Visão geral: Proteção de contêineres no Defender para Nuvem
O Microsoft Defender para contêineres é uma solução nativa da nuvem para melhorar, monitorar e manter a segurança de seus ativos conteinerizados (clusters do Kubernetes, nós do Kubernetes, cargas de trabalho do Kubernetes, registros de contêineres, imagens de contêineres e muito mais) e seus aplicativos, em ambientes multinuvem e locais.
O Microsoft Defender para contêineres auxilia você nos quatro principais domínios da segurança de contêineres:
Gerenciamento da postura de segurança - realiza o monitoramento contínuo de APIs de nuvem, APIs do Kubernetes e cargas de trabalho do Kubernetes para descobrir recursos de nuvem, fornecer recursos abrangentes de inventário, detectar configurações incorretas e fornecer diretrizes para atenuá-las, fornecer avaliação contextual de riscos e capacitar os usuários a executar recursos aprimorados de busca de riscos por meio do explorador de segurança do Microsoft Defender para Nuvem.
Avaliação de vulnerabilidades - fornece uma avaliação de vulnerabilidades sem agente para o Azure, AWS e GCP com diretrizes de correção, configuração zero, novas verificações diárias, cobertura para pacote de idiomas e de SO e insights de explorabilidade.
Proteção contra ameaças em tempo de execução – um pacote avançado de detecção de ameaças para clusters, nós e cargas de trabalho do Kubernetes, fornecido pela inteligência contra ameaças líder da Microsoft, fornece mapeamento para a estrutura MITRE ATT&CK para facilitar o reconhecimento do risco e do contexto relevante, resposta automatizada e integração SIEM/XDR.
Implantação e monitoramento- monitora seus clusters Kubernetes em busca de sensores ausentes e fornece implantação em escala sem atrito para recursos baseados em sensores, suporte para ferramentas de monitoramento padrão do Kubernetes e gerenciamento de recursos não monitorados.
Você pode saber mais assistindo a este vídeo da série de vídeos Microsoft Defender para Nuvem no Campo: Microsoft Defender para contêineres.
Disponibilidade de plano do Microsoft Defender para contêineres
| Aspecto | Detalhes |
|---|---|
| Estado da versão: | Disponibilidade Geral (GA) Alguns recursos estão em versão prévia. Para obter uma lista completa, confira a Matriz de suporte de contêineres no Microsoft Defender para Nuvem |
| Disponibilidade de recursos | Consulte a Matriz de suporte de contêineres no Microsoft Defender para Nuvem para obter informações adicionais sobre o estado e a disponibilidade da versão do recurso. |
| Preço: | O Microsoft Defender para Contêineres é cobrado conforme mostrado na página de preço. |
| Funções e permissões necessárias: | • Para implantar os componentes necessários, confira as permissões para cada um dos componentes • Administrador de segurança pode ignorar alertas • Leitor de segurança pode visualizar conclusões da avaliação de vulnerabilidades Confira também Funções para correção e Funções e permissões do Registro de Contêiner do Azure |
| Nuvens: | Exiba a Matriz de suporte de contêineres no Defender para Nuvem para ver a disponibilidade da nuvem. |
Gerenciamento da postura de segurança
Funcionalidades sem agente
A descoberta sem agente para o Kubernetes: fornece descoberta baseada em API, sem volume de memória, de seus clusters do Kubernetes, suas configurações e implantações.
Avaliação de vulnerabilidade sem agente - oferece avaliação de vulnerabilidade para todas as imagens de contêiner, incluindo recomendações para registro e runtime, verificações rápidas de novas imagens, atualização diária de resultados, insights de exploração e muito mais. As informações de vulnerabilidade são adicionadas ao grafo de segurança para avaliação contextual de riscos e cálculo de caminhos de ataque, além de recursos de busca.
Funcionalidades abrangentes do inventário: permite que você explore recursos, pods, serviços, repositórios, imagens e configurações por meio do gerenciador de segurança para monitorar e gerenciar facilmente seus ativos.
A busca aprimorada de riscos: permite que os administradores de segurança busquem ativamente problemas de postura em seus ativos em contêineres por meio de consultas (personalizadas e internas) e insights de segurança no gerenciador de segurança
Proteção do plano de controle: avalia continuamente as configurações de seus clusters e as compara com as iniciativas aplicadas às suas assinaturas. Quando encontrar as configurações incorretas, o Defender para Nuvem gerará as recomendações de segurança que estarão disponíveis na página Recomendações do Defender para Nuvem. As recomendações permitem investigar e corrigir os problemas.
É possível usar o filtro de recursos para revisar as recomendações pendentes dos recursos relacionados ao contêiner, seja no inventário de ativos ou na página de recomendações:
Para obter os detalhes incluídos nessa funcionalidade, revise recomendações de contêineres e procure recomendações com o tipo "Plano de controle"
Capacidades baseadas em sensores
Detecção de descompasso de binário – o Defender para Contêineres fornece uma funcionalidade baseada em sensor que alerta você sobre possíveis ameaças à segurança detectando processos externos não autorizados nos contêineres. Você pode definir políticas de descompasso para especificar as condições sob as quais os alertas devem ser gerados, ajudando a distinguir entre atividades legítimas e possíveis ameaças. Para obter mais informações, confira Proteção contra descompasso de binário (versão prévia).
Proteção do plano de dados do Kubernetes: para proteger as cargas de trabalho dos seus contêineres do Kubernetes com recomendações de melhores práticas, você pode instalar a Azure Policy para Kubernetes. Saiba mais sobre como monitorar componentes do Defender para Nuvem.
Com o complemento no seu cluster do Kubernetes, cada solicitação ao servidor da API do Kubernetes é monitorada em relação ao conjunto predefinido de melhores práticas antes de serem persistidas no cluster. Em seguida, você poderá configurá-lo para impor as melhores práticas e exigir o uso em cargas de trabalho futuras.
Por exemplo, você pode determinar que os contêineres com privilégios não sejam criados e que todas as solicitações futuras sejam bloqueadas.
Saiba mais sobre a proteção do plano de dados do Kubernetes.
Avaliação de vulnerabilidade
O Defender para contêineres verifica as imagens de contêiner no Registro de Contêiner do Azure (ACR), Amazon AWS Elastic Container Registry (ECR), Google Artifact Registry (GAR) e Google Container Registry (GCR) para fornecer avaliação de vulnerabilidade sem agente para suas imagens de contêiner, incluindo registro e recomendações de runtime, orientações de correção, verificações rápidas de novas imagens, insights de exploração do mundo real, insights de explorabilidade e muito mais.
As informações de vulnerabilidade geradas pelo Gerenciamento de Vulnerabilidades do Microsoft Defender são adicionadas ao grafo de segurança da nuvem para riscos contextuais, cálculo de caminhos de ataque e funcionalidades de busca.
Saiba mais sobre:
- Avaliação de vulnerabilidades para Azure através da plataforma Gerenciamento de Vulnerabilidades do Microsoft Defender
- Avaliações de vulnerabilidade para a AWS com o Gerenciamento de Vulnerabilidades do Microsoft Defender
- Avaliações de vulnerabilidade para GCP com o Gerenciamento de Vulnerabilidades do Microsoft Defender
Proteção em tempo de execução para nós e clusters do Kubernetes
O Defender para contêineres fornece proteção contra ameaças em tempo real para ambientes em contêineres com suporte e gera alertas sobre atividades suspeitas. É possível usar essas informações para corrigir os problemas rapidamente e aumentar a segurança de seus contêineres.
A proteção contra ameaças é fornecida para Kubernetes em nível de cluster, nível de nó e nível de carga de trabalho e inclui cobertura baseada em sensor que requer o sensor Defender e cobertura sem agente que é baseada na análise dos logs de auditoria do Kubernetes. Os alertas de segurança são disparados apenas para ações e implantações que ocorreram após você ter habilitado o Microsoft Defender para contêineres na sua assinatura.
Exemplos de eventos de segurança que o Microsoft Defender para Contêineres monitora incluem:
- Dashboards do Kubernetes expostos
- Criação de funções com altos privilégios
- Criação de montagens confidenciais
Você pode ver alertas de segurança selecionando o bloco de alertas intitulado Segurança na parte superior da página de visão geral do Defender para Nuvem ou o link na barra lateral.
A página de alertas de segurança é aberta:
Alertas de segurança para carga de trabalho de runtime nos clusters podem ser reconhecidos pelo prefixo K8S.NODE_ do tipo de alerta. Para obter uma lista completa dos alertas no nível do cluster, confira a tabela de referência de alertas.
O Defender para Contêineres também inclui a detecção de ameaças no nível do host com mais de 60 análises com reconhecimento do Kubernetes, IA e detecções de anomalias com base na carga de trabalho de runtime.
O Defender para Nuvem monitora a superfície de ataque de implantações do Kubernetes multinuvem com base na matriz MITRE ATT&CK® para contêineres, uma estrutura desenvolvida pelo Centro de Defesa Informada sobre Ameaças em estreita parceria com a Microsoft.
Saiba mais
Saiba mais sobre o Defender para contêineres nos seguintes blogs:
Próximas etapas
Nesta visão geral, você aprendeu sobre os principais elementos da segurança de contêineres no Microsoft Defender para Nuvem. Para habilitar o plano, consulte:
- Habilitar o Defender para Contêineres
- Confira as perguntas comuns sobre o Defender para contêineres.