Gambaran Umum Microsoft Defender untuk Kontainer
Microsoft Defender untuk Kontainer adalah solusi cloud-native untuk meningkatkan, memantau, dan menjaga keamanan kluster, kontainer, dan aplikasi mereka.
Microsoft Defender untuk Kontainer membantu aspek inti keamanan kontainer:
Pengerasan lingkungan - Defender untuk Kontainer melindungi kluster Kubernetes Anda baik yang dijalankan di Azure Kubernetes Service, Kubernetes lokal/IaaS, atau Amazon EKS. Dengan terus menilai kluster, Defender untuk Kontainer memberikan visibilitas ke kesalahan konfigurasi dan panduan untuk membantu mengurangi ancaman yang teridentifikasi.
Penilaian kerentanan - Alat penilaian dan manajemen kerentanan untuk gambar yang disimpan dalam Azure Container Registry dan Elastic Container Registry
Perlindungan ancaman run-time untuk node dan kluster - Perlindungan ancaman untuk kluster dan simpul menghasilkan pemberitahuan keamanan untuk aktivitas yang mencurigakan.
Anda dapat mempelajari lebih lanjut dengan menonton video ini dari seri video Defender untuk Cloud dalam Bidang: Microsoft Defender untuk Kontainer.
Ketersediaan paket Microsoft Defender untuk Kontainer
| Aspek | Detail |
|---|---|
| Status rilis: | Ketersediaan umum (GA) Fitur tertentu sedang dalam pratinjau, untuk daftar lengkapnya, lihat bagian ketersediaan. |
| Ketersediaan fitur | Lihat bagian ketersediaan untuk informasi tambahan tentang status dan ketersediaan rilis fitur. |
| Harga: | Microsoft Defender untuk Kontainer ditagih seperti yang ditunjukkan pada halaman harga |
| Peran dan izin akses yang diperlukan: | • Untuk menyebarkan komponen yang diperlukan, lihat izin untuk setiap komponen • Admin keamanan dapat mematikan pemberitahuan • Pembaca keamanan dapat melihat temuan penilaian kerentanan Lihat juga Peran untuk remediasi dan peran dan izin Azure Container Registry |
| Cloud: | Azure: Cloud komersial Cloud nasional (Azure Government, Azure Tiongkok) (Kecuali untuk fitur pratinjau))Non-Azure: Akun AWS yang terhubung (Pratinjau) Proyek GCP yang terhubung (Pratinjau) Lokal/IaaS didukung melalui Kubernetes berkemampuan Arc (Pratinjau). Untuk informasi selengkapnya tentang, lihat bagian ketersediaan. |
Penguatan
Pemantauan berkelanjutan terhadap kluster Kubernetes Anda - di mana kluster dihosting
Defender untuk Cloud terus menilai konfigurasi kluster Anda dan membandingkannya dengan inisiatif yang diterapkan pada langganan Anda. Ketika menemukan kesalahan konfigurasi, Defender untuk Cloud menghasilkan rekomendasi keamanan yang tersedia di halaman Rekomendasi Defender untuk Cloud. Rekomendasi ini memungkinkan Anda menyelidiki dan memulihkan masalah.
Anda dapat menggunakan filter sumber daya untuk meninjau rekomendasi luar biasa untuk sumber daya terkait kontainer, baik di inventaris aset atau di halaman rekomendasi:
Untuk mengetahui detail rekomendasi yang mungkin muncul untuk fitur ini, lihat bagian komputasi dari tabel referensi rekomendasi.
Penguatan data plane Kubernetes
Untuk melindungi beban kerja kontainer Kubernetes Anda dengan rekomendasi yang disesuaikan, Anda dapat menginstal Azure Policy untuk Kubernetes. Pelajari selengkapnya tentang komponen pemantauan untuk Defender for Cloud.
Dengan add-on pada kluster AKS, setiap permintaan ke server Kubernetes API akan dipantau terhadap set praktik terbaik yang telah ditentukan sebelumnya sebelum ditembus ke kluster. Selanjutnya Anda dapat mengonfigurasinya untuk memberlakukan praktik terbaik dan memandatkannya untuk beban kerja di masa depan.
Misalnya, Anda dapat mengamanatkan bahwa kontainer istimewa tidak boleh dibuat, dan permintaan apa pun di masa mendatang untuk melakukan demikian akan diblokir.
Anda dapat mempelajari lebih lanjut tentang pengerasan sarana data Kubernetes.
Penilaian kerentanan
Defender for Containers memindai kontainer di Azure Container Registry (ACR) dan Amazon AWS Elastic Container Registry (ECR) untuk memberi tahu Anda jika ada kerentanan yang diketahui dalam gambar Anda. Ketika pemindaian selesai, Defender for Containers menyediakan detail untuk setiap kerentanan yang terdeteksi, klasifikasi keamanan untuk setiap kerentanan yang terdeteksi, dan panduan tentang cara memulihkan masalah dan melindungi permukaan serangan yang rentan.
Pelajari lebih lanjut tentang:
- Penilaian kerentanan untuk Azure Container Registry (ACR)
- Penilaian kerentanan untuk Amazon AWS Elastic Container Registry (ECR)
Perlindungan run-time untuk node dan kluster Kubernetes
Defender for Containers memberikan perlindungan ancaman real time untuk lingkungan kontainer yang didukung dan menghasilkan pemberitahuan untuk aktivitas yang mencurigakan. Anda dapat menggunakan informasi ini untuk memperbaiki masalah keamanan dengan cepat dan meningkatkan keamanan server Anda. Perlindungan ancaman di tingkat kluster disediakan oleh agen Defender dan analisis log audit Kubernetes. Contoh peristiwa pada level ini termasuk dasbor Kubernetes yang terbuka, pembuatan peran dengan hak istimewa tinggi, dan pembuatan tunggangan sensitif.
Defender for Containers juga mencakup deteksi ancaman tingkat host dengan lebih dari 60 analitik sadar Kubernetes, AI, dan deteksi anomali berdasarkan beban kerja runtime Anda. Untuk daftar lengkap pemberitahuan tingkat kluster, lihat tabel referensi pemberitahuan.
Defender for Cloud memantau permukaan serangan penyebaran Kubernetes multicloud berdasarkan matriks MITRE ATT&CK® untuk Kontainer, kerangka kerja yang dikembangkan oleh Center for Threat-Informed Defense dalam kemitraan yang erat dengan Microsoft.
FAQ - Microsoft Defender untuk Kontainer
- Apa saja opsi untuk mengaktifkan paket baru dalam skala besar?
- Apakah Microsoft Defender untuk Kontainer mendukung kluster AKS dengan virtual machines scale set (VMSS)?
- Apakah Microsoft Defender untuk Kontainer mendukung AKS tanpa set skala (default)?
- Apakah saya perlu memasang ekstensi mesin virtual Log Analytics di node AKS untuk perlindungan keamanan?
Apa saja opsi untuk mengaktifkan paket baru dalam skala besar?
Anda dapat menggunakan Azure Policy Configure Microsoft Defender for Containers to be enabled, untuk mengaktifkan Defender untuk Kontainer dalam skala besar. Anda juga dapat melihat semua opsi yang tersedia untuk mengaktifkan Microsoft Defender untuk Kontainer.
Apakah Microsoft Defender untuk Kontainer mendukung kluster AKS dengan set skala mesin virtual (VMSS)?
Ya.
Apakah Microsoft Defender untuk Kontainer mendukung AKS tanpa set skala (default)?
Nomor. Hanya kluster Azure Kubernetes Service (AKS) yang menggunakan Virtual Machine Scale Sets untuk simpul yang didukung.
Apakah saya perlu memasang ekstensi mesin virtual Log Analytics di node AKS untuk perlindungan keamanan?
Tidak, AKS adalah layanan terkelola, dan manipulasi sumber daya IaaS tidak didukung. Ekstensi mesin virtual (VM) Log Analytics tidak diperlukan dan dapat mengakibatkan biaya tambahan.
Selengkapnya
Pelajari selengkapnya tentang Defender untuk Kontainer di blog berikut:
Status rilis Defender untuk Kontainer dibagi berdasarkan dua dimensi: lingkungan dan fitur. Jadi, misalnya:
- Rekomendasi data plane Kubernetes untuk kluster AKS adalah GA
- Rekomendasi data plane Kubernetes untuk kluster EKS adalah pratinjau
Untuk melihat status matriks lengkap fitur dan lingkungan, lihat Ketersediaan fitur Microsoft Defender untuk Kontainer.
Langkah berikutnya
Dalam gambaran umum ini, Anda telah mempelajari tentang elemen inti keamanan kontainer di Microsoft Defender untuk Cloud. Untuk mengaktifkan rencana, lihat: