Общие сведения о Microsoft Defender для контейнеров

Microsoft Defender для контейнеров — это ориентированное на облако решение для защиты контейнеров, которое позволяет улучшать, отслеживать и поддерживать безопасность кластеров, контейнеров и их приложений.

Defender для контейнеров помогает соблюдать три основных аспекта безопасности контейнеров:

  • Усиление среды. Defender для контейнеров защищает кластеры Kubernetes независимо от того, работают ли они в Службе Kubernetes Azure, Kubernetes в локальной среде/IaaS или Amazon EKS. Defender для контейнеров постоянно оценивает кластеры, чтобы предоставить информацию о неправильных настройках и рекомендации для устранения выявленных угроз.

  • Оценка уязвимостей.Средства оценки уязвимостей и управления для образов, хранящихся в реестрах ACR и выполняемых в Службе Kubernetes Azure.

  • Защита от угроз во время выполнения для узлов и кластеров. Защита от угроз для кластеров и узлов Linux создает оповещения системы безопасности для подозрительных действий.

Вы можете узнать больше, посмотрев это видео из серии Defender для облака в Поле: Microsoft Defender для контейнеров.

Доступность плана Microsoft Defender для контейнеров

Аспект Сведения
Состояние выпуска: Общедоступная версия
Некоторые функции доступны в предварительной версии. Полный список см. в статье Доступность.
Доступность функций Дополнительные сведения о состоянии выпусков с новыми функциями и их доступности см. в статье Доступность.
Цены Плата за использование Microsoft Defender для контейнеров начисляется по тарифам, приведенным на странице с ценами.
Требуемые роли и разрешения • Чтобы развернуть необходимые компоненты, ознакомьтесь с разрешениями для каждого из компонентов.
• Администратор безопасности может отклонять предупреждения.
• Читатель сведений о безопасности может просматривать результаты оценки уязвимостей.
См. также статью Роли для исправления и Реестр контейнеров Azure ролей и разрешений.
Облако. Azure:
Коммерческие облака
национальные облака (Azure для государственных организаций, Azure для Китая (21Vianet)) (кроме предварительных версий функций).

Не связанные с Azure:
Подключенные учетные записи AWS (предварительная версия)
подключенные проекты GCP (предварительная версия);
Kubernetes с поддержкой локальной среды или IaaS и Arc (предварительная версия).

Дополнительные сведения см. в разделе о доступности.

Усиление защиты

Непрерывный мониторинг кластеров Kubernetes, где бы они ни размещались

Защитник для облака постоянно оценивает конфигурации кластеров и сравнивает их с инициативами, применяемыми для ваших подписок. При обнаружении неправильных настроек Defender для облака создает рекомендации по безопасности, доступные на странице рекомендаций Defender для облака. Рекомендации позволяют исследовать и устранять проблемы.

Вы можете использовать фильтр ресурсов для просмотра необработанных рекомендаций для ресурсов, связанных с контейнерами, на странице инвентаризации ресурсов или рекомендаций:

Снимок экрана: местоположение фильтра ресурсов.

Дополнительные сведения о рекомендациях, которые могут предоставляться для этой возможности, см. в разделе о вычислениях справочной таблицы рекомендаций.

Усиление защиты для плоскости данных Kubernetes

Вы можете установить Политику Azure для Kubernetes, чтобы защитить рабочие нагрузки контейнеров Kubernetes с помощью специально разработанных рекомендаций. Узнайте больше о компонентах мониторинга для Defender для облака.

При использовании надстройки для кластера AKS каждый запрос к серверу API Kubernetes будет отслеживаться и сопоставляться с заранее установленным набором рекомендаций, прежде чем попадет в кластер. Вы можете настроить его так, чтобы принудительно применять рекомендации для всех будущих рабочих нагрузок.

Например, можно запретить создание привилегированных контейнеров, и тогда любой запрос такого типа будет блокироваться.

Дополнительные сведения об усилении защиты плоскости данных Kubernetes.

Оценка уязвимостей

Defender для контейнеров проверяет контейнеры в Реестр контейнеров Azure (ACR) и Amazon AWS Elastic Container Registry (ECR), чтобы уведомить вас об известных уязвимостях в образах. После завершения сканирования Defender для контейнеров предоставляет сведения о каждой обнаруженной уязвимости, классификацию безопасности для каждой обнаруженной уязвимости и рекомендации по устранению проблем и защите уязвимых направлений атак.

См. также:

Защита узлов и кластеров Kubernetes во время выполнения

Defender для контейнеров обеспечивает защиту контейнерных сред от угроз в реальном времени и создает оповещения о подозрительных действиях. Эти сведения можно использовать для быстрого устранения проблем безопасности и повышения безопасности контейнеров. Защита от угроз на уровне кластера обеспечивается агентом Defender и анализом журналов аудита Kubernetes. Примерами событий на этом уровне могут служить представление панелей мониторинга Kubernetes, создание ролей с высоким уровнем привилегий и создание конфиденциальных подключений.

Defender для контейнеров также включает обнаружение угроз на уровне узла с помощью более чем 60 аналитики, ИИ и аномалий с поддержкой Kubernetes на основе рабочей нагрузки среды выполнения.

Defender для облака отслеживает уязвимую зону многооблачных развертываний Kubernetes на основе матрицы MITRE ATT&CK® для контейнеров, разработанной Центром Threat-Informed обороны в тесном сотрудничестве с корпорацией Майкрософт.

Вопросы и ответы. Defender для контейнеров

Каковы варианты включения нового плана в большом масштабе?

Для включения Defender для контейнеров в большом масштабе можно использовать Политику Azure Configure Microsoft Defender for Containers to be enabled. Вы также можете просмотреть все доступные параметры для включения Microsoft Defender для контейнеров.

Поддерживает ли Microsoft Defender для контейнеров кластеры AKS с масштабируемыми наборами виртуальных машин?

Да.

Поддерживает ли Microsoft Defender для контейнеров AKS без масштабируемого набора (по умолчанию)?

Нет. Поддерживаются только кластеры Служба Azure Kubernetes (AKS), использующие Масштабируемые наборы виртуальных машин для узлов.

Нужно ли устанавливать расширение виртуальной машины Log Analytics в узлах AKS для обеспечения безопасности?

Нет, AKS является управляемой службой, и управление ресурсами IaaS не поддерживается. Расширение виртуальной машины Log Analytics не требуется. Его использование может привести к дополнительным затратам.

Подробнее

Дополнительные сведения о Defender для контейнеров см. в таких блогах:

Состояние выпуска Defender для контейнеров разделяется на два аспекта: среды и функции. Пример:

  • Рекомендации уровня управления Kubernetes для кластеров AKS являются общедоступными.
  • Рекомендации уровня управления Kubernetes для кластеров EKS доступны в предварительной версии.

Чтобы просмотреть состояние полной матрицы функций и сред, ознакомьтесь со статьей Доступность функций Defender для контейнеров.

Дальнейшие действия

В этой обзорной статье вы получили сведения об основных элементах безопасности контейнеров, которые предоставляет Microsoft Defender для облака. Сведения о включении плана см. в следующих статьях: