Общие сведения о безопасности контейнеров в Microsoft Defender для контейнеров

Microsoft Defender для контейнеров — это облачное решение для улучшения, мониторинга и поддержания безопасности контейнерных ресурсов (кластеры Kubernetes, узлы Kubernetes, рабочие нагрузки Kubernetes, реестры контейнеров, образы контейнеров и многое другое), а также их приложения в многооблачных и локальных средах.

Defender для контейнеров помогает вам использовать четыре основных домена безопасности контейнеров:

  • Управление безопасностью — выполняет непрерывный мониторинг облачных API, API Kubernetes и рабочих нагрузок Kubernetes для обнаружения облачных ресурсов, предоставления комплексных возможностей инвентаризации, обнаружения неправильных конфигураций и предоставления рекомендаций по их устранению, предоставления контекстной оценки рисков и предоставления пользователям возможности расширенного поиска рисков через обозреватель безопасности Defender для облака.

  • Оценка уязвимостей — предоставляет оценку уязвимостей без агента для Azure, AWS и GCP с рекомендациями по исправлению, нулевым настройкам, ежедневным сканированием, охватом пакетов ОС и языковых пакетов, а также аналитическими сведениями об эксплойтации.

  • Защита от угроз во время выполнения — широкий набор средств обнаружения угроз для кластеров Kubernetes, узлов и рабочих нагрузок, работающих под управлением ведущих аналитиков угроз Майкрософт, обеспечивает сопоставление с платформой MITRE ATT&CK для простоты понимания рисков и соответствующих контекстов, автоматизированного реагирования и интеграции SIEM/XDR.

  • Развертывание и мониторинг. Отслеживает кластеры Kubernetes для отсутствующих датчиков и обеспечивает бесполезное развертывание для возможностей на основе датчиков, поддержку стандартных средств мониторинга Kubernetes и управление неизвредимыми ресурсами.

Вы можете узнать больше, посмотрев это видео из серии Defender для облака в Поле: Microsoft Defender для контейнеров.

Доступность плана Microsoft Defender для контейнеров

Аспект Сведения
Состояние выпуска: Общедоступная версия
Некоторые функции доступны в предварительной версии. Полный список см. в таблице поддержки контейнеров в Defender для облака
Доступность функций Дополнительные сведения о состоянии выпуска компонентов и доступности см. в матрице поддержки контейнеров в Defender для облака.
Цены. Плата за использование Microsoft Defender для контейнеров начисляется по тарифам, приведенным на странице с ценами.
Требуемые роли и разрешения • Чтобы развернуть необходимые компоненты, ознакомьтесь с разрешениями для каждого компонента.
• Администратор безопасности может отклонять предупреждения.
• Читатель сведений о безопасности может просматривать результаты оценки уязвимостей.
См. также роли для исправления и Реестр контейнеров Azure ролей и разрешений
Облако. Просмотрите матрицу поддержки контейнеров в Defender для облака, чтобы увидеть доступность облака.

Управление состоянием безопасности

Возможности без агента

  • Обнаружение без агента для Kubernetes — обеспечивает нулевой объем, обнаружение кластеров Kubernetes на основе API, их конфигурации и развертывания.

  • Оценка уязвимостей без агента — предоставляет оценку уязвимостей для всех образов контейнеров, включая рекомендации по реестру и среде выполнения, быстрые проверки новых образов, ежедневное обновление результатов, аналитику эксплойтов и многое другое. Сведения об уязвимостях добавляются в граф безопасности для контекстной оценки рисков и вычисления путей атаки и возможностей охоты.

  • Комплексные возможности инвентаризации— позволяет изучать ресурсы, модули pod, службы, репозитории, образы и конфигурации с помощью обозревателя безопасности, чтобы легко отслеживать ресурсы и управлять ими.

  • Улучшенная охота на риски— позволяет администраторам безопасности активно охотиться на проблемы с состоянием в своих контейнерных ресурсах с помощью запросов (встроенных и настраиваемых) и аналитических сведений о безопасности в обозревателе безопасности

  • Усиление уровня управления — непрерывно оценивает конфигурации кластеров и сравнивает их с инициативами, применяемыми к подпискам. При обнаружении неправильных настроек Defender для облака создает рекомендации по безопасности, доступные на странице рекомендаций Defender для облака. Рекомендации позволяют исследовать и устранять проблемы.

    Вы можете использовать фильтр ресурсов для просмотра необработанных рекомендаций для ресурсов, связанных с контейнерами, на странице инвентаризации ресурсов или рекомендаций:

    Снимок экрана: местоположение фильтра ресурсов.

    Дополнительные сведения, включенные в эту возможность, проверка из раздела контейнеров в справочной таблице рекомендаций и найдите рекомендации с типом "Плоскость управления".

Возможности на основе датчиков

Защита плоскости данных Kubernetes . Чтобы защитить рабочие нагрузки контейнеров Kubernetes с рекомендациями, можно установить Политика Azure для Kubernetes. Дополнительные сведения о компонентах мониторинга для Defender для облака.

При использовании надстройки в кластере Kubernetes каждый запрос к серверу API Kubernetes отслеживается в предварительно определенном наборе рекомендаций перед сохранением в кластере. Вы можете настроить его так, чтобы принудительно применять рекомендации для всех будущих рабочих нагрузок.

Например, вы можете наказать, что привилегированные контейнеры не должны быть созданы, и любые будущие запросы для этого блокируются.

Дополнительные сведения об усилении защиты плоскости данных Kubernetes.

Оценка уязвимостей

Defender для контейнеров сканирует образы контейнеров в Реестр контейнеров Azure (ACR), Amazon AWS Elastic Container Registry (ECR), Google Artifact Registry (GAR) и Google Container Registry (GCR), чтобы обеспечить оценку уязвимостей без агента для образов контейнеров, включая рекомендации по реестру и среде выполнения, рекомендации по исправлению, быстрые проверки новых образов, аналитики эксплойтов в реальном мире, аналитики эксплойтов и многое другое.

Сведения об уязвимостях, предоставляемые Управление уязвимостями Microsoft Defender, добавляются в граф облачной безопасности для контекстного риска, вычисления путей атаки и возможностей охоты.

См. также:

Защита узлов и кластеров Kubernetes во время выполнения

Defender для контейнеров обеспечивает защиту от угроз в режиме реального времени для поддерживаемых контейнерных сред и создает оповещения о подозрительных действиях. Эти сведения можно использовать для быстрого устранения проблем безопасности и повышения безопасности контейнеров.

Защита от угроз предоставляется для Kubernetes на уровне кластера, уровне узла и на уровне рабочей нагрузки, а также включает в себя покрытие на основе датчиков на основе датчика Defender и покрытия без агента, основанного на анализе журналов аудита Kubernetes. Оповещения системы безопасности активируются только для действий и развертываний, возникающих после включения Defender для контейнеров в подписке.

Ниже приведены примеры событий безопасности, которые мониторы Microsoft Defenders для контейнеров:

  • доступные панели мониторинга Kubernetes;
  • создание ролей с высоким уровнем привилегий;
  • Создание конфиденциальных подключений

Вы можете просмотреть оповещения системы безопасности, выбрав плитку "Оповещения системы безопасности" в верхней части страницы обзора Defender для облака или ссылку с боковой панели.

Снимок экрана: переход на страницу оповещений системы безопасности на странице обзора Microsoft Defender для облака.

Откроется страница оповещений системы безопасности:

Снимок экрана, на котором показано, где можно просмотреть список оповещений.

Оповещения системы безопасности для рабочей нагрузки среды выполнения в кластерах можно распознать по префиксу K8S.NODE_ типа оповещения. Полный список оповещений на уровне кластера см. в справочной таблице оповещений.

Defender для контейнеров также включает обнаружение угроз на уровне узла с более чем 60 аналитикой Kubernetes, ИИ и обнаружения аномалий на основе рабочей нагрузки среды выполнения.

Defender для облака отслеживает область атак многооблачных развертываний Kubernetes на основеМатрица MITRE ATT&CK® для контейнеров, разработанная Центром защиты от угроз в тесном партнерстве с Корпорацией Майкрософт.

Подробнее

Дополнительные сведения о Defender для контейнеров см. в таких блогах:

Следующие шаги

В этой обзорной статье вы получили сведения об основных элементах безопасности контейнеров, которые предоставляет Microsoft Defender для облака. Сведения о включении плана см. в следующих статьях: