Omówienie ochrony kontenerów w usłudze Defender dla Chmury
Usługa Microsoft Defender for Containers to natywne dla chmury rozwiązanie do ulepszania, monitorowania i obsługi zabezpieczeń konteneryzowanych zasobów (klastrów Kubernetes, węzłów Kubernetes, obciążeń Kubernetes, rejestrów kontenerów, obrazów kontenerów i nie tylko) oraz ich aplikacji w środowiskach wielochmurowych i lokalnych.
Usługa Defender for Containers ułatwia obsługę czterech podstawowych domen zabezpieczeń kontenerów:
Zarządzanie stanem zabezpieczeń — wykonuje ciągłe monitorowanie interfejsów API w chmurze, interfejsów API platformy Kubernetes i obciążeń Kubernetes w celu odnajdywania zasobów w chmurze, zapewnia kompleksowe możliwości spisu, wykrywa błędy konfiguracji i udostępnia wskazówki, aby je ograniczyć, zapewnić kontekstową ocenę ryzyka i umożliwić użytkownikom wykonywanie rozszerzonych funkcji wyszukiwania zagrożeń za pośrednictwem eksploratora zabezpieczeń Defender dla Chmury.
Ocena luk w zabezpieczeniach — zapewnia ocenę luk w zabezpieczeniach bez agenta dla platformy Azure, AWS i GCP z wytycznymi korygowania, konfiguracją zerową, codziennym skanowaniem, pokryciem pakietów systemu operacyjnego i języka oraz szczegółowymi informacjami o możliwościach wykorzystania.
Ochrona przed zagrożeniami w czasie wykonywania — rozbudowany pakiet wykrywania zagrożeń dla klastrów Kubernetes, węzłów i obciążeń obsługiwanych przez wiodącą analizę zagrożeń firmy Microsoft, zapewnia mapowanie struktury MITRE ATT&CK na łatwe zrozumienie ryzyka i odpowiedniego kontekstu, zautomatyzowanej reakcji i integracji rozwiązania SIEM/XDR.
Wdrażanie i monitorowanie — monitoruje klastry Kubernetes pod kątem brakujących czujników i zapewnia bezproblemowe wdrażanie na dużą skalę dla możliwości opartych na czujnikach, obsługę standardowych narzędzi do monitorowania kubernetes i zarządzanie niemonitorowanych zasobów.
Więcej informacji można dowiedzieć się, oglądając ten film wideo z Defender dla Chmury w serii wideo Field: Microsoft Defender for Containers.
Dostępność planu Microsoft Defender dla Kontenerów
| Aspekt | Szczegóły |
|---|---|
| Stan wydania: | Ogólna dostępność Niektóre funkcje są dostępne w wersji zapoznawczej. Aby uzyskać pełną listę, zobacz macierz obsługi kontenerów w Defender dla Chmury |
| Dostępność funkcji | Zapoznaj się z macierzą obsługi kontenerów w Defender dla Chmury, aby uzyskać dodatkowe informacje na temat stanu i dostępności wersji funkcji. |
| Cennik: | Opłaty za usługę Microsoft Defender for Containers są naliczane, jak pokazano na stronie cennika |
| Wymagane role i uprawnienia: | • Aby wdrożyć wymagane składniki, zobacz uprawnienia dla każdego ze składników • Administrator zabezpieczeń może odrzucać alerty • Czytelnik zabezpieczeń może wyświetlać wyniki oceny luk w zabezpieczeniach Zobacz również Role korygowania i ról i uprawnień usługi Azure Container Registry |
| Chmury: | Wyświetl macierz obsługi kontenerów w Defender dla Chmury, aby zobaczyć dostępność chmury. |
Zarządzanie stanem zabezpieczeń
Możliwości bez agenta
Odnajdywanie bez agenta dla platformy Kubernetes — zapewnia zerowe ślady, oparte na interfejsie API odnajdywanie klastrów Kubernetes , ich konfiguracji i wdrożeń.
Ocena luk w zabezpieczeniach bez agenta — zapewnia ocenę luk w zabezpieczeniach dla wszystkich obrazów kontenerów, w tym rekomendacje dotyczące rejestru i środowiska uruchomieniowego, szybkie skanowanie nowych obrazów, codzienne odświeżanie wyników, szczegółowe informacje o możliwości wykorzystania i nie tylko. Informacje o lukach w zabezpieczeniach są dodawane do grafu zabezpieczeń na potrzeby kontekstowej oceny ryzyka i obliczania ścieżek ataków oraz możliwości wyszukiwania zagrożeń.
Kompleksowe możliwości spisu — umożliwia eksplorowanie zasobów, zasobników, usług, repozytoriów, obrazów i konfiguracji za pośrednictwem Eksploratora zabezpieczeń w celu łatwego monitorowania zasobów i zarządzania nimi.
Ulepszone wyszukiwanie zagrożeń — umożliwia administratorom zabezpieczeń aktywne wyszukiwanie problemów ze stanem w swoich konteneryzowanych zasobach za pomocą zapytań (wbudowanych i niestandardowych) oraz szczegółowych informacji o zabezpieczeniach w eksploratorze zabezpieczeń
Wzmacnianie zabezpieczeń płaszczyzny sterowania — stale ocenia konfiguracje klastrów i porównuje je z inicjatywami zastosowanymi do subskrypcji. W przypadku znalezienia błędów konfiguracji Defender dla Chmury generuje zalecenia dotyczące zabezpieczeń dostępne na stronie Zalecenia Defender dla Chmury. Zalecenia umożliwiają badanie i korygowanie problemów.
Możesz użyć filtru zasobów, aby przejrzeć zaległe zalecenia dotyczące zasobów związanych z kontenerem, niezależnie od tego, czy są dostępne w spisie zasobów, czy na stronie zaleceń:
Aby uzyskać szczegółowe informacje zawarte w tej funkcji, zapoznaj się z zaleceniami dotyczącymi kontenerów i poszukaj zaleceń o typie "Płaszczyzna sterowania"
Możliwości oparte na czujnikach
Wykrywanie dryfu binarnego — usługa Defender for Containers zapewnia funkcję opartą na czujnikach, która ostrzega o potencjalnych zagrożeniach bezpieczeństwa przez wykrywanie nieautoryzowanych procesów zewnętrznych w kontenerach. Zasady dryfu można zdefiniować w celu określenia warunków, w których powinny być generowane alerty, co ułatwia rozróżnienie między uzasadnionymi działaniami a potencjalnymi zagrożeniami. Aby uzyskać więcej informacji, zobacz Binarna ochrona dryfu (wersja zapoznawcza).
Wzmacnianie zabezpieczeń płaszczyzny danych platformy Kubernetes — aby chronić obciążenia kontenerów Kubernetes przy użyciu zaleceń dotyczących najlepszych rozwiązań, możesz zainstalować usługę Azure Policy dla platformy Kubernetes. Dowiedz się więcej o składnikach monitorowania Defender dla Chmury.
Dzięki dodaniu w klastrze Kubernetes każde żądanie do serwera interfejsu API Kubernetes jest monitorowane względem wstępnie zdefiniowanego zestawu najlepszych rozwiązań przed utrwalone w klastrze. Następnie można ją skonfigurować, aby wymusić najlepsze rozwiązania i zastosować je do przyszłych obciążeń.
Na przykład można na przykład nadawać uprawnienia do tworzenia uprzywilejowanych kontenerów, a wszelkie przyszłe żądania do tego są blokowane.
Więcej informacji na temat wzmacniania zabezpieczeń płaszczyzny danych platformy Kubernetes można dowiedzieć się więcej.
Ocena luk w zabezpieczeniach
Usługa Defender for Containers skanuje obrazy kontenerów w usłudze Azure Container Registry (ACR), Amazon AWS Elastic Container Registry (ECR), Google Artifact Registry (GAR) i Google Container Registry (GCR) w celu zapewnienia bez agenta oceny luk w zabezpieczeniach dla obrazów kontenerów, w tym rekomendacji rejestru i środowiska uruchomieniowego, wskazówek korygujących, szybkiego skanowania nowych obrazów, rzeczywistych szczegółowych informacji o wykorzystaniu luk w zabezpieczeniach i nie tylko.
Informacje o lukach w zabezpieczeniach obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender są dodawane do grafu zabezpieczeń chmury na potrzeby kontekstowego ryzyka, obliczania ścieżek ataków i możliwości wyszukiwania zagrożeń.
Dowiedz się więcej na następujące tematy:
- Oceny luk w zabezpieczeniach dla platformy Azure z Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender
- Oceny luk w zabezpieczeniach dla platformy AWS z Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender
- Oceny luk w zabezpieczeniach dla platformy GCP z Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender
Ochrona w czasie wykonywania dla węzłów i klastrów Kubernetes
Usługa Defender for Containers zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla obsługiwanych środowisk konteneryzowanych i generuje alerty dotyczące podejrzanych działań. Te informacje pozwalają na szybkie rozwiązywanie problemów dotyczących zabezpieczeń i poprawę bezpieczeństwa kontenerów.
Ochrona przed zagrożeniami jest zapewniana dla platformy Kubernetes na poziomie klastra, na poziomie węzła i na poziomie obciążenia oraz obejmuje zarówno pokrycie oparte na czujniku, jak i bez agenta usługi Defender , które jest oparte na analizie dzienników inspekcji platformy Kubernetes. Alerty zabezpieczeń są wyzwalane tylko dla akcji i wdrożeń występujących po włączeniu usługi Defender for Containers w ramach subskrypcji.
Przykłady zdarzeń zabezpieczeń monitorujących przez usługę Microsoft Defenders for Containers:
- Uwidocznione pulpity nawigacyjne platformy Kubernetes
- Tworzenie ról z wysokimi uprawnieniami
- Tworzenie poufnych instalacji
Alerty zabezpieczeń można wyświetlić, wybierając kafelek Alerty zabezpieczeń w górnej części strony przeglądu Defender dla Chmury lub link z paska bocznego.
Zostanie otwarta strona alertów zabezpieczeń:
Alerty zabezpieczeń dotyczące obciążenia środowiska uruchomieniowego w klastrach mogą być rozpoznawane przez K8S.NODE_ prefiks typu alertu. Aby uzyskać pełną listę alertów na poziomie klastra, zobacz tabelę referencyjną alertów.
Usługa Defender for Containers obejmuje również wykrywanie zagrożeń na poziomie hosta z ponad 60 analizami obsługującymi platformę Kubernetes, sztuczną inteligencją i wykrywaniem anomalii na podstawie obciążenia środowiska uruchomieniowego.
Defender dla Chmury monitoruje obszar ataków wdrożeń platformy Kubernetes w wielu chmurach w oparciu o Macierz MITRE ATT&CK® dla kontenerów, struktura opracowana przez Center for Threat-Informed Defense we ścisłej współpracy z firmą Microsoft.
Dowiedz się więcej
Dowiedz się więcej o usłudze Defender for Containers w następujących blogach:
- Wprowadzenie do usługi Microsoft Defender for Containers
- Demonstrowanie Microsoft Defender dla Chmury
Następne kroki
W tym omówieniu przedstawiono podstawowe elementy zabezpieczeń kontenerów w Microsoft Defender dla Chmury. Aby włączyć plan, zobacz:
- Włączanie usługi Defender for Containers
- Zapoznaj się z typowymi pytaniami dotyczącymi usługi Defender for Containers.