Omówienie zabezpieczeń kontenerów w usłudze Microsoft Defender for Containers

Usługa Microsoft Defender for Containers to natywne dla chmury rozwiązanie do ulepszania, monitorowania i obsługi zabezpieczeń konteneryzowanych zasobów (klastrów Kubernetes, węzłów Kubernetes, obciążeń Kubernetes, rejestrów kontenerów, obrazów kontenerów i nie tylko) oraz ich aplikacji w środowiskach wielochmurowych i lokalnych.

Usługa Defender for Containers ułatwia obsługę czterech podstawowych domen zabezpieczeń kontenerów:

  • Zarządzanie stanem zabezpieczeń — wykonuje ciągłe monitorowanie interfejsów API w chmurze, interfejsów API platformy Kubernetes i obciążeń Kubernetes w celu odnajdywania zasobów w chmurze, zapewnia kompleksowe możliwości spisu, wykrywa błędy konfiguracji i udostępnia wskazówki, aby je ograniczyć, zapewnić kontekstową ocenę ryzyka i umożliwić użytkownikom wykonywanie rozszerzonych funkcji wyszukiwania zagrożeń za pośrednictwem eksploratora zabezpieczeń Defender dla Chmury.

  • Ocena luk w zabezpieczeniach — zapewnia ocenę luk w zabezpieczeniach bez agenta dla platformy Azure, AWS i GCP z wytycznymi korygowania, konfiguracją zerową, codziennym skanowaniem, pokryciem pakietów systemu operacyjnego i języka oraz szczegółowymi informacjami o możliwościach wykorzystania.

  • Ochrona przed zagrożeniami w czasie wykonywania — rozbudowany pakiet wykrywania zagrożeń dla klastrów Kubernetes, węzłów i obciążeń obsługiwanych przez wiodącą analizę zagrożeń firmy Microsoft, zapewnia mapowanie struktury MITRE ATT&CK na łatwe zrozumienie ryzyka i odpowiedniego kontekstu, zautomatyzowanej reakcji i integracji rozwiązania SIEM/XDR.

  • Wdrażanie i monitorowanie — monitoruje klastry Kubernetes pod kątem brakujących agentów i zapewnia bezproblemowe wdrażanie na dużą skalę dla możliwości opartych na agentach, obsługę standardowych narzędzi do monitorowania kubernetes i zarządzanie niemonitorowanych zasobów.

Więcej informacji można dowiedzieć się, oglądając ten film wideo z Defender dla Chmury w serii wideo Field: Microsoft Defender for Containers.

Dostępność planu Microsoft Defender dla Kontenerów

Aspekt Szczegóły
Stan wydania: Ogólna dostępność
Niektóre funkcje są dostępne w wersji zapoznawczej. Aby uzyskać pełną listę, zobacz macierz obsługi kontenerów w Defender dla Chmury
Dostępność funkcji Zapoznaj się z macierzą obsługi kontenerów w Defender dla Chmury, aby uzyskać dodatkowe informacje na temat stanu i dostępności wersji funkcji.
Cennik: Opłaty za usługę Microsoft Defender for Containers są naliczane, jak pokazano na stronie cennika
Wymagane role i uprawnienia: • Aby wdrożyć wymagane składniki, zobacz uprawnienia dla każdego ze składników
Administrator zabezpieczeń może odrzucać alerty
Czytelnik zabezpieczeń może wyświetlać wyniki oceny luk w zabezpieczeniach
Zobacz również Role korygowania i ról i uprawnień usługi Azure Container Registry
Chmury: Wyświetl macierz obsługi kontenerów w Defender dla Chmury, aby zobaczyć dostępność chmury.

Zarządzanie stanem zabezpieczeń

Możliwości bez agenta

  • Odnajdywanie bez agenta dla platformy Kubernetes — zapewnia zerowe ślady, oparte na interfejsie API odnajdywanie klastrów Kubernetes , ich konfiguracji i wdrożeń.

  • Ocena luk w zabezpieczeniach bez agenta — zapewnia ocenę luk w zabezpieczeniach dla wszystkich obrazów kontenerów, w tym rekomendacje dotyczące rejestru i środowiska uruchomieniowego, szybkie skanowanie nowych obrazów, codzienne odświeżanie wyników, szczegółowe informacje o możliwości wykorzystania i nie tylko. Informacje o lukach w zabezpieczeniach są dodawane do grafu zabezpieczeń na potrzeby kontekstowej oceny ryzyka i obliczania ścieżek ataków oraz możliwości wyszukiwania zagrożeń.

  • Kompleksowe możliwości spisu — umożliwia eksplorowanie zasobów, zasobników, usług, repozytoriów, obrazów i konfiguracji za pośrednictwem Eksploratora zabezpieczeń w celu łatwego monitorowania zasobów i zarządzania nimi.

  • Ulepszone wyszukiwanie zagrożeń — umożliwia administratorom zabezpieczeń aktywne wyszukiwanie problemów ze stanem w swoich konteneryzowanych zasobach za pomocą zapytań (wbudowanych i niestandardowych) oraz szczegółowych informacji o zabezpieczeniach w eksploratorze zabezpieczeń

  • Wzmacnianie zabezpieczeń płaszczyzny sterowania — stale ocenia konfiguracje klastrów i porównuje je z inicjatywami zastosowanymi do subskrypcji. W przypadku znalezienia błędów konfiguracji Defender dla Chmury generuje zalecenia dotyczące zabezpieczeń, które są dostępne na stronie Rekomendacje Defender dla Chmury. Zalecenia umożliwiają badanie i korygowanie problemów.

    Możesz użyć filtru zasobów, aby przejrzeć zaległe zalecenia dotyczące zasobów związanych z kontenerem, niezależnie od tego, czy są dostępne w spisie zasobów, czy na stronie zaleceń:

    Screenshot showing you where the resource filter is located.

    Aby uzyskać szczegółowe informacje zawarte w tej funkcji, zapoznaj się z sekcją kontenerów w tabeli referencyjnej zaleceń i poszukaj zaleceń o typie "Płaszczyzna sterowania"

Możliwości oparte na agencie

Wzmacnianie zabezpieczeń płaszczyzny danych platformy Kubernetes — aby chronić obciążenia kontenerów Kubernetes przy użyciu zaleceń dotyczących najlepszych rozwiązań, możesz zainstalować usługę Azure Policy dla platformy Kubernetes. Dowiedz się więcej o składnikach monitorowania Defender dla Chmury.

Dzięki dodaniu w klastrze Kubernetes każde żądanie do serwera interfejsu API Kubernetes jest monitorowane względem wstępnie zdefiniowanego zestawu najlepszych rozwiązań przed utrwalone w klastrze. Następnie można ją skonfigurować, aby wymusić najlepsze rozwiązania i zastosować je do przyszłych obciążeń.

Na przykład można na przykład nadawać uprawnienia do tworzenia uprzywilejowanych kontenerów, a wszelkie przyszłe żądania do tego są blokowane.

Więcej informacji na temat wzmacniania zabezpieczeń płaszczyzny danych platformy Kubernetes można dowiedzieć się więcej.

Ocena luk w zabezpieczeniach

Usługa Defender for Containers skanuje obrazy kontenerów w usłudze Azure Container Registry (ACR), Amazon AWS Elastic Container Registry (ECR), Google Artifact Registry (GAR) i Google Container Registry (GCR) w celu zapewnienia bez agenta oceny luk w zabezpieczeniach dla obrazów kontenerów, w tym rekomendacji rejestru i środowiska uruchomieniowego, wskazówek korygujących, szybkiego skanowania nowych obrazów, rzeczywistych szczegółowych informacji o wykorzystaniu luk w zabezpieczeniach i nie tylko.

Informacje o lukach w zabezpieczeniach obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender są dodawane do grafu zabezpieczeń chmury na potrzeby kontekstowego ryzyka, obliczania ścieżek ataków i możliwości wyszukiwania zagrożeń.

Uwaga

Oferta Qualys jest dostępna tylko dla klientów, którzy dołączyli do usługi Defender for Containers przed 15 listopada 2023 r.

Istnieją dwa rozwiązania do oceny luk w zabezpieczeniach na platformie Azure, jedno obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender i jedno obsługiwane przez firmę Qualys.

Dowiedz się więcej na następujące tematy:

Ochrona w czasie wykonywania dla węzłów i klastrów Kubernetes

Usługa Defender for Containers zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla obsługiwanych środowisk konteneryzowanych i generuje alerty dotyczące podejrzanych działań. Te informacje pozwalają na szybkie rozwiązywanie problemów dotyczących zabezpieczeń i poprawę bezpieczeństwa kontenerów.

Ochrona przed zagrożeniami jest zapewniana dla platformy Kubernetes na poziomie klastra, na poziomie węzła i na poziomie obciążenia oraz obejmuje zarówno pokrycie oparte na agencie usługi Defender, jak i pokrycie bez agenta oparte na analizie dzienników inspekcji platformy Kubernetes. Alerty zabezpieczeń są wyzwalane tylko dla akcji i wdrożeń występujących po włączeniu usługi Defender for Containers w ramach subskrypcji.

Przykłady zdarzeń zabezpieczeń monitorujących przez usługę Microsoft Defenders for Containers:

  • Uwidocznione pulpity nawigacyjne platformy Kubernetes
  • Tworzenie ról z wysokimi uprawnieniami
  • Tworzenie poufnych instalacji

Alerty zabezpieczeń można wyświetlić, wybierając kafelek Alerty zabezpieczeń w górnej części strony przeglądu Defender dla Chmury lub link z paska bocznego.

Screenshot showing how to get to the security alerts page from Microsoft Defender for Cloud's overview page.

Zostanie otwarta strona alertów zabezpieczeń:

Screenshot showing you where to view the list of alerts.

Alerty zabezpieczeń dotyczące obciążenia środowiska uruchomieniowego w klastrach mogą być rozpoznawane przez K8S.NODE_ prefiks typu alertu. Aby uzyskać pełną listę alertów na poziomie klastra, zobacz tabelę referencyjną alertów.

Usługa Defender for Containers obejmuje również wykrywanie zagrożeń na poziomie hosta z ponad 60 analizami obsługującymi platformę Kubernetes, sztuczną inteligencją i wykrywaniem anomalii na podstawie obciążenia środowiska uruchomieniowego.

Defender dla Chmury monitoruje obszar ataków wdrożeń platformy Kubernetes w wielu chmurach w oparciu o Macierz MITRE ATT&CK® dla kontenerów, struktura opracowana przez Center for Threat-Informed Defense we ścisłej współpracy z firmą Microsoft.

Dowiedz się więcej

Dowiedz się więcej o usłudze Defender for Containers w następujących blogach:

Następne kroki

W tym omówieniu przedstawiono podstawowe elementy zabezpieczeń kontenerów w Microsoft Defender dla Chmury. Aby włączyć plan, zobacz: