kezeléséhez.

• Továbbfejlesztett kockázatkeresés – lehetővé teszi a biztonsági rendszergazdák számára, hogy aktívan keressenek a tárolóalapú objektumok helyzetével kapcsolatos problémákat lekérdezésekkel (beépített és egyéni) és biztonsági elemzésekkel a security explorerben

• Vezérlősík megerősítése – folyamatosan értékeli a fürtök konfigurációit, és azokat összehasonlítja az előfizetésekhez alkalmazott kezdeményezésekkel. Ha helytelen konfigurációkat talál, Felhőhöz készült Defender biztonsági javaslatokat hoz létre, amelyek Felhőhöz készült Defender Javaslatok lapján érhetők el. A javaslatok lehetővé teszik a problémák kivizsgálását és elhárítását.

  Az erőforrásszűrővel áttekintheti a konténerekhez kapcsolódó erőforrásokra vonatkozó függőben lévő javaslatokat, akár az eszköznyilvántartásban, akár a javaslatok oldalon.

  A funkcióval kapcsolatos részletekért tekintse át a tárolóra vonatkozó javaslatokat, és keressen "Vezérlősík" típusú javaslatokat

Érzékelőalapú képességek

Antimalware – a tárolókhoz készült Defender érzékelőalapú képességet biztosít, amely észleli és figyelmezteti Önt a tárolókon belüli rosszindulatú tevékenységekre. Ez segít a potenciális biztonsági fenyegetések proaktív azonosításában és csökkentésében. További információ: Kártevőirtók elleni védelem.

DNS-észlelés – a tárolókhoz készült Defender érzékelőalapú képességet biztosít, amely észleli a tároló számítási feladatainak gyanús DNS-tevékenységeit a hálózati fenyegetések azonosításához. A futtatókörnyezetek felhő általi rendelkezésre állásával kapcsolatban lásd a futtatókörnyezet védelmi funkcióit.

Bináris eltérésészlelés – A Defender for Containers olyan érzékelőalapú képességet biztosít, amely riasztást küld a lehetséges biztonsági fenyegetésekről a tárolókon belüli jogosulatlan külső folyamatok észlelésével. Sodródási szabályzatokat határozhat meg a riasztások létrehozásának feltételeinek meghatározásához, így megkülönböztetheti a jogos tevékenységeket és a potenciális fenyegetéseket. További információ: Bináris sodródás elleni védelem.

Bináris sodródás blokkolása – A Defender for Containers olyan érzékelőalapú képességet biztosít, amely blokkolja a tárolókon belüli jogosulatlan külső folyamatokat. Az eltolódási szabályzatok definiálhatók olyan feltételek meghatározásához, amelyek mellett a folyamatokat le kell tiltani, így megelőzheti a lehetséges biztonsági fenyegetéseket. További információ: Bináris sodródás elleni védelem.

A Kubernetes adatsíkjának megkeményedése – A Kubernetes-tárolók számítási feladatainak ajánlott eljárásokkal való védelméhez telepítheti a Kubernetes-hez készült Azure Policyt. További információ a Defender for Cloud monitorozási összetevőiről.

A Kubernetes-fürthöz definiált szabályzatok segítségével a Kubernetes API-kiszolgálóra irányuló minden kérést az előre meghatározott ajánlott eljárások alapján figyel a rendszer, mielőtt a fürtben megmarad. Ezután konfigurálhatja úgy, hogy kikényszerítse az ajánlott eljárásokat, és kötelezővé tegye azokat a jövőbeli terhelésekhez.

Megadhatja például, hogy a kiemelt tárolók ne legyenek létrehozva, és az erre vonatkozó jövőbeli kérések le lesznek tiltva.

További információ a Kubernetes adatsík-megkeményedéséről.

Sebezhetőségi felmérés

A Defender for Containers megvizsgálja a fürtcsomópont operációs rendszerét és alkalmazásszoftverét, az Azure Container Registryben (ACR), az Amazon AWS Elastic Container Registryben (ECR), a Google Artifact Registryben (GAR), a Google Container Registryben (GCR) és a támogatott külső rendszerkép-nyilvántartásokban az ügynök nélküli sebezhetőség felméréséhez.

A többfelhős környezetekben most nyilvános előzetesként elérhető Defender for Containers emellett naponta megvizsgálja az összes futó tárolót, hogy a tároló rendszerkép-nyilvántartásától függetlenül naprakész sebezhetőségi felmérést nyújtson.

A Microsoft Defender biztonságirés-kezelés által működtetett biztonságirés-információk hozzáadásra kerülnek a felhőalapú biztonsági grafikonhoz a környezeti kockázat, a támadási útvonalak kiszámítása és a keresési képességek szempontjából.

További információ a Defender for Containers által támogatott környezetek sebezhetőségi felméréseiről, beleértve a fürtcsomópontok sebezhetőségi felmérését is.

Futásidejű védelem Kubernetes-csomópontokhoz és -fürtökhöz

A Defender for Containers valós idejű fenyegetésvédelmet biztosít a támogatott tárolóalapú környezetekhez , és riasztásokat hoz létre gyanús tevékenységekhez. Ezen adatok alapján gyorsan elháríthatja a biztonsági problémákat, és javíthatja tárolói védelmét.

A veszélyforrások elleni védelem a Kubernetes esetében biztosított a fürt, a csomópont és a feladatok szintjén. Mind az érzékelőalapú lefedettség, amely megköveteli a Defender-érzékelőt , mind a Kubernetes-naplók elemzése alapján ügynök nélküli lefedettséget használ a fenyegetések észlelésére. A biztonsági riasztások csak a Defender for Containers előfizetésen való engedélyezését követően végrehajtott műveletekre és üzembe helyezésekre aktiválódnak.

Futásidejű észlelési példák

Példák a Microsoft Defender for Containers által figyelt biztonsági eseményekre:

• Nyilvános Kubernetes-irányítópultok
• Nyilvánosan elérhető Kubernetes-szolgáltatás észlelve (amikor egy LoadBalancer típusú Kubernetes-szolgáltatást hoznak létre vagy frissítenek, és az nyilvánosan elérhetővé teszi a munkaterheléseket)
• Magas jogosultsági szintű szerepkörök létrehozása
• Érzékeny rögzítések létrehozása

Rangsorolja az expozíciós riasztásokat, ha az internetkapcsolat nem szándékos, vagy ha a közzétett szolgáltatás gyenge vagy hiányzó hitelesítéssel rendelkezik.

A Defender for Containers által észlelt riasztásokról, beleértve a riasztásszimulációs eszközt is, tekintse meg a Kubernetes-fürtökre vonatkozó riasztásokat.

A Defender for Containers több mint 60 Kubernetes-tudatos elemzéssel, mesterséges intelligenciával és anomáliadetektálással rendelkezik a futtatókörnyezeti számítási feladatok alapján.

A Defender for Cloud a Tárolókhoz készült MITRE ATT&CK mátrix alapján figyeli a többfelhős Kubernetes-telepítések® támadási felületét, amelyet a Center for Threat-Informed Defense a Microsofttal szoros együttműködésben fejlesztett ki.

Felhőhöz készült Defender integrálva van a Microsoft Defender XDR-sel. Ha a Defender for Containers engedélyezve van, a biztonsági operátorok a Defender XDR-et használhatják a támogatott Kubernetes-szolgáltatások biztonsági problémáinak kivizsgálására és megválaszolására .

Microsoft által karbantartott tárolórendszerképek

A Defender for Containers olyan tárolólemezképeket helyez üzembe, amelyeket a Microsoft a futtatókörnyezet védelmi összetevőinek részeként tart fenn és frissít. Ezek a rendszerképek közzé vannak téve a Microsoft Container Registryben (MCR).

Az ügyfelek nem módosítják vagy javítják közvetlenül ezeket a képeket. A Microsoft a Defender for Containers kiadási folyamatának részeként tartja karban és frissíti őket.

A Defender for Containers futtatókörnyezet védelmi összetevői a következő képeket használják:

Image	Alkalmazás célja	MCR útvonala
security-publisher	Közzéteszi a Kubernetes-környezetekből gyűjtött biztonsági megállapításokat	mcr.microsoft.com/azuredefender/stable/security-publisher
low-level-collector	Alacsony szintű futtatókörnyezeti telemetriát gyűjt a Kubernetes-csomópontokról	mcr.microsoft.com/azuredefender/stable/low-level-collector
pod-collector	A fenyegetésészleléshez használt Kubernetes-pod futtatókörnyezeti adatait gyűjti össze	mcr.microsoft.com/azuredefender/stable/pod-collector
anti-malware-collector	A tároló számítási feladataihoz tartozó kártevőészlelési jelek gyűjtése	mcr.microsoft.com/azuredefender/stable/anti-malware-collector
old-file-cleaner	Ideiglenes és elavult fájlok törlése az inicializálási munkafolyamatok részeként	mcr.microsoft.com/azuredefender/stable/old-file-cleaner
audit-logs-enabler	Ellenőrzési naplógyűjtés engedélyezése támogatott környezetekhez (például helyszíni fürtökhöz)	mcr.microsoft.com/azuredefender/stable/audit-logs-enabler
defender-admission-controller	Futásidejű korlátozó szabályzatok kikényszerítése a Kubernetes terhelésekhez	mcr.microsoft.com/mdc/prd/defender-admission-controller

A frissítések a környezet által használt üzembehelyezési mechanizmuson keresztül érkeznek. Például:

• Az AKS-bővítmény használatával történő üzembe helyezéskor a frissítések az AKS kiadási életciklusán keresztül érkeznek.
• A Helm használatával történő üzembe helyezéskor a frissítések 30 napon belül jelennek meg a frissített diagramverziókon keresztül.

Ha biztonsági rést észlel egy Microsoft által karbantartott Defender-rendszerképben, nyisson meg egy Azure-támogatási kérelmet, és adja meg a rendszerkép nevét, címkéjét és CVE-azonosítót.

További információ

További információ a Defender for Containersről az alábbi blogokban:

• Bemutatjuk a Microsoft Defender for Containers szolgáltatást
• A Felhőhöz készült Microsoft Defender bemutatása

Következő lépések

Ebben az áttekintésben megismerhette a Felhőhöz készült Microsoft Defender tárolóbiztonságának alapvető elemeit. A terv engedélyezéséhez lásd:

• Defender tárolók üzembe helyezésének áttekintése

• A felhőbeli Microsoft Defenderben engedélyezze a tárolók Defender védelmét

• A Defender tárolóösszetevők telepítése az Azure CLI segítségével

• Tekintse meg a Defender for Containers szolgáltatásra vonatkozó gyakori kérdéseket .