Overzicht van Microsoft Defender voor containers

Microsoft Defender for Containers is de cloudeigen oplossing die wordt gebruikt om uw containers te beveiligen, zodat u de beveiliging van uw clusters, containers en hun toepassingen kunt verbeteren, bewaken en onderhouden.

Defender for Containers helpt u bij de drie belangrijkste aspecten van containerbeveiliging:

  • Omgevingsbeveiliging: Defender voor Containers beveiligt uw Kubernetes-clusters, ongeacht of ze worden uitgevoerd op Azure Kubernetes Service, On-premises Kubernetes/IaaS of Amazon EKS. Defender for Containers evalueert voortdurend clusters om inzicht te bieden in onjuiste configuraties en richtlijnen om geïdentificeerde bedreigingen te beperken.

  • Evaluatie van beveiligingsproblemen: hulpprogramma's voor evaluatie en beheer van beveiligingsproblemen voor installatiekopieën die zijn opgeslagen in ACR-registers en worden uitgevoerd in Azure Kubernetes Service.

  • Runtime-bedreigingsbeveiliging voor knooppunten en clusters : bedreigingsbeveiliging voor clusters en Linux-knooppunten genereert beveiligingswaarschuwingen voor verdachte activiteiten.

Bekijk deze video van de videoserie Defender for Cloud in the Field: Microsoft Defender for Containers voor meer informatie.

beschikbaarheid van Microsoft Defender voor containers-plannen

Aspect Details
Releasestatus: Algemene beschikbaarheid (GA)
Bepaalde functies zijn in preview. Zie de sectie beschikbaarheid voor een volledige lijst.
Beschikbaarheid van functies Raadpleeg de sectie beschikbaarheid voor meer informatie over de status en beschikbaarheid van de functierelease.
Prijzen: Microsoft Defender voor containers wordt gefactureerd zoals wordt weergegeven op de pagina met prijzen
Vereiste rollen en machtigingen: • Als u de vereiste onderdelen wilt implementeren, raadpleegt u de machtigingen voor elk van de onderdelen
Beveiligingsbeheerder kan waarschuwingen negeren
Beveiligingslezer kan de bevindingen van de evaluatie van beveiligingsproblemen bekijken
Zie ook Rollen voor herstel en Azure Container Registry rollen en machtigingen
Clouds: Azure:
Commerciële clouds
Nationale clouds (Azure Government, Azure China 21Vianet) (behalve preview-functies))

Niet-Azure:
Verbonden AWS-accounts (preview)
Verbonden GCP-projecten (preview)
On-premises/IaaS ondersteund via Kubernetes met Arc (preview).

Zie de beschikbaarheidssectie voor meer informatie.

Beperking

Continue bewaking van uw Kubernetes-clusters, waar ze ook worden gehost

Defender voor Cloud evalueert voortdurend de configuraties van uw clusters en vergelijkt deze met de initiatieven die op uw abonnementen zijn toegepast. Wanneer onjuiste configuraties worden gevonden, genereert Defender voor Cloud beveiligingsaanbevelingen die beschikbaar zijn op de pagina Aanbevelingen van Defender for Cloud. Met de aanbevelingen kunt u problemen onderzoeken en oplossen.

U kunt het resourcefilter gebruiken om de openstaande aanbevelingen voor uw containergerelateerde resources te bekijken, in assetinventaris of op de pagina met aanbevelingen:

Schermopname die laat zien waar het resourcefilter zich bevindt.

Voor meer informatie over de aanbevelingen die voor deze functie kunnen worden weergegeven, raadpleegt u de sectie Compute van de referentietabel met aanbevelingen.

Beveiliging van Kubernetes-gegevensvlak

Als u de workloads van uw Kubernetes-containers wilt beveiligen met op maat gemaakte aanbevelingen, kunt u de Azure Policy voor Kubernetes installeren. Meer informatie over bewakingsonderdelen voor Defender voor Cloud.

Met de invoegtoepassing op uw AKS-cluster wordt elke aanvraag voor de Kubernetes API-server gecontroleerd op basis van de vooraf gedefinieerde set aanbevolen procedures voordat deze naar het cluster gaat. Vervolgens kunt u deze configureren om de best practices af te dwingen en deze te verplichten voor toekomstige workloads.

U kunt er bijvoorbeeld voor zorgen dat containers met machtigingen niet moeten worden gemaakt, en toekomstige aanvragen hiervoor worden dan geblokkeerd.

Meer informatie over het beveiligen van kubernetes-gegevensvlakken vindt u hier.

Evaluatie van beveiligingsproblemen

Defender for Containers scant de containers in Azure Container Registry (ACR) en Amazon AWS Elastic Container Registry (ECR) om u te waarschuwen als er bekende beveiligingsproblemen in uw installatiekopieën zijn. Wanneer de scan is voltooid, biedt Defender voor Containers details voor elk gedetecteerd beveiligingsprobleem, een beveiligingsclassificatie voor elk gedetecteerd beveiligingsprobleem en richtlijnen voor het oplossen van problemen en het beveiligen van kwetsbare aanvalsoppervlakken.

Meer informatie over:

Runtime-beveiliging voor Kubernetes-knooppunten en -clusters

Defender for Containers biedt realtime bescherming tegen bedreigingen voor uw containeromgevingen en genereert waarschuwingen voor verdachte activiteiten. U kunt deze informatie gebruiken om snel beveiligingsproblemen op te lossen en om de beveiliging van uw containers te verbeteren. Bedreigingsbeveiliging op clusterniveau wordt geleverd door de Defender-agent en analyse van de Kubernetes-auditlogboeken. Voorbeelden van gebeurtenissen op dit niveau zijn weergegeven Kubernetes-dashboards, het maken van rollen met hoge bevoegdheden en het maken van gevoelige koppelingen.

Defender for Containers bevat ook detectie van bedreigingen op hostniveau met meer dan 60 Kubernetes-bewuste analyses, AI en anomaliedetecties op basis van uw runtimeworkload.

Defender for Cloud bewaakt het aanvalsoppervlak van MultiCloud Kubernetes-implementaties op basis van de MITRE ATT&CK-matrix® voor containers, een framework dat is ontwikkeld door het Center for Threat-Informed Defense in nauwe samenwerking met Microsoft.

Veelgestelde vragen - Defender for Containers

Wat zijn de opties om het nieuwe plan op schaal in te schakelen?

U kunt de Azure Policy Configure Microsoft Defender for Containers to be enabledgebruiken om Defender for Containers op schaal in te schakelen. U kunt ook alle beschikbare opties bekijken om Microsoft Defender voor containers in te schakelen.

Ondersteunt Microsoft Defender for Containers AKS-clusters met virtuele-machineschaalsets?

Ja.

Ondersteunt Microsoft Defender for Containers AKS zonder schaalset (standaard)?

Nee. Alleen Azure Kubernetes Service (AKS)-clusters die gebruikmaken van Virtual Machine Scale Sets voor de knooppunten worden ondersteund.

Moet ik de Log Analytics VM-extensie installeren op mijn AKS-knooppunten voor beveiliging?

Nee, AKS is een beheerde service en manipulatie van de IaaS-resources wordt niet ondersteund. De Log Analytics VM-extensie is niet nodig en kan leiden tot extra kosten.

Meer informatie

Meer informatie over Defender for Containers vindt u in de volgende blogs:

De releasestatus van Defender for Containers is onderverdeeld in twee dimensies: omgeving en functie. Bijvoorbeeld:

  • Aanbevelingen voor Kubernetes-gegevensvlak voor AKS-clusters zijn algemeen beschikbaar
  • Kubernetes-gegevensvlakaanbevelingen voor EKS-clusters zijn preview

Als u de status van de volledige matrix van functies en omgevingen wilt weergeven, raadpleegt u Microsoft Defender voor beschikbaarheid van containers-functies.

Volgende stappen

In dit overzicht hebt u kennisgemaakt met de kernelementen van containerbeveiliging in Microsoft Defender for Cloud. Als u het plan wilt inschakelen, raadpleegt u: