Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
O Microsoft Defender for Containers é uma solução nativa da nuvem para aprimorar, monitorar e manter a segurança de seus ativos em contêineres (clusters, nós, cargas de trabalho, registros, imagens e muito mais do Kubernetes) e seus aplicativos em ambientes multicloud e locais.
O Defender for Containers ajuda você com quatro domínios principais de segurança de contêineres:
O gerenciamento de postura de segurança executa o monitoramento contínuo de APIs de nuvem, APIs do Kubernetes e cargas de trabalho do Kubernetes para descobrir recursos de nuvem, fornecer recursos de inventário abrangentes, detetar configurações incorretas com diretrizes de mitigação, fornecer avaliação de risco contextual e capacitar os usuários a executar recursos aprimorados de caça ao risco por meio do explorador de segurança do Defender for Cloud.
Avaliação de vulnerabilidades - realiza uma avaliação de vulnerabilidades sem agentes de imagens de registo de contentores, contentores em execução e nós K8s suportados com orientações para correção, configuração zero, reanálises diárias, cobertura para pacotes de SO e de linguagens e insights de exploração. O artefacto de descobertas de vulnerabilidade é assinado com um certificado da Microsoft para integridade e autenticidade e está associado à imagem de contentor no registo para fins de validação.
Proteção contra ameaças em tempo de execução - um pacote avançado de deteção de ameaças para clusters, nós e cargas de trabalho do Kubernetes, alimentado pela inteligência de ameaças líder da Microsoft, fornece mapeamento para a estrutura MITRE ATT&CK para fácil compreensão do risco e do contexto relevante, além de resposta automatizada. Os operadores de segurança também podem investigar e responder a ameaças aos serviços do Kubernetes através do portal Microsoft Defender XDR.
Implantação e monitoramento - Monitora seus clusters Kubernetes em busca de sensores ausentes e fornece implantação em escala sem atrito para recursos baseados em sensores, suporte para ferramentas de monitoramento Kubernetes padrão e gerenciamento de recursos não monitorados.
Para saber mais, assista a este vídeo da série de vídeos Defender for Cloud in the Field: Microsoft Defender for Containers.
Disponibilidade do plano do Microsoft Defender para contentores
| Aspeto | Detalhes |
|---|---|
| Estado de lançamento: | Disponibilidade geral (GA) Alguns recursos estão disponíveis para teste. Para obter uma lista completa, consulte a matriz de suporte de contêineres no Defender for Cloud |
| Disponibilidade de funcionalidades | Consulte a matriz de suporte de contentores no Defender for Cloud para obter informações adicionais sobre o estado e a disponibilidade de lançamento de funcionalidades. |
| Preços: | O Microsoft Defender for Containers é cobrado conforme mostrado na página de preços. Você também pode estimar custos com a calculadora de custos do Defender for Cloud. |
| Funções e permissões necessárias: | * Para implantar os componentes necessários, consulte as permissões para cada um dos componentes * O administrador de segurança pode descartar alertas * O leitor de segurança pode visualizar os resultados da avaliação de vulnerabilidades Consulte também Funções para correção e funções e permissões do Registro de Contêiner do Azure |
| Nuvens: | Veja a matriz de suporte de contêineres no Defender for Cloud para ver a disponibilidade da nuvem. |
Gestão da postura de segurança
Recursos sem agente
Descoberta sem agente para Kubernetes - fornece descoberta baseada em API de zero pegada de seus clusters, configurações e implantações do Kubernetes.
Avaliação de vulnerabilidade sem necessidade de agente - fornece avaliação de vulnerabilidade para nós de cluster e para todas as imagens de contentor, incluindo recomendações para registo e tempo de execução, verificações rápidas de novas imagens, atualização diária de resultados, insights de exploração e muito mais. As informações de vulnerabilidade são adicionadas ao gráfico de segurança para avaliação contextual de risco e cálculo de caminhos de ataque e recursos de caça.
Capacidades abrangentes de inventário - permite explorar recursos, pods, serviços, repositórios, imagens e configurações através do Security Explorer para monitorizar e gerir facilmente os seus ativos.
Caça ao risco aprimorada - permite que os administradores de segurança procurem ativamente problemas de postura em seus ativos em contêineres por meio de consultas (internas e personalizadas) e informações de segurança no security explorer
Fortalecimento do plano de controle - avalia continuamente as configurações dos seus clusters e as compara com as iniciativas aplicadas às suas subscrições. Quando encontra configurações incorretas, o Defender for Cloud gera recomendações de segurança que estão disponíveis na página Recomendações do Defender for Cloud. As recomendações permitem-lhe investigar e corrigir problemas.
Você pode usar o filtro de recursos para revisar as recomendações pendentes para seus recursos relacionados ao contêiner, seja no inventário de ativos ou na página de recomendações:
Para obter detalhes incluídos com esse recurso, revise as recomendações do contêiner e procure recomendações com o tipo "Plano de controle"
Capacidades baseadas em sensores
Deteção de desvio binário - O Defender for Containers fornece um recurso baseado em sensores que alerta sobre possíveis ameaças à segurança, detetando processos externos não autorizados dentro de contêineres. Você pode definir políticas de desvio para especificar as condições sob as quais os alertas devem ser gerados, ajudando a distinguir entre atividades legítimas e ameaças potenciais. Para obter mais informações, consulte Proteção contra desvio binário (visualização).
Proteção do plano de dados do Kubernetes - Para proteger as cargas de trabalho dos seus contêineres do Kubernetes com recomendações de boas práticas, pode instalar o Azure Policy para Kubernetes. Saiba mais sobre o monitoramento de componentes do Defender for Cloud.
Com as políticas definidas para seu cluster Kubernetes, cada solicitação para o servidor de API do Kubernetes é monitorada em relação ao conjunto predefinido de práticas recomendadas antes de ser persistida no cluster. Em seguida, você pode configurá-lo para aplicar as práticas recomendadas e impô-las para cargas de trabalho futuras.
Por exemplo, você pode exigir que contêineres privilegiados não sejam criados e quaisquer solicitações futuras para fazer isso sejam bloqueadas.
Você pode saber mais sobre o endurecimento do plano de dados do Kubernetes.
Avaliação de vulnerabilidades
O Defender for Containers analisa o sistema operativo do nó do cluster e o software de aplicação, as imagens dos contentores no Azure Container Registry (ACR), Amazon AWS Elastic Container Registry (ECR), Google Artifact Registry (GAR), Google Container Registry (GCR) e registos de imagens externas suportados para oferecer uma avaliação de vulnerabilidade sem agente.
Agora para visualização pública no ambiente AKS, o Defender for Containers também realiza uma verificação diária de todos os contêineres em execução para fornecer uma avaliação de vulnerabilidade atualizada, independente do registro de imagem do contêiner.
As informações de vulnerabilidade fornecidas pelo Microsoft Defender Vulnerability Management são adicionadas ao gráfico de segurança na nuvem para risco contextual, cálculo de caminhos de ataque e recursos de caça.
Saiba mais sobre as avaliações de vulnerabilidade para ambientes suportados pelo Defender for Containers, incluindo a avaliação de vulnerabilidade para nós de cluster.
Proteção em tempo de execução para nós e clusters do Kubernetes
O Defender for Containers fornece proteção contra ameaças em tempo real para ambientes em contêineres suportados e gera alertas para atividades suspeitas. Pode utilizar estas informações para remediar rapidamente problemas de segurança e aumentar a segurança dos contentores.
A proteção contra ameaças é fornecida para o Kubernetes nos níveis de cluster, nó e carga de trabalho. Tanto a cobertura baseada em sensor, que requer o sensor Defender , quanto a cobertura sem agente, com base na análise dos logs de auditoria do Kubernetes, são usadas para detetar ameaças. Os alertas de segurança só são acionados para ações e implantações que ocorrem depois que você habilita o Defender for Containers em sua assinatura.
Exemplos de eventos de segurança que o Microsoft Defenders for Containers monitora incluem:
- Painéis do Kubernetes expostos
- Criação de papéis altamente privilegiados
- Criação de suportes sensíveis
Para obter mais informações sobre alertas detetados pelo Defender for Containers, incluindo uma ferramenta de simulação de alertas, consulte alertas para clusters Kubernetes.
O Defender para Contentores inclui deteção de ameaças com mais de 60 análises com reconhecimento do Kubernetes, IA e deteções de anomalias baseadas na sua carga de trabalho em tempo de execução.
O Defender for Cloud monitora a superfície de ataque de implantações de Kubernetes multicloud com base na matriz MITRE ATT&CK® for Containers, uma estrutura desenvolvida pelo Center for Threat-Informed Defense em estreita parceria com a Microsoft.
O Defender for Cloud está integrado com o Microsoft Defender XDR. Quando o Defender for Containers está habilitado, os operadores de segurança podem usar o Defender XDR para investigar e responder a problemas de segurança nos serviços Kubernetes suportados.
Mais informações
Saiba mais sobre o Defender for Containers nos seguintes blogs:
Próximos passos
Nesta visão geral, você aprendeu sobre os principais elementos da segurança de contêiner no Microsoft Defender for Cloud. Para habilitar o plano, consulte:
- Ativar o Defender para contêineres
- Confira perguntas comuns sobre o Defender for Containers.