Panoramica di Microsoft Defender per contenitori

  • Articolo

Microsoft Defender per i contenitori è la soluzione nativa del cloud per migliorare, monitorare e mantenere la sicurezza dei cluster, dei contenitori e delle relative applicazioni.

Defender per i contenitori consente di usare quattro aspetti principali della sicurezza dei contenitori:

  • Protezione avanzata dell'ambiente: Defender per contenitori protegge i cluster Kubernetes se sono in esecuzione in servizio Azure Kubernetes, Kubernetes locale/IaaS o Amazon EKS. Defender per i contenitori valuta continuamente i cluster per offrire visibilità sulle configurazioni non configurate e sulle linee guida per ridurre le minacce identificate.

  • Valutazione della vulnerabilità - Strumenti di valutazione e gestione delle vulnerabilità per le immagini archiviate in Registro Azure Container e nel Registro Contenitori elastici

  • Protezione delle minacce in fase di esecuzione per nodi e cluster - Protezione delle minacce per i cluster e i nodi genera avvisi di sicurezza per attività sospette.

  • Individuazione senza agente per Kubernetes : offre strumenti che consentono di visualizzare i componenti del piano dati, generando informazioni dettagliate sulla sicurezza in base alla configurazione di Kubernetes e dell'ambiente e consente di cercare rischi.

Per altre informazioni, vedere questo video dalla serie video Defender for Cloud nella serie video Field: Microsoft Defender per contenitori.

Disponibilità del piano Microsoft Defender per contenitori

Aspetto Dettagli
Stato della versione: Disponibilità generale (GA)
Alcune funzionalità sono in anteprima per un elenco completo, vedere la sezione disponibilità .
Disponibilità delle funzionalità Per altre informazioni sullo stato e sulla disponibilità della funzionalità, vedere la sezione disponibilità .
Prezzi: Microsoft Defender per i contenitori viene fatturato come illustrato nella pagina dei prezzi
Autorizzazioni e ruoli obbligatori: • Per distribuire i componenti necessari, vedere le autorizzazioni per ognuno dei componenti
L'amministratore della sicurezza può ignorare gli avvisi
Il lettore di sicurezza può visualizzare i risultati della valutazione delle vulnerabilità
Vedere anche Ruoli per correzionee Registro Azure Container ruoli e autorizzazioni
Cloud: Azure:
Cloud commerciali
Cloud nazionali (Azure per enti pubblici, Microsoft Azure gestito da 21Vianet) (ad eccezione delle funzionalità di anteprima)

Non Azure:
Account AWS connessi (anteprima)
Progetti GCP connessi (anteprima)
On-prem/IaaS supportato tramite Arc enabled Kubernetes (anteprima).

Per altre informazioni, vedere la sezione disponibilità.

Protezione avanzata

Monitoraggio continuo dei cluster Kubernetes: ovunque siano ospitati

Defender per il cloud valuta continuamente le configurazioni dei cluster e le confronta con le iniziative applicate alle sottoscrizioni. Quando trova configurazioni non configurate, Defender for Cloud genera raccomandazioni sulla sicurezza disponibili nella pagina Raccomandazioni di Defender for Cloud. Le raccomandazioni consentono di analizzare e correggere i problemi.

È possibile usare il filtro delle risorse per esaminare le raccomandazioni in sospeso per le risorse correlate al contenitore, sia nell'inventario delle risorse che nella pagina dei consigli:

Screenshot che mostra dove si trova il filtro delle risorse.

Per informazioni dettagliate sulle raccomandazioni che potrebbero essere visualizzate per questa funzionalità, vedere la sezione calcolo della tabella di riferimento delle raccomandazioni.

Protezione avanzata del piano dati Kubernetes

Per proteggere i carichi di lavoro dei contenitori Kubernetes con raccomandazioni personalizzate, è possibile installare le Criteri di Azure per Kubernetes. Altre informazioni sul monitoraggio dei componenti per Defender for Cloud.

Con il componente aggiuntivo nel cluster del servizio Azure Kubernetes, ogni richiesta inviata al server API Kubernetes verrà monitorata rispetto a un set predefinito di procedure consigliate prima del salvataggio permanente nel cluster. È quindi possibile configurarla per applicare le procedure consigliate e richiederle per i carichi di lavoro futuri.

È ad esempio possibile imporre che i contenitori con privilegi non debbano essere creati ed eventuali richieste future di creazione di tali contenitori verranno bloccate.

Per altre informazioni, vedere La protezione avanzata del piano dati Kubernetes.

Valutazione della vulnerabilità

Defender per contenitori analizza le immagini dei contenitori in Registro Azure Container (ACR) e Amazon AWS Elastic Container Registry (ECR) per fornire report di vulnerabilità per le immagini del contenitore, fornendo dettagli per ogni vulnerabilità rilevata, indicazioni sulla correzione, informazioni dettagliate sugli exploit reali e altro ancora.

Esistono due soluzioni per la valutazione delle vulnerabilità in Azure, una basata su Gestione delle vulnerabilità di Microsoft Defender e una basata su Qualys.

Sono disponibili altre informazioni su:

Protezione in fase di esecuzione per i nodi e i cluster Kubernetes

Defender per contenitori offre protezione dalle minacce in tempo reale per ambienti in contenitori supportati e genera avvisi per attività sospette. È possibile usare queste informazioni per risolvere rapidamente i problemi di sicurezza e migliorare la sicurezza dei contenitori.

La protezione dalle minacce a livello di cluster viene fornita dall'agente Defender e dall'analisi dei log di controllo kubernetes. Ciò significa che gli avvisi di sicurezza vengono attivati solo per le azioni e le distribuzioni che si verificano dopo aver abilitato Defender per contenitori nella sottoscrizione.

Esempi di eventi di sicurezza che Microsoft Defenders for Containers monitor includono:

  • Dashboard Kubernetes esposti
  • Creazione di ruoli con privilegi elevati
  • Creazione di montaggi sensibili

È possibile visualizzare gli avvisi di sicurezza selezionando il riquadro Avvisi di sicurezza nella parte superiore della pagina di panoramica di Defender for Cloud o il collegamento dalla barra laterale.

Screenshot che mostra come accedere alla pagina degli avvisi di sicurezza dalla pagina di panoramica di Microsoft Defender per la pagina di panoramica di Cloud.

Verrà visualizzata la pagina avvisi di sicurezza.

Screenshot che mostra dove visualizzare l'elenco degli avvisi.

Gli avvisi di sicurezza per il carico di lavoro di runtime nei cluster possono essere riconosciuti dal K8S.NODE_ prefisso del tipo di avviso. Per un elenco completo degli avvisi a livello di cluster, vedere la tabella di riferimento degli avvisi.

Defender per contenitori include anche il rilevamento delle minacce a livello di host con oltre 60 analisi con riconoscimento di Kubernetes, intelligenza artificiale e rilevamento anomalie in base al carico di lavoro di runtime.

Defender for Cloud monitora la superficie di attacco delle distribuzioni di Kubernetes multicloud basate sulla matrice MITRE ATT&CK® per contenitori, un framework sviluppato dal Centro per Threat-Informed Defense in stretta collaborazione con Microsoft.

Individuazione senza agente per Kubernetes

Defender per i contenitori usa il grafico di sicurezza cloud per raccogliere in modo senza agente informazioni sui cluster Kubernetes. Questi dati possono essere sottoposti a query tramite Cloud Security Explorer e usati per:

  1. Inventario Kubernetes: ottenere visibilità nei componenti del piano dati dei cluster Kubernetes, ad esempio nodi, pod e processi cron.

  2. Informazioni dettagliate sulla sicurezza: situazioni di sicurezza predefinite rilevanti per i componenti Kubernetes, ad esempio "esposti a Internet". Per altre informazioni, vedere Informazioni dettagliate sulla sicurezza.

  3. Ricerca dei rischi: esecuzione di query su vari casi di rischio, correlazione di scenari di sicurezza predefiniti o personalizzati tra proprietà Kubernetes con granularità fine e informazioni dettagliate sulla sicurezza di Defender For Containers.

Screenshot della query di ricerca dei rischi.

Altre informazioni

Altre informazioni su Defender per contenitori nei blog seguenti:

Lo stato di rilascio di Defender per contenitori viene suddiviso in base a due dimensioni: ambiente e funzionalità. Ad esempio:

  • Le raccomandazioni del piano dati Kubernetes per i cluster del servizio Azure Kubernetes sono di disponibilità generale

  • Le raccomandazioni del piano dati Kubernetes per i cluster del servizio Azure Kubernetes sono in anteprima

    Per visualizzare lo stato della matrice completa di funzionalità e ambienti, vedere Microsoft Defender per la disponibilità delle funzionalità Contenitori.

Passaggi successivi

In questa panoramica sono stati illustrati gli elementi principali della sicurezza dei contenitori in Microsoft Defender for Cloud. Per abilitare il piano, vedere: