Entender o Microsoft Defender para contêineres
O Microsoft Defender para Contêineres é a solução nativa de nuvem para proteger contêineres.
Recursos do Defender para Contêineres
Proteção do ambiente – o Defender para contêineres protege seus clusters do Kubernetes, independentemente de estarem em execução no Serviço de Kubernetes do Azure, no Kubernetes local/na IaaS ou no Amazon EKS. Ao avaliar continuamente os clusters, o Defender para Contêineres fornece visibilidade sobre configurações e diretrizes incorretamente para ajudar a atenuar ameaças identificadas.
Avaliação de vulnerabilidades – Ferramentas de avaliação e gerenciamento de vulnerabilidades para imagens armazenadas nos registros do ACR e em execução no Serviço de Kubernetes do Azure.
Proteção contra ameaças em tempo real para nós e clusters - a proteção contra ameaças para clusters e nós do Linux gera alertas de segurança para atividades suspeitas.
Arquitetura
A arquitetura dos elementos necessários para a gama completa de proteções fornecidas pelo Defender para contêineres varia dependendo do local em que os clusters do Kubernetes estão hospedados.
O Defender para contêineres protege os clusters quando estão em execução em:
AKS (Serviço de Kubernetes do Azure) - serviço gerenciado da Microsoft para desenvolvimento, implantação e gerenciamento de aplicativos conteinerizados.
Amazon Elastic Kubernetes Service (EKS) em uma conta conectada do Amazon Web Services (AWS) – serviço gerenciado do Amazon para execução de Kubernetes na AWS sem precisar instalar, operar e manter um painel de controle ou nós de Kubernetes.
Uma distribuição não gerenciada de Kubernetes (usando Kubernetes habilitados para Azure Arc) – clusters de Kubernetes certificados pela CNCF (Cloud Native Computing Foundation) hospedados no local ou na IaaS.
O Defender para Nuvem avalia continuamente as configurações dos clusters e as compara com as iniciativas aplicadas às suas assinaturas. Quando encontra configurações incorretas, o Defender para Nuvem gera recomendações de segurança. Use a página recomendações do Defender para Nuvem para exibir recomendações e corrigir problemas.
Para clusters Kubernetes no EKS, você precisará conectar sua conta da AWS ao Microsoft Defender para Nuvem por meio da página de configurações de ambiente (conforme descrito em Conectar suas contas AWS ao Microsoft Defender para Nuvem). Em seguida, verifique se você habilitou o plano do CSPM.
Proteção de ambiente
Para receber um pacote de recomendações a fim de proteger as cargas de trabalho dos contêineres do Kubernetes, instale o Azure Policy para Kubernetes. Por padrão, o provisionamento automático é habilitado quando você habilita o Defender para Contêineres.
Com o complemento no cluster do AKS, todas as solicitações para o servidor de API do Kubernetes serão monitoradas em relação ao conjunto predefinido de melhores práticas antes de serem persistidas no cluster. Em seguida, você pode configurá-lo para impor as melhores práticas e exigir o uso dele em cargas de trabalho futuras.
Por exemplo, você poderá proibir a criação de contêineres privilegiados, e todas as futuras solicitações para fazer isso serão bloqueadas.
Exibir vulnerabilidades para imagens em execução
O Defender para contêineres expande os recursos de verificação do registro do plano do Defender para registros de contêiner, introduzindo a versão prévia do recurso da visibilidade de runtime da plataforma do perfil do Defender ou por meio de uma extensão.
A nova recomendação, "a execução de imagens de contêiner deve ter descobertas de vulnerabilidade resolvidas", mostra vulnerabilidades apenas para imagens em execução. A recomendação se baseia no perfil de segurança do Defender ou na extensão para descobrir quais imagens estão em execução no momento. Essa recomendação agrupa as imagens em execução que apresentam vulnerabilidades e fornece detalhes sobre os problemas descobertos e como corrigi-los. O perfil do Defender ou a extensão é usada para obter visibilidade dos contêineres vulneráveis ativos.
Essa recomendação mostra as imagens em execução e suas vulnerabilidades baseadas em imagens do ACR. As imagens implantadas de um registro não ACR não serão verificadas e aparecerão na guia Não aplicável.
Proteção em tempo de execução para nós e clusters do Kubernetes
O Defender para Nuvem fornece proteção contra ameaças em tempo real para seus ambientes em contêineres e gera alertas sobre atividades suspeitas. É possível usar essas informações para corrigir os problemas rapidamente e aumentar a segurança de seus contêineres.
A proteção contra ameaças no nível do cluster é fornecida pelo perfil do Defender e pela análise dos logs de auditoria do Kubernetes. Exemplos de eventos nesse nível incluem os painéis expostos do Kubernetes, a criação de funções com privilégios elevados e a criação de montagens confidenciais.
Além disso, nossa detecção de ameaças vai além da camada de gerenciamento do Kubernetes. O Defender para Contêineres inclui a detecção de ameaças no nível do host com mais de 60 análises com reconhecimento do Kubernetes, IA e detecções de anomalias com base na carga de trabalho de runtime. Nossa equipe global de pesquisadores de segurança monitora constantemente o panorama de ameaças. Eles adicionam alertas e vulnerabilidades específicos do contêiner à medida que são descobertos. Junto com isso, essa solução monitora a crescente superfície de ataque de implantações multinuvem do Kubernetes e rastreia a matriz MITRE ATT&CK® para contêineres. Uma estrutura que foi desenvolvida pelo Center for Threat-Informed Defense em estreita parceria com a Microsoft e outros parceiros.