Visão geral do Microsoft Defender para Contêineres

O Microsoft Defender para contêineres é a solução nativa de nuvem utilizada para proteger os contêineres e você poder melhorar, monitorar e manter a segurança dos clusters, dos contêineres e dos aplicativos.

O Defender para contêineres ajuda você com os três principais aspectos da segurança de contêineres:

  • Proteção do ambiente - o Microsoft Defender para contêineres protege seus clusters do Kubernetes, independentemente de eles estarem em execução no Serviço de Kubernetes do Azure, no Kubernetes local/IaaS ou no Amazon EKS. O Defender para contêineres avalia continuamente os clusters para fornecer visibilidade sobre as configurações incorretas e as diretrizes para ajudar a mitigar as ameaças identificadas.

  • Avaliação de vulnerabilidades – Ferramentas de avaliação e gerenciamento de vulnerabilidades para imagens armazenadas nos registros do ACR e em execução no Serviço de Kubernetes do Azure.

  • Proteção contra ameaças em tempo real para nós e clusters - a proteção contra ameaças para clusters e nós do Linux gera alertas de segurança para atividades suspeitas.

Você pode saber mais assistindo a este vídeo da série de vídeos Microsoft Defender para Nuvem no Campo: Microsoft Defender para contêineres.

Disponibilidade de plano do Microsoft Defender para contêineres

Aspecto Detalhes
Estado da versão: Disponibilidade Geral (GA)
Alguns recursos estão em versão prévia. Para ver uma lista completa, confira a seção Disponibilidade.
Disponibilidade de recursos Veja a seção Disponibilidade para obter mais informações sobre o estado e a disponibilidade da versão de recurso.
Preço: O Microsoft Defender para Contêineres é cobrado conforme mostrado na página de preço.
Funções e permissões necessárias: • Para provisionar automaticamente os componentes necessários, confira as permissões para cada um dos componentes
Administrador de segurança pode ignorar alertas
Leitor de segurança pode visualizar conclusões da avaliação de vulnerabilidades
Confira também Funções e permissões do Registro de Contêiner do Azure
Nuvens: Azure:
Nuvens comerciais
Nuvens nacionais (Azure Government, Azure China 21Vianet) (exceto versão prévia de recursos)

Não Azure:
Contas do AWS conectadas (versão prévia)
Projetos conectados do GCP (versão prévia)
Local/IaaS compatível por meio do Kubernetes habilitado para Arc (versão prévia).

Para obter mais informações a esse respeito, confira a seção de disponibilidade.

Proteção

Monitoramento contínuo dos clusters do Kubernetes - onde quer que estejam hospedados

O Defender para Nuvem avalia continuamente as configurações dos clusters e as compara com as iniciativas aplicadas às suas assinaturas. Quando encontrar as configurações incorretas, o Defender para Nuvem gerará as recomendações de segurança que estarão disponíveis na página Recomendações do Defender para Nuvem. As recomendações permitirão investigar e corrigir os problemas. Para obter detalhes sobre as recomendações que poderão aparecer para esse recurso, consulte a seção de computação da tabela de referência de recomendações.

Para clusters do Kubernetes no EKS, você precisará conectar a conta da AWS ao Microsoft Defender para Nuvem e garantir que habilitou o plano CSPM.

É possível usar o filtro de recursos para revisar as recomendações pendentes dos recursos relacionados ao contêiner, seja no inventário de ativos ou na página de recomendações:

Captura de tela que mostra onde o filtro de recursos está localizado.

Proteção do plano de dados do Kubernetes

Para proteger as cargas de trabalho dos contêineres do Kubernetes com recomendações personalizadas, você poderá instalar o Azure Policy para Kubernetes. Você também pode implantar automaticamente esse componente, conforme explicado em Habilitar o provisionamento automático de agentes e extensões.

Com o complemento no cluster do AKS, todas as solicitações para o servidor de API do Kubernetes serão monitoradas em relação ao conjunto predefinido de melhores práticas antes de serem persistidas no cluster. Em seguida, você poderá configurá-lo para impor as melhores práticas e exigir o uso em cargas de trabalho futuras.

Por exemplo, você poderá proibir a criação de contêineres privilegiados, e todas as futuras solicitações para fazer isso serão bloqueadas.

Saiba mais sobre a proteção do plano de dados do Kubernetes.

Avaliação de vulnerabilidade

Exame de imagens em registros ACR

O Defender para contêineres oferece verificação de vulnerabilidade para imagens em ACRs (Registros de Contêiner do Azure). Os gatilhos para verificação de uma imagem incluem:

  • Por push: quando uma imagem é enviada por push para um registro de armazenamento, o Defender para contêineres verifica automaticamente a imagem.

  • Recentemente puxado: verificações semanais de imagens que foram puxadas nos últimos 30 dias.

  • Na importação: quando você importa imagens para um ACR, o Defender para contêineres verifica as imagens com suporte.

Saiba mais em Avaliação de vulnerabilidade.

Exemplo de recomendação do Microsoft Defender para Nuvem sobre vulnerabilidades descobertas em uma imagem hospedada do ACR (Registro de Contêiner do Azure)

Exibir vulnerabilidades para imagens em execução

O Defender para Nuvem oferece aos seus clientes a capacidade de priorizar a correção de vulnerabilidades em imagens que estão sendo usadas atualmente em seu ambiente usando as Imagens de contêiner em execução deve ter a recomendação de conclusões de vulnerabilidade resolvida.

O Defender para Nuvem é capaz de fornecer a recomendação correlacionando o inventário dos contêineres em execução coletados pelo agente do Defender que está instalado em seus clusters do AKS, com a verificação de avaliação de vulnerabilidade de imagens armazenadas no ACR. Em seguida, a recomendação mostra os contêineres em execução com as vulnerabilidades associadas às imagens usadas por cada contêiner e fornece relatórios de vulnerabilidade e etapas de correção.

Observação

Contêineres do Windows: não há nenhum agente do Defender para contêineres do Windows, o agente do Defender é implantado em um nó Linux em execução no cluster, para recuperar o inventário de contêiner em execução para os nós do Windows.

As imagens que não são extraídas do ACR para implantação no AKS não serão verificadas e aparecerão na guia Não aplicável.

As imagens que foram excluídas do registro do ACR, mas ainda estão em execução, não serão relatadas apenas 30 dias após a última verificação no ACR.

Captura de tela que mostra onde a recomendação pode ser visualizada.

Proteção em tempo de execução para nós e clusters do Kubernetes

O Defender para contêineres fornece proteção contra ameaças em tempo real para seus ambientes em contêineres e gera alertas sobre atividades suspeitas. É possível usar essas informações para corrigir os problemas rapidamente e aumentar a segurança de seus contêineres. A proteção contra ameaças no nível do cluster é fornecida pelo agente do Defender e pela análise dos logs de auditoria do Kubernetes. Exemplos de eventos nesse nível incluem os painéis expostos do Kubernetes, a criação de funções com privilégios elevados e a criação de montagens confidenciais.

Além disso, nossa detecção de ameaças vai além da camada de gerenciamento do Kubernetes. O Defender para Contêineres inclui a detecção de ameaças no nível do host com mais de 60 análises com reconhecimento do Kubernetes, IA e detecções de anomalias com base na carga de trabalho de runtime.

Esta solução monitora a crescente superfície de ataque de implantações de Kubernetes em várias nuvens e rastreia a matriz MITRE ATT&CK® para contêineres, uma estrutura que foi desenvolvida pelo Center for Threat-Informed Defense em estreita parceria com a Microsoft e outros.

Perguntas frequentes - Defensor para Contêineres

Quais são as opções para habilitar o novo plano em escala?

Você poderá usar o Azure Policy Configure Microsoft Defender for Containers to be enabled, para habilitar o Defender para contêineres em escala. Você também poderá ver todas as opções disponíveis para habilitar o Microsoft Defender para contêineres.

O Microsoft Defender para contêineres dá suporte aos clusters do AKS com conjuntos de dimensionamento de máquinas virtuais?

Sim.

O Microsoft Defender para contêineres dá suporte ao AKS sem conjunto de dimensionamento (padrão)?

Não. Há suporte somente para os clusters do AKS (Serviço de Kubernetes do Azure) que usam conjuntos de dimensionamento de máquinas virtuais para os nós.

Preciso instalar a extensão de VM do Log Analytics em meus nós do AKS para proteção de segurança?

Não. O AKS é um serviço gerenciado e não há suporte para o processamento dos recursos de IaaS. A extensão de VM do Log Analytics não é necessária e poderá resultar em cobranças adicionais.

Saiba mais

Saiba mais sobre o Defender para contêineres nos seguintes blogs:

O estado de lançamento do Defender para contêineres é dividido por duas dimensões: ambiente e recurso. Então, por exemplo:

  • As recomendações do plano de dados do Kubernetes para clusters AKS estão em GA
  • As recomendações do plano de dados do Kubernetes para clusters EKS estão em versão prévia

Para exibir o status da matriz completa de recursos e ambientes, confira Disponibilidade de recursos do Microsoft Defender para Contêineres.

Próximas etapas

Nesta visão geral, você aprendeu sobre os principais elementos da segurança de contêineres no Microsoft Defender para Nuvem. Para habilitar o plano, consulte: