Overzicht van containerbeveiliging in Microsoft Defender for Containers

Microsoft Defender for Containers is een cloudeigen oplossing voor het verbeteren, bewaken en onderhouden van de beveiliging van uw containerassets (Kubernetes-clusters, Kubernetes-knooppunten, Kubernetes-workloads, containerregisters, containerinstallatiekopieën en meer) en hun toepassingen, in meerdere cloud- en on-premises omgevingen.

Defender for Containers helpt u bij vier kerndomeinen van containerbeveiliging:

  • Beveiligingspostuurbeheer: voert continue bewaking uit van cloud-API's, Kubernetes-API's en Kubernetes-workloads om cloudresources te detecteren, uitgebreide inventarismogelijkheden te bieden, onjuiste configuraties te detecteren en richtlijnen te bieden om ze te beperken, contextuele risicoanalyse te bieden en gebruikers in staat te stellen uitgebreide mogelijkheden voor het opsporen van risico's uit te voeren via de Defender voor Cloud Security Explorer.

  • Evaluatie van beveiligingsproblemen: biedt evaluatie van beveiligingsproblemen zonder agent voor Azure, AWS en GCP met herstelrichtlijnen, nulconfiguratie, dagelijkse herscans, dekking voor besturingssysteem- en taalpakketten en inzichten in exploitabiliteit.

  • Runtime-bedreigingsbeveiliging : een uitgebreide suite voor bedreigingsdetectie voor Kubernetes-clusters, knooppunten en workloads, mogelijk gemaakt door toonaangevende bedreigingsinformatie van Microsoft, biedt toewijzing aan MITRE ATT&CK-framework voor eenvoudig inzicht in risico's en relevante context, geautomatiseerde respons en SIEM/XDR-integratie.

  • Implementatie en bewaking: bewaakt uw Kubernetes-clusters op ontbrekende agents en biedt probleemloze implementatie op schaal voor op agents gebaseerde mogelijkheden, ondersteuning voor standaard Kubernetes-bewakingshulpprogramma's en beheer van niet-bewaakte resources.

U vindt meer informatie door deze video te bekijken vanuit de Defender voor Cloud in de videoserie Veld: Microsoft Defender for Containers.

Beschikbaarheid van Microsoft Defender voor Containers-plannen

Aspect DETAILS
Releasestatus: Algemene beschikbaarheid (GA)
Bepaalde functies zijn beschikbaar als preview-versie. Zie de ondersteuningsmatrix containers in Defender voor Cloud voor een volledige lijst
Beschikbaarheid van functies Raadpleeg de ondersteuningsmatrix voor containers in Defender voor Cloud voor meer informatie over de status en beschikbaarheid van functies.
Prijzen: Microsoft Defender for Containers wordt gefactureerd zoals wordt weergegeven op de pagina met prijzen
Vereiste rollen en machtigingen: • Zie de machtigingen voor elk van de onderdelen om de vereiste onderdelen te implementeren
Beveiligingsbeheerder kan waarschuwingen negeren
Beveiligingslezer kan resultaten van evaluatie van beveiligingsproblemen bekijken
Zie ook Rollen voor herstel en Azure Container Registry-rollen en -machtigingen
Clouds: Bekijk de ondersteuningsmatrix voor containers in Defender voor Cloud om de beschikbaarheid van de cloud te bekijken.

Beheer van beveiligingspostuur

Mogelijkheden zonder agent

  • Detectie zonder agent voor Kubernetes : biedt geen footprint, OP API gebaseerde detectie van uw Kubernetes-clusters, hun configuraties en implementaties.

  • Evaluatie van beveiligingsproblemen zonder agent: biedt evaluatie van beveiligingsproblemen voor alle containerinstallatiekopieën, waaronder aanbevelingen voor register en runtime, snelle scans van nieuwe installatiekopieën, dagelijkse vernieuwing van resultaten, inzichten in exploitabiliteit en meer. Informatie over beveiligingsproblemen wordt toegevoegd aan de beveiligingsgrafiek voor contextuele risicoanalyse en berekening van aanvalspaden en opsporingsmogelijkheden.

  • Uitgebreide inventarismogelijkheden : hiermee kunt u resources, pods, services, opslagplaatsen, afbeeldingen en configuraties verkennen via Security Explorer om uw assets eenvoudig te bewaken en te beheren.

  • Verbeterde opsporing van risico's : stelt beveiligingsbeheerders in staat om actief op houdingsproblemen in hun containerassets te zoeken via query's (ingebouwd en aangepast) en beveiligingsinzichten in security Explorer

  • Beveiliging van besturingsvlak: evalueert continu de configuraties van uw clusters en vergelijkt deze met de initiatieven die op uw abonnementen zijn toegepast. Wanneer onjuiste configuraties worden gevonden, genereert Defender voor Cloud beveiligingsaanaanvelingen die beschikbaar zijn op Defender voor Cloud Aanbevelingen pagina. Met de aanbevelingen kunt u problemen onderzoeken en oplossen.

    U kunt het resourcefilter gebruiken om de openstaande aanbevelingen voor uw containerresources te bekijken, ongeacht of deze zich in de assetinventaris of de aanbevelingenpagina bevinden:

    Screenshot showing you where the resource filter is located.

    Raadpleeg de sectie Containers van de referentietabel met aanbevelingen voor meer informatie over deze mogelijkheid en zoek naar aanbevelingen met het type 'Besturingsvlak'

Mogelijkheden op basis van agents

Kubernetes-gegevensvlakbeveiliging : als u de workloads van uw Kubernetes-containers wilt beveiligen met best practice-aanbevelingen, kunt u Azure Policy voor Kubernetes installeren. Meer informatie over bewakingsonderdelen voor Defender voor Cloud.

Met de invoegtoepassing op uw Kubernetes-cluster wordt elke aanvraag naar de Kubernetes-API-server gecontroleerd op basis van de vooraf gedefinieerde set aanbevolen procedures voordat deze wordt bewaard in het cluster. Vervolgens kunt u deze configureren om de aanbevolen procedures af te dwingen en deze te verplichten voor toekomstige workloads.

U kunt bijvoorbeeld verplichten dat bevoegde containers niet mogen worden gemaakt en dat toekomstige aanvragen hiervoor worden geblokkeerd.

Meer informatie over Kubernetes-gegevensvlakbeveiliging vindt u.

Evaluatie van beveiligingsproblemen

Defender for Containers scant de containerinstallatiekopieën in Azure Container Registry (ACR), Amazon AWS Elastic Container Registry (ECR), Google Artifact Registry (GAR) en Google Container Registry (GCR) om beveiligingsproblemen zonder agent te beoordelen voor uw containerinstallatiekopieën, waaronder aanbevelingen voor register en runtime, herstelrichtlijnen, snelle scans van nieuwe installatiekopieën, inzichten in exploitabiliteit, en meer.

Informatie over beveiligingsproblemen die mogelijk wordt gemaakt door Microsoft Defender Vulnerability Management, wordt toegevoegd aan de cloudbeveiligingsgrafiek voor contextueel risico, berekening van aanvalspaden en opsporingsmogelijkheden.

Notitie

De Qualys-aanbieding is alleen beschikbaar voor klanten die vóór 15 november 2023 onboarding hebben uitgevoerd bij Defender for Containers.

Er zijn twee oplossingen voor evaluatie van beveiligingsproblemen in Azure, één mogelijk gemaakt door Microsoft Defender Vulnerability Management en één met Qualys.

Meer informatie over:

Runtime-beveiliging voor Kubernetes-knooppunten en -clusters

Defender for Containers biedt realtime bedreigingsbeveiliging voor ondersteunde containeromgevingen en genereert waarschuwingen voor verdachte activiteiten. U kunt deze informatie gebruiken om snel beveiligingsproblemen op te lossen en om de beveiliging van uw containers te verbeteren.

Bedreigingsbeveiliging wordt geboden voor Kubernetes op clusterniveau, knooppuntniveau en workloadniveau en omvat zowel op agents gebaseerde dekking waarvoor de Defender-agent en de dekking zonder agent zijn vereist die is gebaseerd op analyse van de Kubernetes-auditlogboeken. Beveiligingswaarschuwingen worden alleen geactiveerd voor acties en implementaties die optreden nadat u Defender for Containers voor uw abonnement hebt ingeschakeld.

Voorbeelden van beveiligingsevenementen die door Microsoft Defenders for Containers worden bewaakt, zijn:

  • Weergegeven Kubernetes-dashboards
  • Het maken van rollen met hoge bevoegdheden
  • Het maken van gevoelige koppelingen

U kunt beveiligingswaarschuwingen bekijken door de tegel Beveiligingswaarschuwingen boven aan de overzichtspagina van de Defender voor Cloud of de koppeling in de zijbalk te selecteren.

Screenshot showing how to get to the security alerts page from Microsoft Defender for Cloud's overview page.

De pagina Beveiligingswaarschuwingen wordt geopend:

Screenshot showing you where to view the list of alerts.

Beveiligingswaarschuwingen voor runtimeworkloads in de clusters kunnen worden herkend door het K8S.NODE_ voorvoegsel van het waarschuwingstype. Zie de referentietabel met waarschuwingen op clusterniveau voor een volledige lijst met waarschuwingen.

Defender for Containers bevat ook detectie van bedreigingen op hostniveau met meer dan 60 Kubernetes-compatibele analyses, AI en anomaliedetecties op basis van uw runtimeworkload.

Defender voor Cloud bewaakt de kwetsbaarheid voor aanvallen van Kubernetes-implementaties met meerdere clouds op basis van de MITRE ATT&CK-matrix® voor containers, een framework dat is ontwikkeld door het Center for Threat-Informed Defense in nauwe samenwerking met Microsoft.

Meer informatie

Meer informatie over Defender for Containers vindt u in de volgende blogs:

Volgende stappen

In dit overzicht hebt u geleerd over de belangrijkste elementen van containerbeveiliging in Microsoft Defender voor Cloud. Als u het plan wilt inschakelen, raadpleegt u: