Compartilhar via


Proteção de contêiner no Defender para Nuvem

O Microsoft Defender para Contêineres é uma solução nativa de nuvem para aprimorar, monitorar e manter a segurança de seus ativos em contêineres (clusters do Kubernetes, nós, cargas de trabalho, registros, imagens e muito mais) e seus aplicativos em ambientes locais e multinuvem.

O Microsoft Defender para contêineres auxilia você nos quatro principais domínios da segurança de contêineres:

  • O Gerenciamento de postura de segurança executa monitoramento contínuo de APIs de nuvem, APIs do Kubernetes e cargas de trabalho do Kubernetes para descobrir recursos de nuvem, fornecer recursos de inventário abrangentes, detectar configurações incorretas com diretrizes de mitigação, fornecer avaliação de risco contextual e permitir que os usuários realizem recursos avançados de busca a riscos por meio do explorador de segurança do Defender para Nuvem.

  • Avaliação de vulnerabilidade – executa a avaliação de vulnerabilidade sem agente de imagens de registro de contêiner, contêineres em execução e nós K8s com suporte com diretrizes de correção, configuração zero, revisões diárias, cobertura para pacotes de SO e idioma e insights de explorabilidade. O artefato de descobertas de vulnerabilidades é assinado com um certificado da Microsoft para integridade e autenticidade e está associado à imagem de contêiner no registro para fins de validação.

  • Proteção contra ameaças em tempo de execução - um avançado pacote de detecção de ameaças para clusters, nós e cargas de trabalho do Kubernetes, com a inteligência contra ameaças líder da Microsoft, fornece mapeamento para a estrutura MITRE ATT&CK para fácil compreensão do risco e contexto relevante e resposta automatizada. Os operadores de segurança também podem investigar e responder a ameaças aos serviços do Kubernetes por meio do portal do Microsoft Defender XDR.

  • Implantação & monitoramento – Monitora os clusters do Kubernetes para sensores ausentes e fornece implantação em grande escala sem esforço para capacidades baseadas em sensor, suporte para ferramentas de monitoramento padrão do Kubernetes e gerenciamento de recursos não monitorados.

Você pode saber mais assistindo a este vídeo da série de vídeos Microsoft Defender para Nuvem no Campo: Microsoft Defender para contêineres.

Disponibilidade de plano do Microsoft Defender para contêineres

Aspecto Detalhes
Estado da versão: Disponibilidade Geral (GA)
Alguns recursos estão em versão prévia. Para obter uma lista completa, consulte a matriz de suporte de contêineres no Defender para Nuvem
Disponibilidade de recursos Consulte a matriz de suporte de contêineres no Defender para Nuvem para obter informações adicionais sobre o estado de lançamento e a disponibilidade de recursos
Preço: O Microsoft Defender para Contêineres é cobrado conforme mostrado na página de preços. Você também pode estimar os custos com a calculadora de custos do Defender para Nuvem.
Funções e permissões necessárias: * Para implantar os componentes necessários, consulte as permissões para cada um dos componentes
* Administrador de segurança pode ignorar alertas
* Leitor de segurança pode visualizar conclusões da avaliação de vulnerabilidades
Confira também Funções para correção e Funções e permissões do Registro de Contêiner do Azure
Nuvens: Exiba a matriz de suporte de contêineres no Defender para Nuvem para ver a disponibilidade da nuvem.

Gerenciamento da postura de segurança

Funcionalidades sem agente

  • Descoberta sem agente para o Kubernetes: fornece descoberta baseada em API, sem volume de memória, dos clusters, configurações e implantações do Kubernetes.

  • Avaliação de vulnerabilidade sem agente: fornece avaliação de vulnerabilidades para nós do cluster e para todas as imagens de contêiner, incluindo recomendações para registro e runtime, verificações rápidas de novas imagens, atualização diária dos resultados, informações de explorabilidade e muito mais. As informações de vulnerabilidade são adicionadas ao grafo de segurança para avaliação contextual de riscos e cálculo de caminhos de ataque, além de recursos de busca.

  • Capacidades abrangentes de inventário: permite explorar recursos, pods, serviços, repositórios, imagens e configurações por meio do gerenciador de segurança para monitorar e gerenciar facilmente seus ativos.

  • A busca aprimorada de riscos: permite que os administradores de segurança busquem ativamente problemas de postura em seus ativos em contêineres por meio de consultas (personalizadas e internas) e insights de segurança no gerenciador de segurança

  • Proteção do plano de controle: avalia continuamente as configurações de seus clusters e as compara com as iniciativas aplicadas às suas assinaturas. Quando encontrar as configurações incorretas, o Defender para Nuvem gerará as recomendações de segurança que estarão disponíveis na página Recomendações do Defender para Nuvem. As recomendações permitem investigar e corrigir os problemas.

    É possível usar o filtro de recursos para revisar as recomendações pendentes dos recursos relacionados ao contêiner, seja no inventário de ativos ou na página de recomendações:

    Para obter os detalhes incluídos nessa funcionalidade, revise recomendações de contêineres e procure recomendações com o tipo "Plano de controle"

Capacidades baseadas em sensores

Detecção de descompasso de binário – o Defender para Contêineres fornece uma funcionalidade baseada em sensor que alerta você sobre possíveis ameaças à segurança detectando processos externos não autorizados nos contêineres. Você pode definir políticas de descompasso para especificar as condições sob as quais os alertas devem ser gerados, ajudando a distinguir entre atividades legítimas e possíveis ameaças. Para obter mais informações, confira Proteção contra descompasso de binário (versão prévia).

Proteção do plano de dados do Kubernetes: para proteger as cargas de trabalho dos seus contêineres do Kubernetes com recomendações de melhores práticas, você pode instalar a Azure Policy para Kubernetes. Saiba mais sobre como monitorar componentes do Defender para Nuvem.

Com as políticas definidas para o cluster do Kubernetes, todas as solicitações ao servidor de API do Kubernetes são monitoradas em relação ao conjunto predefinido de práticas recomendadas antes de serem persistidas no cluster. Em seguida, você poderá configurá-lo para impor as melhores práticas e exigir o uso em cargas de trabalho futuras.

Por exemplo, você pode determinar que os contêineres com privilégios não sejam criados e que todas as solicitações futuras sejam bloqueadas.

Saiba mais sobre a proteção do plano de dados do Kubernetes.

Avaliação de vulnerabilidade

O Microsoft Defender para Contêineres verifica o sistema operacional e o software de aplicativo do nó do cluster, as imagens de contêiner no Registro de Contêiner do Azure (ACR), no Registro de Contêineres Elásticos da Amazon AWS (ECR), no Registro de Artefatos do Google (GAR), no Registro de Contêiner do Google (GCR) e em registros de imagens externas com suporte para fornecer avaliação de vulnerabilidade sem agente.

Agora, para visualização pública no ambiente do AKS, o Defender para Contêineres também executa uma verificação diária de todos os contêineres em execução para fornecer uma avaliação de vulnerabilidade atualizada, independente do registro de imagem do contêiner.

As informações de vulnerabilidade geradas pelo Gerenciamento de Vulnerabilidades do Microsoft Defender são adicionadas ao grafo de segurança da nuvem para riscos contextuais, cálculo de caminhos de ataque e funcionalidades de busca.

Saiba mais sobre avaliações de vulnerabilidade para ambientes compatíveis com o Defender para Contêineres, incluindo a avaliação de vulnerabilidade para nós de cluster.

Proteção em tempo de execução para nós e clusters do Kubernetes

O Defender para contêineres fornece proteção contra ameaças em tempo real para ambientes em contêineres com suporte e gera alertas sobre atividades suspeitas. É possível usar essas informações para corrigir os problemas rapidamente e aumentar a segurança de seus contêineres.

A proteção contra ameaças é fornecida para Kubernetes nos níveis de cluster, nó e carga de trabalho. A cobertura baseada em sensor que requer o sensor do Defender e a cobertura sem agente com base na análise dos logs de auditoria do Kubernetes são usadas para detectar ameaças. Os alertas de segurança são disparados apenas para ações e implantações que ocorrem depois que você habilita o Defender para Contêineres em sua assinatura.

Exemplos de eventos de segurança que o Microsoft Defender para Contêineres monitora incluem:

  • Dashboards do Kubernetes expostos
  • Criação de funções com altos privilégios
  • Criação de montagens confidenciais

Para obter mais informações sobre alertas detectados pelo Defender para Contêineres, incluindo uma ferramenta de simulação de alerta, consulte alertas para clusters do Kubernetes.

O Microsoft Defender para Contêineres inclui detecção de ameaças com mais de 60 análises, IA e detecções de anomalias compatíveis com Kubernetes com base na carga de trabalho em runtime.

O Defender para Nuvem monitora a superfície de ataque de implantações do Kubernetes multinuvem com base na matriz MITRE ATT&CK® para contêineres, uma estrutura desenvolvida pelo Centro de Defesa Informada sobre Ameaças em estreita parceria com a Microsoft.

O Microsoft Defender para Nuvem é integrado ao Microsoft Defender XDR. Quando o Microsoft Defender para Contêineres está habilitado, os operadores de segurança podem usar o Defender XDR para investigar e responder a problemas de segurança em serviços do Kubernetes com suporte.

Saiba mais

Saiba mais sobre o Defender para contêineres nos seguintes blogs:

Próximas etapas

Nesta visão geral, você aprendeu sobre os principais elementos da segurança de contêineres no Microsoft Defender para Nuvem. Para habilitar o plano, consulte: