Microsoft Defender a konténerekhez a Microsoft Defender for Cloudon keresztül biztosít fenyegetésvédelmet, sebezhetőségi felmérést és biztonsági helyzetkezelést a Kubernetes-fürtök számára a felhőkörnyezetekben.
Defender tárolók esetében a Kubernetes-környezettől függően eltérően van engedélyezve és üzembe helyezve. Azure Kubernetes Service (AKS) Azure natív integrációt használ, míg az Amazon Elastic Kubernetes Service (EKS) és a Google Kubernetes Engine (GKE) többfelhős összekötőkre, Azure Arc-kompatibilis Kubernetesre és környezetspecifikus összetevőkre támaszkodik.
Microsoft Defender for Containers a Microsoft Defender for Cloud által kiterjeszti a biztonsági monitorozást és a védelmet az Azure Kubernetes Service (AKS) fürtökre. Segít a biztonságnak és a DevOps-csapatoknak a tárolólemezképek biztonsági réseinek, a futtatókörnyezeti tevékenységeknek és a Kubernetes konfigurációs kockázatainak Azure környezetekben való megismerésében.
Integráció az Azure-ral
Defender for Containers natívan integrálódik az Azure szolgáltatásokkal az AKS-fürtök védelmére. Ha engedélyezve van egy Azure-előfizetésen, a megoldás:
- Felderíti az AKS-fürtöket a Microsoft Azure-előfizetésben.
- Defender tárolóösszetevők üzembe helyezése Azure által felügyelt integrációk használatával
- A Azure Container Registry (ACR) által tárolt tárolólemezképek biztonsági réseinek felmérése
- Futásidejű biztonsági jeleket gyűjt AKS-fürtökről.
- Biztonsági javaslatokat hoz létre a megfigyelt konfiguráció és a testtartás alapján
- A Microsoft biztonsági eszközökkel integrálható riasztások megjelenítése
Az integráció úgy lett kialakítva, hogy Azure-hoz tartozó képességekkel működjön, és nem igényel bejövő hálózati kapcsolatot az AKS-fürtökkel.
Megjegyzés:
Az AKS vezérlősík naplózási naplói Azure felügyelt vezérlősík-integráción keresztül gyűjthetők össze. Defender for Containers nem támaszkodik a Kubernetes natív audit naplófolyamataira, és nem követeli meg, hogy engedélyezze az audit naplózást a fürtben.
Főbb képességek
A tárolókhoz készült Defender a következő képességeket biztosítja az AKS-környezetekhez:
-
Container képek sebezhetőségi felmérése az Azure Container Registry-ben (ACR) tárolt képekhez
-
Fenyegetésészlelés és riasztás az AKS-csomópontokból, számítási feladatokból és Kubernetes-naplókból gyűjtött futtatókörnyezeti jelek alapján
-
Biztonsági helyzetgyakorlati betekintések Kubernetes-fürtök és számítási feladatok számára, amelyek a Kubernetes és az Azure biztonsági ajánlásaihoz igazodnak.
Megjegyzés:
Az elérhető jelek és észlelések a fürt konfigurációjától és az engedélyezett összetevőktől függnek.
A tárolókhoz készült Microsoft Defender az Amazon Elastic Kubernetes Service (EKS) fürtökre is kiterjeszti a biztonsági monitorozást és védelmet, hogy a tárolólemezképek biztonsági réseit, a futtatókörnyezeti tevékenységeket és a fürtkonfigurációs kockázatokat Microsoft Defender for Cloud keresztül áttekinthesse.
Integráció az AWS-vel
Defender for Containers az AWS-sel egy biztonságos összekötőn keresztül integrálható, amely összekapcsolja az AWS-fiókot a Microsoft Defender for Cloud szolgáltatással. A csatlakozás után a megoldás:
- Az EKS-fürtök felfedezése az AWS-fiókban
- Egyszerűsített biztonsági érzékelők üzembe helyezése futásidejű jelek gyűjtéséhez
- Integrálható az Amazon ECR-vel a tárolólemezképek biztonsági réseinek felméréséhez
- Biztonsági javaslatokat hoz létre a megfigyelt konfiguráció és a testtartás alapján
- Riasztásokat jelenít meg az EKS-számítási feladatokhoz kapcsolódó gyanús tevékenységekhez
Az integráció úgy lett kialakítva, hogy a meglévő AWS biztonsági szolgáltatások, például az AWS GuardDuty és az AWS Security Hub mellett működjön.
Főbb képességek
A tárolókhoz készült Defender az alábbi képességeket biztosítja az Amazon EKS-környezetekhez:
-
Tárolórendszerkép sebezhetőségi felmérése az Amazon ECR-ben tárolt képekhez
-
Fenyegetésészlelés, riasztás és válasz futásidejű jelek alapján
-
Biztonsági helyzetelemzések a biztonsági ajánlott eljárásoknak megfelelően
Megjegyzés:
A rendelkezésre álló jelek és észlelések a fürt konfigurációjától és az engedélyezett adatforrásoktól függnek.
A Microsoft Defender for Containers kibővíti a biztonsági monitorozást és védelmet a Google Kubernetes Engine (GKE) fürtökre, a Microsoft Defender for Cloud integrálásával.
Integráció a GCP-vel
A Defender for Containers a Google Cloud szolgáltatással integrálható egy biztonságos GCP-összekötőn keresztül, amely a GCP-projekteket a Microsoft Defender for Cloudhoz csatlakoztatja. A csatlakozás után a megoldás:
- GKE-fürtök felderítése csatlakoztatott GCP-projektekben
- Kijelölt fürtök csatlakoztatása az Azure Arc-hoz
- Defender érzékelő üzembe helyezése
- Integrálható a Google Container Registry és az Artifact Registry használatával
- Biztonsági javaslatok létrehozása
- Gyanús tevékenységekre vonatkozó riasztások megjelenítése
Az integráció úgy lett kialakítva, hogy a natív GCP biztonsági funkciók mellett működjön, és nem igényel bejövő kapcsolatot.
Főbb képességek
A tárolókhoz készült Defender a következő képességeket biztosítja a GKE-környezetekhez:
-
Tárolórendszerkép biztonsági réseinek felmérése a GCR és az Artifact Registry esetében
-
Veszélyészlelés és figyelmeztetés valós idejű jelek alapján
- A Kubernetes és a GKE ajánlott eljárásainak megfelelő biztonsági helyzetelemzések
Megjegyzés:
A rendelkezésre álló jelek és észlelések a fürt konfigurációjától és az engedélyezett adatforrásoktól függnek.
A tárolókhoz készült Microsoft Defender biztonsági monitorozást és védelmet biztosít az Azure Azure Arc keresztül csatlakozó Kubernetes-fürtök számára. Ide tartoznak a helyszínen, a peremhálózaton vagy más, nem Azure környezetekben futó Kubernetes-fürtök.
Az Azure Arc-kompatibilis Kubernetes alatti tárolók védelmét a Microsoft Defender for Cloud segítségével kezelik, és ez az Azure Arc-kompatibilis Kubernetes-re támaszkodik a fürtök közötti kapcsolat és az összetevők telepítése érdekében.
Az Azure Arc integrációja
Defender tárolókhoz az Arc-kompatibilis Kubernetes-fürtökkel integrálható a Azure Arc vezérlősíkként való használatával. Ha egy fürt csatlakozik az Azure Arc-hez és engedélyezve van a Tárolók terve, a Defender for Containers:
- Arc-kompatibilis Kubernetes-fürtök felderítése az előfizetésben
- Defender-összetevők üzembe helyezése Azure Arc bővítmények használatával
- Futásidejű biztonsági jeleket gyűjt a Kubernetes-csomópontokból és számítási feladatokból
- Értékeli a fürt- és számítási feladatok konfigurációit.
- Biztonsági javaslatokat és riasztásokat hoz létre a Defender for Cloud
Az integráció nem igényel bejövő összeköttetést a Kubernetes klaszterhez. A kommunikáció a fürtől az Azure Arc ügynökökön keresztül az Azure-ral kezdeményeződik.
Megjegyzés:
Arc-enabled Kubernetesre van szükség ahhoz, hogy Defender for Containers összetevőket helyezzen üzembe olyan Kubernetes-fürtökön, amelyek nem az Azure-ban futnak.
Főbb képességek
A Defender tárolókhoz az Arc-kompatibilis Kubernetes-környezetekhez a következő képességeket biztosítja:
-
Fenyegetésészlelés és riasztás a Kubernetes-csomópontokból, számítási feladatokból és naplókból gyűjtött futtatókörnyezeti jelek alapján
-
Biztonsági helyzetelemzések a Kubernetes-fürtökhöz és számítási feladatokhoz
-
Policy-alapú konfigurációértékelés a Kubernetes Azure Policy keresztül
Megjegyzés:
A rendelkezésre álló jelek, észlelések és testtartás-értékelések az engedélyezett összetevőktől és a klaszterkonfigurációtól függnek.
Az aktuális lefedettség megtekintése
A Defender for Cloud Azure-munkafüzeteken keresztül biztosít hozzáférést a munkafüzetekhez. A munkafüzetek testreszabható jelentések, amelyek segítenek megérteni a biztonsági helyzeteket.
A feltárási munkafüzet megmutatja, hogy mely Defender for Cloud csomagok és összetevők engedélyezve vannak az előfizetésekben és a csatlakoztatott környezetekben.
Pricing
A Microsoft Defender for Containers került számlázásra a Microsoft Defender for Cloud részeként. A díjszabás az engedélyezett összetevőktől és a védett erőforrások számától függ.
A díjszabás részleteiért lásd: Microsoft Defender for Cloud díjszabás.
Kapcsolódó tartalom