Visão geral da segurança de contêineres no Microsoft Defender for Containers
O Microsoft Defender for Containers é uma solução nativa da nuvem para melhorar, monitorar e manter a segurança de seus ativos em contêineres (clusters Kubernetes, nós Kubernetes, cargas de trabalho Kubernetes, registros de contêineres, imagens de contêiner e muito mais) e seus aplicativos, em ambientes multicloud e locais.
O Defender for Containers ajuda você com quatro domínios principais de segurança de contêineres:
Gerenciamento de postura de segurança - realiza monitoramento contínuo de APIs de nuvem, APIs do Kubernetes e cargas de trabalho do Kubernetes para descobrir recursos de nuvem, fornecer recursos de inventário abrangentes, detetar configurações incorretas e fornecer diretrizes para mitigá-las, fornecer avaliação de risco contextual e capacitar os usuários a executar recursos aprimorados de caça ao risco por meio do explorador de segurança do Defender for Cloud.
Avaliação de vulnerabilidades - fornece avaliação de vulnerabilidade sem agente para Azure, AWS e GCP com diretrizes de correção, configuração zero, verificações diárias, cobertura para pacotes de SO e idiomas e insights de exploração.
Proteção contra ameaças em tempo de execução - um pacote avançado de deteção de ameaças para clusters, nós e cargas de trabalho do Kubernetes, alimentado pela inteligência de ameaças líder da Microsoft, fornece mapeamento para a estrutura MITRE ATT&CK para fácil compreensão do risco e do contexto relevante, resposta automatizada e integração SIEM/XDR.
Implantação e monitoramento- Monitora seus clusters Kubernetes em busca de sensores ausentes e fornece implantação em escala sem atrito para recursos baseados em sensores, suporte para ferramentas de monitoramento padrão do Kubernetes e gerenciamento de recursos não monitorados.
Para saber mais, assista a este vídeo da série de vídeos Defender for Cloud in the Field: Microsoft Defender for Containers.
Disponibilidade do plano do Microsoft Defender para contentores
| Aspeto | Detalhes |
|---|---|
| Estado de lançamento: | Disponibilidade geral (GA) Alguns recursos estão em visualização. Para obter uma lista completa, consulte a matriz de suporte de contêineres no Defender for Cloud |
| Disponibilidade de caraterísticas | Consulte a matriz de suporte de contêineres no Defender for Cloud para obter informações adicionais sobre o estado e a disponibilidade da liberação do recurso. |
| Preços: | O Microsoft Defender for Containers é cobrado conforme mostrado na página de preços |
| Funções e permissões necessárias: | • Para implantar os componentes necessários, consulte as permissões para cada um dos componentes • O administrador de segurança pode ignorar alertas • O leitor de segurança pode visualizar os resultados da avaliação de vulnerabilidades Consulte também Funções para correção e funções e permissões do Registro de Contêiner do Azure |
| Nuvens: | Veja a matriz de suporte de contêineres no Defender for Cloud para ver a disponibilidade da nuvem. |
Gestão da postura de segurança
Recursos sem agente
Descoberta sem agente para Kubernetes - fornece descoberta baseada em API de zero pegada de seus clusters Kubernetes, suas configurações e implantações.
Avaliação de vulnerabilidade sem agente - fornece avaliação de vulnerabilidade para todas as imagens de contêiner, incluindo recomendações para registro e tempo de execução, verificações rápidas de novas imagens, atualização diária de resultados, insights de exploração e muito mais. As informações de vulnerabilidade são adicionadas ao gráfico de segurança para avaliação contextual de risco e cálculo de caminhos de ataque e recursos de caça.
Recursos abrangentes de inventário - permite que você explore recursos, pods, serviços, repositórios, imagens e configurações através do security explorer para monitorar e gerenciar facilmente seus ativos.
Caça ao risco aprimorada - permite que os administradores de segurança procurem ativamente problemas de postura em seus ativos em contêineres por meio de consultas (internas e personalizadas) e informações de segurança no security explorer
Endurecimento do plano de controle - avalia continuamente as configurações de seus clusters e as compara com as iniciativas aplicadas às suas assinaturas. Quando encontra configurações incorretas, o Defender for Cloud gera recomendações de segurança que estão disponíveis na página Recomendações do Defender for Cloud. As recomendações permitem-lhe investigar e corrigir problemas.
Você pode usar o filtro de recursos para revisar as recomendações pendentes para seus recursos relacionados ao contêiner, seja no inventário de ativos ou na página de recomendações:
Para obter detalhes incluídos com esse recurso, confira a seção de contêineres da tabela de referência de recomendações e procure recomendações com o tipo "Plano de controle"
Capacidades baseadas em sensores
Proteção do plano de dados do Kubernetes - Para proteger as cargas de trabalho de seus contêineres do Kubernetes com recomendações de práticas recomendadas, você pode instalar a Política do Azure para Kubernetes. Saiba mais sobre o monitoramento de componentes do Defender for Cloud.
Com o complemento em seu cluster Kubernetes, cada solicitação para o servidor de API do Kubernetes é monitorada em relação ao conjunto predefinido de práticas recomendadas antes de ser persistida no cluster. Em seguida, você pode configurá-lo para aplicar as práticas recomendadas e impô-las para cargas de trabalho futuras.
Por exemplo, você pode exigir que contêineres privilegiados não sejam criados e quaisquer solicitações futuras para fazer isso sejam bloqueadas.
Você pode saber mais sobre a proteção do plano de dados do Kubernetes.
Avaliação de vulnerabilidades
O Defender for Containers verifica as imagens de contêiner no Azure Container Registry (ACR), no Amazon AWS Elastic Container Registry (ECR), no Google Artifact Registry (GAR) e no Google Container Registry (GCR) para fornecer uma avaliação de vulnerabilidade sem agente para suas imagens de contêiner, incluindo recomendações de registro e tempo de execução, orientação de correção, varreduras rápidas de novas imagens, insights de exploração do mundo real, insights de exploração e muito mais.
As informações de vulnerabilidade fornecidas pelo Microsoft Defender Vulnerability Management são adicionadas ao gráfico de segurança na nuvem para risco contextual, cálculo de caminhos de ataque e recursos de caça.
Saiba mais sobre:
- Avaliações de vulnerabilidade para o Azure com o Microsoft Defender Vulnerability Management
- Avaliações de vulnerabilidade para a AWS com o Microsoft Defender Vulnerability Management
- Avaliações de vulnerabilidade para GCP com o Microsoft Defender Vulnerability Management
Proteção em tempo de execução para nós e clusters do Kubernetes
O Defender for Containers fornece proteção contra ameaças em tempo real para ambientes em contêineres suportados e gera alertas para atividades suspeitas. Pode utilizar estas informações para remediar rapidamente problemas de segurança e aumentar a segurança dos contentores.
A proteção contra ameaças é fornecida para o Kubernetes no nível de cluster, no nível do nó e no nível da carga de trabalho e inclui cobertura baseada em sensor que requer o sensor Defender e cobertura sem agente baseada na análise dos logs de auditoria do Kubernetes. Os alertas de segurança só são acionados para ações e implantações que ocorrem depois que você ativou o Defender for Containers em sua assinatura.
Exemplos de eventos de segurança que o Microsoft Defenders for Containers monitora incluem:
- Painéis do Kubernetes expostos
- Criação de papéis altamente privilegiados
- Criação de suportes sensíveis
Você pode visualizar alertas de segurança selecionando o bloco Alertas de segurança na parte superior da página de visão geral do Defender for Cloud ou o link na barra lateral.
A página de alertas de segurança abre:
Os alertas de segurança para carga de trabalho em tempo de execução nos clusters podem ser reconhecidos pelo prefixo K8S.NODE_ do tipo de alerta. Para obter uma lista completa dos alertas de nível de cluster, consulte a tabela de referência de alertas.
O Defender for Containers também inclui deteção de ameaças no nível do host com mais de 60 análises com reconhecimento de Kubernetes, IA e deteções de anomalias com base em sua carga de trabalho de tempo de execução.
O Defender for Cloud monitora a superfície de ataque de implantações de Kubernetes multicloud com base na matriz MITRE ATT&CK® for Containers, uma estrutura desenvolvida pelo Center for Threat-Informed Defense em estreita parceria com a Microsoft.
Mais informações
Saiba mais sobre o Defender for Containers nos seguintes blogs:
Próximos passos
Nesta visão geral, você aprendeu sobre os principais elementos da segurança de contêiner no Microsoft Defender for Cloud. Para habilitar o plano, consulte:
- Ativar o Defender para contêineres
- Confira perguntas comuns sobre o Defender for Containers.