Gambaran Umum Microsoft Defender untuk Kontainer

Microsoft Defender untuk Kontainer adalah solusi cloud-native untuk mengamankan kontainer sehingga Anda dapat meningkatkan, memantau, dan menjaga keamanan kluster, kontainer, dan aplikasinya.

Microsoft Defender untuk Kontainer membantu aspek inti keamanan kontainer:

  • Pengerasan lingkungan - Defender untuk Kontainer melindungi kluster Kubernetes Anda baik yang dijalankan di Azure Kubernetes Service, Kubernetes lokal/IaaS, atau Amazon EKS. Dengan terus menilai kluster, Defender untuk Kontainer memberikan visibilitas ke kesalahan konfigurasi dan panduan untuk membantu mengurangi ancaman yang teridentifikasi.

  • Penilaian kerentanan - Alat penilaian dan pengelolaan kerentanan untuk gambar disimpan di registry ACR dan berjalan di Azure Kubernetes Service.

  • Perlindungan ancaman run-time untuk node dan kluster - Perlindungan ancaman untuk kluster dan node Linux menghasilkan peringatan keamanan untuk aktivitas yang mencurigakan.

Anda dapat mempelajari lebih lanjut dengan menonton video ini dari seri video Defender untuk Cloud dalam Bidang: Microsoft Defender untuk Kontainer.

Ketersediaan paket Microsoft Defender untuk Kontainer

Aspek Detail
Status rilis: Ketersediaan umum (GA)
Fitur tertentu sedang dalam pratinjau, untuk daftar lengkapnya, lihat bagian ketersediaan.
Ketersediaan fitur Lihat bagian ketersediaan untuk informasi tambahan tentang status dan ketersediaan rilis fitur.
Harga: Microsoft Defender untuk Kontainer ditagih seperti yang ditunjukkan pada halaman harga
Peran dan izin akses yang diperlukan: • Untuk memprovisikan komponen yang diperlukan secara otomatis, lihat izin untuk setiap komponen
Admin keamanan dapat mematikan pemberitahuan
Pembaca keamanan dapat melihat temuan penilaian kerentanan
Lihat juga Peran dan izin Azure Container Registry
Cloud: Azure:
Cloud komersial
Cloud nasional (Azure Government, Azure Tiongkok) (Kecuali untuk fitur pratinjau))

Non-Azure:
Akun AWS yang terhubung (Pratinjau)
Proyek GCP yang terhubung (Pratinjau)
Lokal/IaaS didukung melalui Kubernetes berkemampuan Arc (Pratinjau).

Untuk informasi selengkapnya tentang, lihat bagian ketersediaan.

Penguatan

Pemantauan berkelanjutan terhadap kluster Kubernetes Anda - di mana kluster dihosting

Defender untuk Cloud terus menilai konfigurasi kluster Anda dan membandingkannya dengan inisiatif yang diterapkan pada langganan Anda. Ketika menemukan kesalahan konfigurasi, Defender untuk Cloud menghasilkan rekomendasi keamanan yang tersedia di halaman Rekomendasi Defender untuk Cloud. Rekomendasi memungkinkan Anda menyelidiki dan memulihkan masalah. Untuk mengetahui detail rekomendasi yang mungkin muncul untuk fitur ini, lihat bagian komputasi dari tabel referensi rekomendasi.

Untuk kluster Kubernetes di EKS, Anda harus menghubungkan akun AWS Anda ke Microsoft Defender untuk Cloud dan memastikan Anda telah mengaktifkan rencana CSPM.

Anda dapat menggunakan filter sumber daya untuk meninjau rekomendasi luar biasa untuk sumber daya terkait kontainer, baik di inventaris aset atau di halaman rekomendasi:

Cuplikan layar yang menampilkan tempat filter sumber daya berada.

Penguatan data plane Kubernetes

Untuk melindungi beban kerja kontainer Kubernetes Anda dengan rekomendasi yang disesuaikan, Anda dapat menginstal Azure Policy untuk Kubernetes. Anda juga dapat menyebarkan komponen ini secara otomatis seperti yang dijelaskan dalam mengaktifkan provisi otomatis agen dan ekstensi.

Dengan add-on pada kluster AKS, setiap permintaan ke server Kubernetes API akan dipantau terhadap set praktik terbaik yang telah ditentukan sebelumnya sebelum ditembus ke kluster. Selanjutnya Anda dapat mengonfigurasinya untuk memberlakukan praktik terbaik dan memandatkannya untuk beban kerja di masa depan.

Misalnya, Anda dapat mengamanatkan bahwa kontainer istimewa tidak boleh dibuat, dan permintaan apa pun di masa mendatang untuk melakukan demikian akan diblokir.

Anda dapat mempelajari lebih lanjut tentang pengerasan sarana data Kubernetes.

Penilaian kerentanan

Memindai gambar di dalam registri ACR

Defender untuk Kontainer menawarkan pemindaian kerentanan untuk gambar di Azure Container Registries (ACR). Pemicu untuk memindai gambar meliputi:

  • Saat didorong: Saat gambar dimasukkan ke registri untuk penyimpanan, Defender untuk Kontainer secara otomatis memindai gambar.

  • Baru-baru ini ditarik: Pemindaian gambar mingguan yang telah diambil dalam 30 hari terakhir.

  • Saat diimpor: Saat Anda mengimpor gambar ke ACR, Defender untuk Kontainer memindai semua gambar yang didukung.

Pelajari lebih lanjut di Penilaian kerentanan.

Contoh rekomendasi Microsoft Defender untuk Cloud tentang kerentanan yang ditemukan di gambar yang dihosting Azure Container Registry (ACR).

Melihat kerentanan untuk menjalankan gambar

Defender untuk Cloud memberi pelanggannya kemampuan untuk memprioritaskan perbaikan kerentanan pada gambar yang saat ini digunakan dalam lingkungan mereka menggunakan rekomendasi Menjalankan gambar kontainer harus memiliki temuan kerentanan yang diselesaikan.

Defender untuk Cloud dapat memberikan rekomendasi dengan menghubungkan inventaris kontainer yang berjalan yang dikumpulkan oleh agen Defender yang diinstal pada kluster AKS Anda, dengan pemindaian penilaian kerentanan gambar yang disimpan di ACR. Rekomendasi tersebut kemudian menunjukkan kontainer Anda yang sedang berjalan dengan kerentanan yang terkait dengan gambar yang digunakan oleh setiap kontainer dan memberi Anda laporan kerentanan dan langkah-langkah perbaikan.

Catatan

Kontainer Windows: Tidak ada agen Defender untuk kontainer Windows, agen Defender disebarkan ke simpul Linux yang berjalan di kluster, untuk mengambil inventaris kontainer yang berjalan untuk simpul Windows Anda.

Gambar yang tidak diambil dari ACR untuk disebarkan di AKS tidak akan diperiksa dan akan muncul di tab Tidak berlaku.

Gambar yang telah dihapus dari registri ACR, tetapi masih berjalan, tidak akan dilaporkan hanya dalam 30 hari setelah pemindaian terakhir dilakukan di ACR.

Cuplikan layar yang menampilkan tempat rekomendasi dapat dilihat.

Perlindungan run-time untuk node dan kluster Kubernetes

Defender untuk Kontainer menyediakan proteksi peringatan real time untuk lingkungan dalam kontainer dan membuat pemberitahuan untuk aktivitas mencurigakan. Anda dapat menggunakan informasi ini untuk memperbaiki masalah keamanan dengan cepat dan meningkatkan keamanan server Anda. Perlindungan ancaman di tingkat kluster disediakan oleh agen Defender dan analisis log audit Kubernetes. Contoh peristiwa pada level ini termasuk dasbor Kubernetes yang terbuka, pembuatan peran dengan hak istimewa tinggi, dan pembuatan tunggangan sensitif.

Selain itu, deteksi ancaman kami melampaui lapisan manajemen Kubernetes. Defender untuk Kontainer mencakup deteksi ancaman tingkat host dengan lebih dari 60 analisis Kubernetes, AI, dan deteksi anomali berdasarkan beban kerja runtime Anda.

Solusi ini memantau permukaan serangan yang terus bertambah dari penyebaran Kubernetes multi-cloud dan melacak matriks MITRE ATT&CK® untuk Kontainer, kerangka kerja yang dikembangkan oleh Center for Threat-Informed Defense dalam kerja samanya yang erat dengan Microsoft dan lainnya.

FAQ - Microsoft Defender untuk Kontainer

Apa saja opsi untuk mengaktifkan paket baru dalam skala besar?

Anda dapat menggunakan Azure Policy Configure Microsoft Defender for Containers to be enabled, untuk mengaktifkan Defender untuk Kontainer dalam skala besar. Anda juga dapat melihat semua opsi yang tersedia untuk mengaktifkan Microsoft Defender untuk Kontainer.

Apakah Microsoft Defender untuk Kontainer mendukung kluster AKS dengan set skala mesin virtual (VMSS)?

Ya.

Apakah Microsoft Defender untuk Kontainer mendukung AKS tanpa set skala (default)?

Nomor. Hanya kluster Azure Kubernetes Service (AKS) yang menggunakan set skala mesin virtual untuk simpul yang didukung.

Apakah saya perlu memasang ekstensi mesin virtual Log Analytics di node AKS untuk perlindungan keamanan?

Tidak, AKS adalah layanan terkelola, dan manipulasi sumber daya IaaS tidak didukung. Ekstensi mesin virtual (VM) Log Analytics tidak diperlukan dan dapat mengakibatkan biaya tambahan.

Selengkapnya

Pelajari selengkapnya tentang Defender untuk Kontainer di blog berikut:

Status rilis Defender untuk Kontainer dibagi berdasarkan dua dimensi: lingkungan dan fitur. Jadi, misalnya:

  • Rekomendasi data plane Kubernetes untuk kluster AKS adalah GA
  • Rekomendasi data plane Kubernetes untuk kluster EKS adalah pratinjau

Untuk melihat status matriks lengkap fitur dan lingkungan, lihat Ketersediaan fitur Microsoft Defender untuk Kontainer.

Langkah berikutnya

Dalam gambaran umum ini, Anda telah mempelajari tentang elemen inti keamanan kontainer di Microsoft Defender untuk Cloud. Untuk mengaktifkan rencana, lihat: