Descrição geral do Microsoft Defender para Contentores
Microsoft Defender para Contentores é a solução nativa da cloud para melhorar, monitorizar e manter a segurança dos seus clusters, contentores e respetivas aplicações.
O Defender para Contentores ajuda-o com os três aspetos principais da segurança do contentor:
Proteção do ambiente – o Defender para Contentores protege os clusters do Kubernetes, quer estejam a ser executados no Azure Kubernetes Service, no Kubernetes no local/IaaS ou no Amazon EKS. O Defender para Contentores avalia continuamente os clusters para fornecer visibilidade sobre configurações incorretas e diretrizes para ajudar a mitigar ameaças identificadas.
Avaliação de vulnerabilidades – Ferramentas de avaliação e gestão de vulnerabilidades para imagens armazenadas no Azure Container Registry e no Elastic Container Registry
Proteção contra ameaças em tempo de execução para nós e clusters – a proteção contra ameaças para clusters e nós do Linux gera alertas de segurança para atividades suspeitas.
Pode saber mais ao ver este vídeo a partir do Defender para a Cloud na série de vídeos Campo: Microsoft Defender para Contentores.
Disponibilidade do plano do Microsoft Defender para contentores
| Aspeto | Detalhes |
|---|---|
| Estado da versão: | Disponibilidade geral (GA) Algumas funcionalidades estão em pré-visualização. Para obter uma lista completa, consulte a secção de disponibilidade . |
| Disponibilidade de funcionalidades | Veja a secção disponibilidade para obter informações adicionais sobre o estado e a disponibilidade da versão de funcionalidades. |
| Preços: | Microsoft Defender para Contentores é faturado conforme mostrado na página de preços |
| Funções e permissões necessárias: | • Para implementar os componentes necessários, veja as permissões para cada um dos componentes • O administrador de segurança pode dispensar alertas • O leitor de segurança pode ver os resultados da avaliação de vulnerabilidades Veja também Funções para remediação e Azure Container Registry funções e permissões |
| Clouds: | Azure: Clouds comerciaisClouds nacionais (Azure Government, Azure China 21Vianet) (Exceto as funcionalidades de pré-visualização))Não Azure: Contas AWS ligadas (Pré-visualização) Projetos GCP ligados (Pré-visualização) No local/IaaS suportado através do Kubernetes compatível com o Arc (Pré-visualização). Para obter mais informações sobre, veja a secção de disponibilidade. |
Proteção
Monitorização contínua dos clusters do Kubernetes – onde quer que estejam alojados
O Defender para a Cloud avalia continuamente as configurações dos clusters e compara-as com as iniciativas aplicadas às suas subscrições. Quando encontra configurações incorretas, o Defender para Cloud gera recomendações de segurança disponíveis na página Recomendações do Defender para Cloud. As recomendações permitem-lhe investigar e remediar problemas.
Pode utilizar o filtro de recursos para rever as recomendações pendentes para os recursos relacionados com o contentor, seja no inventário de recursos ou na página de recomendações:
Para obter detalhes sobre as recomendações que podem aparecer para esta funcionalidade, consulte a secção de computação da tabela de referência de recomendações.
Proteção do plano de dados do Kubernetes
Para proteger as cargas de trabalho dos contentores do Kubernetes com recomendações personalizadas, pode instalar o Azure Policy do Kubernetes. Saiba mais sobre os componentes de monitorização do Defender para a Cloud.
Com o suplemento no cluster do AKS, todos os pedidos ao servidor da API do Kubernetes serão monitorizados relativamente ao conjunto predefinido de melhores práticas antes de serem mantidos no cluster. Em seguida, pode configurá-la para impor as melhores práticas e mandatá-las para cargas de trabalho futuras.
Por exemplo, pode ordenar que os contentores com privilégios não sejam criados e quaisquer pedidos futuros para o fazer serão bloqueados.
Pode saber mais sobre a proteção do plano de dados do Kubernetes.
Avaliação de vulnerabilidades
O Defender para Contentores analisa os contentores no Azure Container Registry (ACR) e no Amazon AWS Elastic Container Registry (ECR) para notificá-lo se existirem vulnerabilidades conhecidas nas suas imagens. Quando a análise for concluída, o Defender para Contentores fornece detalhes para cada vulnerabilidade detetada, uma classificação de segurança para cada vulnerabilidade detetada e orientações sobre como remediar problemas e proteger superfícies de ataque vulneráveis.
Saiba mais sobre:
- Avaliação de vulnerabilidades para Azure Container Registry (ACR)
- Avaliação de vulnerabilidades do Amazon AWS Elastic Container Registry (ECR)
Proteção de tempo de execução para nós e clusters do Kubernetes
O Defender para Contentores fornece proteção contra ameaças em tempo real para os seus ambientes em contentores e gera alertas para atividades suspeitas. Pode utilizar estas informações para remediar rapidamente problemas de segurança e aumentar a segurança dos contentores. A proteção contra ameaças ao nível do cluster é fornecida pelo agente do Defender e pela análise dos registos de auditoria do Kubernetes. Exemplos de eventos a este nível incluem dashboards do Kubernetes expostos, criação de funções com privilégios elevados e criação de montagens confidenciais.
O Defender para Contentores também inclui deteção de ameaças ao nível do anfitrião com mais de 60 deteções de analíticas, IA e anomalias com suporte para Kubernetes com base na carga de trabalho de runtime. Para obter uma lista completa dos alertas ao nível do cluster, veja a tabela de referência de alertas.
O Defender para a Cloud monitoriza a superfície de ataque de implementações do Kubernetes multicloud com base na matriz MITRE ATT&CK® para Contentores, uma arquitetura desenvolvida pelo Center for Threat-Informed Defense em estreita parceria com a Microsoft.
FAQ – Defender para Contentores
- Quais são as opções para ativar o novo plano em escala?
- O Microsoft Defender para Contentores suporta clusters do AKS com conjuntos de dimensionamento de máquinas virtuais?
- O Microsoft Defender para Contentores suporta o AKS sem conjunto de dimensionamento (predefinição)?
- Preciso de instalar a extensão da VM do Log Analytics nos meus nós do AKS para proteção de segurança?
Quais são as opções para ativar o novo plano em escala?
Pode utilizar o Azure Policy Configure Microsoft Defender for Containers to be enabled, para ativar o Defender para Contentores em escala. Também pode ver todas as opções disponíveis para ativar Microsoft Defender para Contentores.
O Microsoft Defender para Contentores suporta clusters do AKS com conjuntos de dimensionamento de máquinas virtuais?
Sim.
O Microsoft Defender para Contentores suporta o AKS sem conjunto de dimensionamento (predefinição)?
Não. Só são suportados Azure Kubernetes Service clusters (AKS) que utilizam Conjuntos de Dimensionamento de Máquinas Virtuais para os nós.
Preciso de instalar a extensão da VM do Log Analytics nos meus nós do AKS para proteção de segurança?
Não, o AKS é um serviço gerido e a manipulação dos recursos IaaS não é suportada. A extensão da VM do Log Analytics não é necessária e pode resultar em custos adicionais.
Saiba Mais
Saiba mais sobre o Defender para Contentores nos seguintes blogues:
O estado de lançamento do Defender para Contentores é dividido por duas dimensões: o ambiente e a funcionalidade. Assim, por exemplo:
- As recomendações do plano de dados do Kubernetes para clusters do AKS são GA
- As recomendações do plano de dados do Kubernetes para clusters EKS são pré-visualizadas
Para ver o estado da matriz completa de funcionalidades e ambientes, veja Microsoft Defender de disponibilidade de funcionalidades contentores.
Passos seguintes
Nesta descrição geral, ficou a conhecer os elementos principais da segurança do contentor no Microsoft Defender para a Cloud. Para ativar o plano, consulte: