Compartilhar via


Visão geral: Proteção de contêineres no Defender para Nuvem

O Microsoft Defender para contêineres é uma solução nativa da nuvem para melhorar, monitorar e manter a segurança de seus ativos conteinerizados (clusters do Kubernetes, nós do Kubernetes, cargas de trabalho do Kubernetes, registros de contêineres, imagens de contêineres e muito mais) e seus aplicativos, em ambientes multinuvem e locais.

O Microsoft Defender para contêineres auxilia você nos quatro principais domínios da segurança de contêineres:

  • Gerenciamento da postura de segurança - realiza o monitoramento contínuo de APIs de nuvem, APIs do Kubernetes e cargas de trabalho do Kubernetes para descobrir recursos de nuvem, fornecer recursos abrangentes de inventário, detectar configurações incorretas e fornecer diretrizes para atenuá-las, fornecer avaliação contextual de riscos e capacitar os usuários a executar recursos aprimorados de busca de riscos por meio do explorador de segurança do Microsoft Defender para Nuvem.

  • Avaliação de vulnerabilidades - fornece uma avaliação de vulnerabilidades sem agente para o Azure, AWS e GCP com diretrizes de correção, configuração zero, novas verificações diárias, cobertura para pacote de idiomas e de SO e insights de explorabilidade.

  • Proteção contra ameaças em tempo de execução – um pacote avançado de detecção de ameaças para clusters, nós e cargas de trabalho do Kubernetes, fornecido pela inteligência contra ameaças líder da Microsoft, fornece mapeamento para a estrutura MITRE ATT&CK para facilitar o reconhecimento do risco e do contexto relevante, resposta automatizada e integração SIEM/XDR.

  • Implantação e monitoramento- monitora seus clusters Kubernetes em busca de sensores ausentes e fornece implantação em escala sem atrito para recursos baseados em sensores, suporte para ferramentas de monitoramento padrão do Kubernetes e gerenciamento de recursos não monitorados.

Você pode saber mais assistindo a este vídeo da série de vídeos Microsoft Defender para Nuvem no Campo: Microsoft Defender para contêineres.

Disponibilidade de plano do Microsoft Defender para contêineres

Aspecto Detalhes
Estado da versão: Disponibilidade Geral (GA)
Alguns recursos estão em versão prévia. Para obter uma lista completa, confira a Matriz de suporte de contêineres no Microsoft Defender para Nuvem
Disponibilidade de recursos Consulte a Matriz de suporte de contêineres no Microsoft Defender para Nuvem para obter informações adicionais sobre o estado e a disponibilidade da versão do recurso.
Preço: O Microsoft Defender para Contêineres é cobrado conforme mostrado na página de preço.
Funções e permissões necessárias: • Para implantar os componentes necessários, confira as permissões para cada um dos componentes
Administrador de segurança pode ignorar alertas
Leitor de segurança pode visualizar conclusões da avaliação de vulnerabilidades
Confira também Funções para correção e Funções e permissões do Registro de Contêiner do Azure
Nuvens: Exiba a Matriz de suporte de contêineres no Defender para Nuvem para ver a disponibilidade da nuvem.

Gerenciamento da postura de segurança

Funcionalidades sem agente

  • A descoberta sem agente para o Kubernetes: fornece descoberta baseada em API, sem volume de memória, de seus clusters do Kubernetes, suas configurações e implantações.

  • Avaliação de vulnerabilidade sem agente - oferece avaliação de vulnerabilidade para todas as imagens de contêiner, incluindo recomendações para registro e runtime, verificações rápidas de novas imagens, atualização diária de resultados, insights de exploração e muito mais. As informações de vulnerabilidade são adicionadas ao grafo de segurança para avaliação contextual de riscos e cálculo de caminhos de ataque, além de recursos de busca.

  • Funcionalidades abrangentes do inventário: permite que você explore recursos, pods, serviços, repositórios, imagens e configurações por meio do gerenciador de segurança para monitorar e gerenciar facilmente seus ativos.

  • A busca aprimorada de riscos: permite que os administradores de segurança busquem ativamente problemas de postura em seus ativos em contêineres por meio de consultas (personalizadas e internas) e insights de segurança no gerenciador de segurança

  • Proteção do plano de controle: avalia continuamente as configurações de seus clusters e as compara com as iniciativas aplicadas às suas assinaturas. Quando encontrar as configurações incorretas, o Defender para Nuvem gerará as recomendações de segurança que estarão disponíveis na página Recomendações do Defender para Nuvem. As recomendações permitem investigar e corrigir os problemas.

    É possível usar o filtro de recursos para revisar as recomendações pendentes dos recursos relacionados ao contêiner, seja no inventário de ativos ou na página de recomendações:

    Captura de tela que mostra onde o filtro de recursos está localizado.

    Para obter os detalhes incluídos nessa funcionalidade, revise recomendações de contêineres e procure recomendações com o tipo "Plano de controle"

Capacidades baseadas em sensores

Detecção de descompasso de binário – o Defender para Contêineres fornece uma funcionalidade baseada em sensor que alerta você sobre possíveis ameaças à segurança detectando processos externos não autorizados nos contêineres. Você pode definir políticas de descompasso para especificar as condições sob as quais os alertas devem ser gerados, ajudando a distinguir entre atividades legítimas e possíveis ameaças. Para obter mais informações, confira Proteção contra descompasso de binário (versão prévia).

Proteção do plano de dados do Kubernetes: para proteger as cargas de trabalho dos seus contêineres do Kubernetes com recomendações de melhores práticas, você pode instalar a Azure Policy para Kubernetes. Saiba mais sobre como monitorar componentes do Defender para Nuvem.

Com o complemento no seu cluster do Kubernetes, cada solicitação ao servidor da API do Kubernetes é monitorada em relação ao conjunto predefinido de melhores práticas antes de serem persistidas no cluster. Em seguida, você poderá configurá-lo para impor as melhores práticas e exigir o uso em cargas de trabalho futuras.

Por exemplo, você pode determinar que os contêineres com privilégios não sejam criados e que todas as solicitações futuras sejam bloqueadas.

Saiba mais sobre a proteção do plano de dados do Kubernetes.

Avaliação de vulnerabilidade

O Defender para contêineres verifica as imagens de contêiner no Registro de Contêiner do Azure (ACR), Amazon AWS Elastic Container Registry (ECR), Google Artifact Registry (GAR) e Google Container Registry (GCR) para fornecer avaliação de vulnerabilidade sem agente para suas imagens de contêiner, incluindo registro e recomendações de runtime, orientações de correção, verificações rápidas de novas imagens, insights de exploração do mundo real, insights de explorabilidade e muito mais.

As informações de vulnerabilidade geradas pelo Gerenciamento de Vulnerabilidades do Microsoft Defender são adicionadas ao grafo de segurança da nuvem para riscos contextuais, cálculo de caminhos de ataque e funcionalidades de busca.

Saiba mais sobre:

Proteção em tempo de execução para nós e clusters do Kubernetes

O Defender para contêineres fornece proteção contra ameaças em tempo real para ambientes em contêineres com suporte e gera alertas sobre atividades suspeitas. É possível usar essas informações para corrigir os problemas rapidamente e aumentar a segurança de seus contêineres.

A proteção contra ameaças é fornecida para Kubernetes em nível de cluster, nível de nó e nível de carga de trabalho e inclui cobertura baseada em sensor que requer o sensor Defender e cobertura sem agente que é baseada na análise dos logs de auditoria do Kubernetes. Os alertas de segurança são disparados apenas para ações e implantações que ocorreram após você ter habilitado o Microsoft Defender para contêineres na sua assinatura.

Exemplos de eventos de segurança que o Microsoft Defender para Contêineres monitora incluem:

  • Dashboards do Kubernetes expostos
  • Criação de funções com altos privilégios
  • Criação de montagens confidenciais

Você pode ver alertas de segurança selecionando o bloco de alertas intitulado Segurança na parte superior da página de visão geral do Defender para Nuvem ou o link na barra lateral.

Captura de tela mostrando como chegar à página de alertas de segurança partindo da página de visão geral do Microsoft Defender para Nuvem.

A página de alertas de segurança é aberta:

Captura de tela mostrando onde você pode ver a lista de alertas.

Alertas de segurança para carga de trabalho de runtime nos clusters podem ser reconhecidos pelo prefixo K8S.NODE_ do tipo de alerta. Para obter uma lista completa dos alertas no nível do cluster, confira a tabela de referência de alertas.

O Defender para Contêineres também inclui a detecção de ameaças no nível do host com mais de 60 análises com reconhecimento do Kubernetes, IA e detecções de anomalias com base na carga de trabalho de runtime.

O Defender para Nuvem monitora a superfície de ataque de implantações do Kubernetes multinuvem com base na matriz MITRE ATT&CK® para contêineres, uma estrutura desenvolvida pelo Centro de Defesa Informada sobre Ameaças em estreita parceria com a Microsoft.

Saiba mais

Saiba mais sobre o Defender para contêineres nos seguintes blogs:

Próximas etapas

Nesta visão geral, você aprendeu sobre os principais elementos da segurança de contêineres no Microsoft Defender para Nuvem. Para habilitar o plano, consulte: