Panoramica della sicurezza dei contenitori in Microsoft Defender per contenitori

Microsoft Defender per contenitori è una soluzione nativa del cloud per migliorare, monitorare e gestire la sicurezza degli asset in contenitori (cluster Kubernetes, nodi Kubernetes, carichi di lavoro Kubernetes, registri contenitori, immagini del contenitore e altro ancora) e le relative applicazioni in ambienti multicloud e locali.

Defender per contenitori consente di usare quattro domini principali di sicurezza dei contenitori:

  • Gestione del comportamento di sicurezza: esegue il monitoraggio continuo delle API cloud, delle API Kubernetes e dei carichi di lavoro Kubernetes per individuare le risorse cloud, offrire funzionalità di inventario complete, rilevare errori di configurazione e fornire linee guida per attenuarle, fornire una valutazione contestuale dei rischi e consentire agli utenti di eseguire funzionalità avanzate di ricerca dei rischi tramite esplora sicurezza Defender per il cloud.

  • Valutazione della vulnerabilità: fornisce una valutazione della vulnerabilità senza agente per Azure, AWS e GCP con linee guida per la correzione, zero configurazione, analisi giornaliere, copertura per pacchetti di sistema operativo e lingua e informazioni dettagliate sull'exploit.

  • Protezione dalle minacce in fase di esecuzione : un gruppo avanzato di rilevamento delle minacce per cluster, nodi e carichi di lavoro Kubernetes, basato su Intelligence sulle minacce leader di Microsoft, fornisce il mapping al framework MITRE ATT&CK per comprendere facilmente i rischi e il contesto pertinente, la risposta automatizzata e l'integrazione SIEM/XDR.

  • Distribuzione e monitoraggio: monitora i cluster Kubernetes per i sensori mancanti e offre una distribuzione senza attriti su larga scala per le funzionalità basate su sensori, il supporto per gli strumenti di monitoraggio Kubernetes standard e la gestione delle risorse non monitorate.

Per altre informazioni, guardare questo video dalla Defender per il cloud nella serie video Field: Microsoft Defender per contenitori.

Disponibilità del piano Microsoft Defender per contenitori

Aspetto Dettagli
Stato della versione: Disponibilità generale (GA)
Alcune funzionalità sono in anteprima. Per un elenco completo, vedere la matrice di supporto dei contenitori in Defender per il cloud
Disponibilità di funzionalità Per altre informazioni sullo stato e sulla disponibilità delle funzionalità, vedere la matrice di supporto dei contenitori in Defender per il cloud.
Prezzi: Microsoft Defender per contenitori viene fatturato come illustrato nella pagina dei prezzi
Autorizzazioni e ruoli obbligatori: • Per distribuire i componenti necessari, vedere le autorizzazioni per ognuno dei componenti
L'amministratore della sicurezza può ignorare gli avvisi
Il lettore di sicurezza può visualizzare i risultati della valutazione della vulnerabilità
Vedere anche Ruoli per la correzione e Registro Azure Container ruoli e autorizzazioni
Cloud: Visualizzare la matrice di supporto dei contenitori in Defender per il cloud per visualizzare la disponibilità del cloud.

Gestione del comportamento di sicurezza

Funzionalità senza agente

  • Individuazione senza agente per Kubernetes : offre un footprint zero, l'individuazione basata su API dei cluster Kubernetes, le relative configurazioni e distribuzioni.

  • Valutazione della vulnerabilità senza agente: fornisce una valutazione della vulnerabilità per tutte le immagini del contenitore, incluse raccomandazioni per il Registro di sistema e il runtime, analisi rapide di nuove immagini, aggiornamento giornaliero dei risultati, informazioni dettagliate sull'exploit e altro ancora. Le informazioni sulla vulnerabilità vengono aggiunte al grafico della sicurezza per la valutazione del rischio contestuale e il calcolo dei percorsi di attacco e le funzionalità di ricerca.

  • Funzionalità complete di inventario : consente di esplorare risorse, pod, servizi, repository, immagini e configurazioni tramite Esplora sicurezza per monitorare e gestire facilmente gli asset.

  • Ricerca avanzata dei rischi: consente agli amministratori della sicurezza di cercare attivamente problemi di comportamento negli asset in contenitori tramite query (predefinite e personalizzate) e informazioni dettagliate sulla sicurezza in Esplora sicurezza

  • Protezione avanzata del piano di controllo: valuta continuamente le configurazioni dei cluster e le confronta con le iniziative applicate alle sottoscrizioni. Quando rileva errori di configurazione, Defender per il cloud genera raccomandazioni sulla sicurezza disponibili nella pagina Raccomandazioni di Defender per il cloud. Le raccomandazioni consentono di analizzare e correggere i problemi.

    È possibile usare il filtro delle risorse per esaminare le raccomandazioni in sospeso per le risorse correlate ai contenitori, sia nell'inventario delle risorse che nella pagina delle raccomandazioni:

    Screenshot che mostra dove si trova il filtro delle risorse.

    Per informazioni dettagliate su questa funzionalità, vedere la sezione contenitori della tabella di riferimento delle raccomandazioni e cercare raccomandazioni con il tipo "Piano di controllo"

Funzionalità basate su sensori

Protezione avanzata del piano dati Kubernetes: per proteggere i carichi di lavoro dei contenitori Kubernetes con raccomandazioni sulle procedure consigliate, è possibile installare il Criteri di Azure per Kubernetes. Altre informazioni sui componenti di monitoraggio per Defender per il cloud.

Con il componente aggiuntivo nel cluster Kubernetes, ogni richiesta al server API Kubernetes viene monitorata rispetto al set predefinito di procedure consigliate prima di essere salvato in modo permanente nel cluster. È quindi possibile configurarlo per applicare le procedure consigliate e imporle per i carichi di lavoro futuri.

Ad esempio, è possibile imporre che i contenitori con privilegi non vengano creati e che eventuali richieste future a tale scopo vengano bloccate.

Altre informazioni sulla protezione avanzata del piano dati Kubernetes sono disponibili.

Valutazione della vulnerabilità

Defender per contenitori analizza le immagini dei contenitori in Registro Azure Container (ACR), Amazon AWS Elastic Container Registry (ECR), Google Artifact Registry (GAR) e Google Container Registry (GCR) per fornire una valutazione della vulnerabilità senza agente per le immagini del contenitore, tra cui raccomandazioni relative al registro e al runtime, indicazioni sulla correzione, analisi rapide di nuove immagini, informazioni dettagliate sugli exploit reali, informazioni dettagliate sull'sfruttabilità e altro ancora.

Le informazioni sulla vulnerabilità basate su Gestione delle vulnerabilità di Microsoft Defender vengono aggiunte al grafico della sicurezza cloud per il rischio contestuale, il calcolo dei percorsi di attacco e le funzionalità di ricerca.

Altre informazioni su:

Protezione in fase di esecuzione per i nodi e i cluster Kubernetes

Defender per contenitori offre protezione dalle minacce in tempo reale per gli ambienti in contenitori supportati e genera avvisi per attività sospette. È possibile usare queste informazioni per risolvere rapidamente i problemi di sicurezza e migliorare la sicurezza dei contenitori.

La protezione dalle minacce viene fornita per Kubernetes a livello di cluster, a livello di nodo e a livello di carico di lavoro e include sia la copertura basata su sensori che richiede il sensore Defender e la copertura senza agente basata sull'analisi dei log di controllo di Kubernetes. Gli avvisi di sicurezza vengono attivati solo per le azioni e le distribuzioni che si verificano dopo l'abilitazione di Defender per contenitori nella sottoscrizione.

Esempi di eventi di sicurezza monitorati da Microsoft Defender per contenitori includono:

  • Dashboard di Kubernetes esposti
  • Creazione di ruoli con privilegi elevati
  • Creazione di montaggi sensibili

È possibile visualizzare gli avvisi di sicurezza selezionando il riquadro Avvisi di sicurezza nella parte superiore della pagina di panoramica di Defender per il cloud o il collegamento dalla barra laterale.

Screenshot che mostra come accedere alla pagina degli avvisi di sicurezza dalla pagina di panoramica di Microsoft Defender per il cloud.

Verrà visualizzata la pagina degli avvisi di sicurezza:

Screenshot che mostra dove visualizzare l'elenco degli avvisi.

Gli avvisi di sicurezza per il carico di lavoro di runtime nei cluster possono essere riconosciuti dal K8S.NODE_ prefisso del tipo di avviso. Per un elenco completo degli avvisi a livello di cluster, vedere la tabella di riferimento degli avvisi.

Defender per contenitori include anche il rilevamento delle minacce a livello di host con oltre 60 funzionalità di analisi, intelligenza artificiale e rilevamento anomalie in base al carico di lavoro di runtime.

Defender per il cloud monitora la superficie di attacco delle distribuzioni Kubernetes multicloud basate su Matrice MITRE ATT&CK® per contenitori, un framework sviluppato dal Center for Threat-Informed Defense in stretta collaborazione con Microsoft.

Altre informazioni

Altre informazioni su Defender per contenitori sono disponibili nei blog seguenti:

Passaggi successivi

In questa panoramica sono stati illustrati gli elementi principali della sicurezza dei contenitori in Microsoft Defender per il cloud. Per abilitare il piano, vedere: