Visão geral do Microsoft Defender para contentores

O Microsoft Defender for Containers é a solução nativa da nuvem que é usada para proteger os seus contentores para que possa melhorar, monitorizar e manter a segurança dos seus clusters, contentores e suas aplicações.

O Defender for Containers ajuda-o com os três aspetos fundamentais da segurança do contentor:

  • Endurecimento do ambiente - O Defender for Containers protege os seus clusters Kubernetes, quer estejam a funcionar em Azure Kubernetes Service, Kubernetes no local/IaaS ou Amazon EKS. O Defender for Containers avalia continuamente os clusters para fornecer visibilidade em configurações erradas e orientações para ajudar a mitigar ameaças identificadas.

  • Avaliação de vulnerabilidades - Ferramentas de avaliação e gestão de vulnerabilidades para imagens armazenadas nos registos ACR e em execução em Azure Kubernetes Service.

  • Proteção contra ameaças em tempo de execução para nós e aglomerados - A proteção contra ameaças para clusters e nós Linux gera alertas de segurança para atividades suspeitas.

Pode saber mais assistindo a este vídeo da série de vídeos Defender for Cloud in the Field: Microsoft Defender for Containers.

Microsoft Defender para Contentores planeia disponibilidade

Aspeto Detalhes
Estado de libertação: Disponibilidade geral (GA)
Algumas funcionalidades estão em pré-visualização, para uma lista completa ver a secção de disponibilidade .
Disponibilidade de funcionalidades Consulte a secção de disponibilidade para obter informações adicionais sobre o estado de libertação de recursos e disponibilidade.
Preços: Microsoft Defender for Containers é faturado como mostrado na página de preços
Funções e permissões necessárias: • Para obter automaticamente os componentes necessários, consulte as permissões para cada um dos componentes
Administração de segurança pode dispensar alertas
Leitor de segurança pode ver resultados de avaliação de vulnerabilidades
Ver também Azure Container Registry papéis e permissões
Nuvens: Azure:
Nuvens comerciais
Nuvens nacionais (Azure Government, Azure China 21Vianet) (Exceto para as funcionalidades de pré-visualização))

Não-Azure:
Contas AWS conectadas (Pré-visualização)
Projetos GCP ligados (pré-visualização)
On-prem/IaaS suportado via Arc habilitado Kubernetes (Preview).

Para mais informações, consulte a secção de disponibilidade.

Proteção

Monitorização contínua dos seus clusters Kubernetes - onde quer que estejam hospedados

O Defender for Cloud avalia continuamente as configurações dos seus clusters e compara-as com as iniciativas aplicadas às suas subscrições. Quando encontra configurações erradas, o Defender for Cloud gera recomendações de segurança que estão disponíveis na página de Recomendações do Defender para cloud. As recomendações permitem-lhe investigar e remediar questões. Para mais detalhes sobre as recomendações que possam aparecer para esta funcionalidade, consulte a secção de cálculo da tabela de referência de recomendações.

Para os clusters Kubernetes no EKS, terá de ligar a sua conta AWS ao Microsoft Defender for Cloud e garantir que ativou o plano CSPM.

Pode utilizar o filtro de recursos para rever as recomendações pendentes para os seus recursos relacionados com o contentor, seja no inventário de ativos ou na página de recomendações:

Screenshot mostrando onde está localizado o filtro de recursos.

Endurecimento do plano de dados de Kubernetes

Para proteger as cargas de trabalho dos seus recipientes Kubernetes com recomendações personalizadas, pode instalar o Azure Policy para Kubernetes. Também pode implantar automaticamente este componente, conforme explicado , para permitir o fornecimento automático de agentes e extensões.

Com o addon no seu cluster AKS, todos os pedidos para o servidor API de Kubernetes serão monitorizados contra o conjunto pré-definido de boas práticas antes de serem persistidos no cluster. Em seguida, pode configurá-lo para impor as melhores práticas e mandatá-las para futuras cargas de trabalho.

Por exemplo, pode ordenar que os contentores privilegiados não sejam criados, e quaisquer pedidos futuros para fazê-lo serão bloqueados.

Você pode saber mais sobre o endurecimento do plano de dados kubernetes.

Avaliação de vulnerabilidades

Digitalização de imagens nos registos ACR

O Defender for Containers oferece uma verificação de vulnerabilidade para imagens nos Registos de Contentores Azure (ACRs). Os gatilhos para digitalizar uma imagem incluem:

  • Em pressão: Quando uma imagem é empurrada para um registo para armazenamento, o Defender para contentores digitaliza automaticamente a imagem.

  • Recentemente puxado: Digitalizações semanais de imagens que foram puxadas nos últimos 30 dias.

  • Sobre a importação: Quando importa imagens para um ACR, o Defender for Containers verifica quaisquer imagens suportadas.

Saiba mais na avaliação de Vulnerabilidade.

Experimente a recomendação do Microsoft Defender for Cloud sobre vulnerabilidades descobertas em Azure Container Registry (ACR) acolhia imagens.

Ver vulnerabilidades para executar imagens

O Defender for Cloud dá aos seus clientes a capacidade de priorizar a remediação de vulnerabilidades em imagens que estão atualmente a ser utilizadas no seu ambiente utilizando as imagens do contentor Running, devendo ter conclusões de vulnerabilidade resolvidas recomendações.

O Defender for Cloud é capaz de fornecer a recomendação, correlacionando o inventário dos seus recipientes de funcionamento que são recolhidos pelo agente Defender que está instalado nos seus clusters AKS, com a verificação de vulnerabilidade das imagens que são armazenadas em ACR. A recomendação mostra então os seus recipientes de funcionamento com as vulnerabilidades associadas às imagens que são utilizadas por cada recipiente e fornece-lhe relatórios de vulnerabilidade e medidas de reparação.

Nota

Recipientes windows: Não existe nenhum agente Defender para recipientes Windows, o agente Defender é implantado num nó Linux em funcionamento no cluster, para recuperar o inventário do contentor em funcionamento para os seus nós Windows.

As imagens que não são retiradas do ACR para implantação em AKS não serão verificadas e aparecerão no separador Não aplicável .

As imagens que foram apagadas do seu registo ACR, mas que ainda estão em funcionamento, não serão reportadas apenas 30 dias após a sua última digitalização ter ocorrido em ACR.

Screenshot mostrando onde a recomendação é visível.

Proteção do tempo de execução para os nódoas e agrupamentos kubernetes

O Defender for Containers fornece proteção contra ameaças em tempo real para os seus ambientes contentorizados e gera alertas para atividades suspeitas. Pode utilizar estas informações para remediar rapidamente problemas de segurança e aumentar a segurança dos contentores. A proteção contra ameaças ao nível do cluster é fornecida pelo agente Defender e a análise dos registos de auditoria de Kubernetes. Exemplos de eventos a este nível incluem dashboards kubernetes expostos, criação de papéis privilegiados de alta prioridade, e a criação de suportes sensíveis.

Além disso, a nossa deteção de ameaças vai além da camada de gestão de Kubernetes. O Defender for Containers inclui a deteção de ameaças ao nível do hospedeiro com mais de 60 análises conscientes de Kubernetes, IA e deteções de anomalias com base na sua carga de trabalho de tempo de execução.

Esta solução monitoriza a crescente superfície de ataque de implantações multicloud Kubernetes e rastreia a matriz MITRE ATT&CK® para contentores, uma estrutura que foi desenvolvida pelo Center for Threat-Informed Defense em estreita parceria com a Microsoft e outros.

FAQ - Defender para Contentores

Quais são as opções para permitir o novo plano em escala?

Pode utilizar o Azure Policy Configure Microsoft Defender for Containers to be enabled, para ativar o Defender para recipientes em escala. Também pode ver todas as opções disponíveis para ativar o Microsoft Defender para contentores.

O Microsoft Defender for Containers suporta clusters AKS com conjuntos de escala de máquinas virtuais?

Sim.

O Microsoft Defender for Containers suporta AKS sem escala definida (padrão)?

N.º Apenas Azure Kubernetes Service (AKS) agrupamentos que utilizam conjuntos de balanças de máquinas virtuais para os nós são suportados.

Preciso de instalar a extensão VM do Log Analytics nos meus nós AKS para proteção de segurança?

Não, a AKS é um serviço gerido, e a manipulação dos recursos da IAAS não é suportada. A extensão VM log Analytics não é necessária e pode resultar em custos adicionais.

Saiba Mais

Saiba mais sobre o Defender for Containers nos seguintes blogs:

O estado de libertação do Defender for Containers é desacompodo por duas dimensões: ambiente e característica. Assim, por exemplo:

  • Recomendações de plano de dados kubernetes para clusters AKS são GA
  • Recomendações de plano de dados kubernetes para clusters EKS são pré-visualização

Para visualizar o estado de toda a matriz de funcionalidades e ambientes, consulte o Microsoft Defender for Containers com disponibilidade.

Passos seguintes

Nesta visão geral, você aprendeu sobre os elementos fundamentais da segurança do contentor no Microsoft Defender for Cloud. Para ativar o plano, consulte: