Descrição geral do Microsoft Defender para Contentores

Microsoft Defender para Contentores é a solução nativa da cloud que é utilizada para proteger os seus contentores para que possa melhorar, monitorizar e manter a segurança dos clusters, dos contentores e das respetivas aplicações.

O Defender para Contentores ajuda-o com os três aspetos principais da segurança dos contentores:

  • Proteção do ambiente – o Defender para Contentores protege os clusters do Kubernetes, quer estejam a ser executados no Azure Kubernetes Service, no Kubernetes no local/IaaS ou no Amazon EKS. O Defender para Contentores avalia continuamente os clusters para fornecer visibilidade sobre configurações incorretas e diretrizes para ajudar a mitigar ameaças identificadas.

  • Avaliação de vulnerabilidades – ferramentas de avaliação e gestão de vulnerabilidades para imagens armazenadas nos registos do ACR e em execução no Azure Kubernetes Service.

  • Proteção contra ameaças em tempo de execução para nós e clusters – a proteção contra ameaças para clusters e nós do Linux gera alertas de segurança para atividades suspeitas.

Pode saber mais ao ver este vídeo a partir da série de vídeos Defender para Cloud na série de vídeos Campo: Microsoft Defender para Contentores.

Disponibilidade do plano do Microsoft Defender para contentores

Aspeto Detalhes
Estado da versão: Disponibilidade geral (GA)
Algumas funcionalidades estão em pré-visualização. Para obter uma lista completa, consulte a secção de disponibilidade .
Disponibilidade de funcionalidades Veja a secção disponibilidade para obter informações adicionais sobre o estado e a disponibilidade da versão de funcionalidades.
Preços: Microsoft Defender para Contentores é faturado conforme mostrado na página de preços
Funções e permissões necessárias: • Para implementar os componentes necessários, veja as permissões para cada um dos componentes
O administrador de segurança pode dispensar alertas
O leitor de segurança pode ver os resultados da avaliação de vulnerabilidades
Veja também Funções para remediação e Azure Container Registry funções e permissões
Nuvens: Azure:
Clouds comerciais
Clouds nacionais (Azure Government, Azure China 21Vianet) (Exceto para funcionalidades de pré-visualização))

Não Azure:
Contas AWS ligadas (Pré-visualização)
Projetos GCP ligados (Pré-visualização)
No local/IaaS suportado através do Kubernetes compatível com o Arc (Pré-visualização).

Para obter mais informações, veja a secção disponibilidade.

Proteção

Monitorização contínua dos clusters do Kubernetes – onde quer que estejam alojados

O Defender para a Cloud avalia continuamente as configurações dos clusters e compara-as com as iniciativas aplicadas às suas subscrições. Quando encontra configurações incorretas, o Defender para Cloud gera recomendações de segurança que estão disponíveis na página Recomendações do Defender para Cloud. As recomendações permitem-lhe investigar e remediar problemas.

Pode utilizar o filtro de recursos para rever as recomendações pendentes para os recursos relacionados com o contentor, seja no inventário de recursos ou na página de recomendações:

Captura de ecrã a mostrar onde está localizado o filtro de recursos.

Para obter detalhes sobre as recomendações que podem aparecer para esta funcionalidade, consulte a secção de computação da tabela de referência de recomendações.

Proteção do plano de dados do Kubernetes

Para proteger as cargas de trabalho dos seus contentores do Kubernetes com recomendações personalizadas, pode instalar o Azure Policy para o Kubernetes. Saiba mais sobre os componentes de monitorização do Defender para Cloud.

Com o suplemento no cluster do AKS, todos os pedidos ao servidor da API do Kubernetes serão monitorizados relativamente ao conjunto predefinido de melhores práticas antes de serem mantidos no cluster. Em seguida, pode configurá-lo para impor as melhores práticas e mandatá-las para cargas de trabalho futuras.

Por exemplo, pode autorizar a criação de contentores com privilégios e quaisquer pedidos futuros para o fazer serão bloqueados.

Pode saber mais sobre a proteção do plano de dados do Kubernetes.

Avaliação de vulnerabilidades

O Defender para Contentores analisa os contentores no Azure Container Registry (ACR) e no Amazon AWS Elastic Container Registry (ECR) para notificá-lo se existirem vulnerabilidades conhecidas nas suas imagens. Quando a análise for concluída, o Defender para Contentores fornece detalhes para cada vulnerabilidade detetada, uma classificação de segurança para cada vulnerabilidade detetada e orientações sobre como remediar problemas e proteger superfícies de ataque vulneráveis.

Saiba mais sobre:

Proteção em tempo de execução para nós e clusters do Kubernetes

O Defender para Contentores fornece proteção contra ameaças em tempo real para os seus ambientes em contentores e gera alertas para atividades suspeitas. Pode utilizar estas informações para remediar rapidamente problemas de segurança e aumentar a segurança dos contentores. A proteção contra ameaças ao nível do cluster é fornecida pelo agente do Defender e pela análise dos registos de auditoria do Kubernetes. Exemplos de eventos a este nível incluem dashboards do Kubernetes expostos, criação de funções com privilégios elevados e criação de montagens confidenciais.

O Defender para Contentores também inclui a deteção de ameaças ao nível do anfitrião com mais de 60 análises, IA e deteções de anomalias com suporte para Kubernetes com base na carga de trabalho de runtime.

O Defender para a Cloud monitoriza a superfície de ataque de implementações do Kubernetes multicloud com base na matriz MITRE ATT&CK® para Contentores, uma arquitetura desenvolvida pelo Center for Threat-Informed Defense em estreita parceria com a Microsoft.

FAQ - Defender para Contentores

Quais são as opções para ativar o novo plano em escala?

Pode utilizar o Azure Policy Configure Microsoft Defender for Containers to be enabled, para ativar o Defender para Contentores em escala. Também pode ver todas as opções disponíveis para ativar Microsoft Defender para Contentores.

O Microsoft Defender para Contentores suporta clusters do AKS com conjuntos de dimensionamento de máquinas virtuais?

Sim.

O Microsoft Defender para Contentores suporta o AKS sem conjunto de dimensionamento (predefinição)?

N.º Só são suportados Azure Kubernetes Service (AKS) clusters que utilizam Conjuntos de Dimensionamento de Máquinas Virtuais para os nós.

Preciso de instalar a extensão de VM do Log Analytics nos meus nós do AKS para proteção de segurança?

Não, o AKS é um serviço gerido e a manipulação dos recursos IaaS não é suportada. A extensão da VM do Log Analytics não é necessária e pode resultar em custos adicionais.

Saiba Mais

Saiba mais sobre o Defender para Contentores nos seguintes blogues:

O estado de lançamento do Defender para Contentores é dividido por duas dimensões: o ambiente e a funcionalidade. Assim, por exemplo:

  • As recomendações do plano de dados do Kubernetes para clusters do AKS são ga
  • As recomendações do plano de dados do Kubernetes para clusters EKS são pré-visualizadas

Para ver o estado da matriz completa de funcionalidades e ambientes, veja Microsoft Defender de disponibilidade de funcionalidades contentores.

Passos seguintes

Nesta descrição geral, ficou a conhecer os elementos principais da segurança dos contentores no Microsoft Defender para a Cloud. Para ativar o plano, veja: