Обзор Microsoft Defender для контейнеров

Завершено

Microsoft Defender для контейнеров — это решение для защиты контейнеров, ориентированное на облако.

Функции Defender для контейнеров

  • Защита среды — Defender для контейнеров защищает кластеры Kubernetes независимо от того, работают ли они в службе Azure Kubernetes, Локальной среде Kubernetes или IaaS или Amazon EKS. Непрерывно оценивая кластеры, Defender для контейнеров обеспечивает видимость неправильных конфигураций и рекомендаций для устранения выявленных угроз.

  • Оценка уязвимостей — средства оценки уязвимостей и управления для образов, хранящихся в реестрах ACR и работающих в службе Azure Kubernetes.

  • Защита узлов и кластеров от угроз в реальном времени — защита кластеров и узлов Linux в реальном времени создает оповещения безопасности для подозрительных действий.

Архитектура

Архитектура элементов, необходимых для полного диапазона защиты, предоставляемых Defender для контейнеров, зависит от того, где размещаются кластеры Kubernetes.

Defender для контейнеров защищает кластеры независимо от того, запущены ли они в:

  • Служба Azure Kubernetes (AKS). Это управляемая служба Майкрософт для разработки и развертывания контейнерных приложений, а также управления ими.

  • Amazon Elastic Kubernetes Service (EKS) в подключенной учетной записи Amazon Web Services (AWS) — управляемая служба Amazon для запуска Kubernetes в AWS без необходимости устанавливать, эксплуатировать и поддерживать собственную плоскость управления Kubernetes или узлы.

  • Неуправляемое распределение Kubernetes (с поддержкой Azure Arc Kubernetes) — сертифицированные кластеры Kubernetes в Cloud Native Computing Foundation (CNCF), размещенные локально или в IaaS.

Defender для облака постоянно оценивает конфигурации кластеров и сравнивает их с инициативами, применяемыми к подпискам. При обнаружении неправильных конфигураций Defender для Облака создает рекомендации по безопасности. Страница рекомендаций Defender для облака позволяет просматривать рекомендации и устранять проблемы.

Для кластеров Kubernetes в EKS необходимо подключить учетную запись AWS к Microsoft Defender для облака с помощью страницы параметров среды (как описано в разделе "Подключение учетных записей AWS к Microsoft Defender для облака"). Затем убедитесь, что вы включили план CSPM.

Закаливание среды

Чтобы получить пакет рекомендаций для защиты рабочих нагрузок контейнеров Kubernetes, установите политику Azure для Kubernetes. По умолчанию автоматическая подготовка включена при включении Защитника для контейнеров.

С помощью надстройки в кластере AKS все запросы к серверу API Kubernetes будут отслеживаться на соответствие предопределенному набору рекомендаций перед тем как быть сохранёнными в кластере. Вы можете настроить принудительное применение таких рекомендаций для всех будущих рабочих нагрузок.

Например, можно запретить создание привилегированных контейнеров, и тогда любой запрос такого типа будет блокироваться.

Просмотр уязвимостей для запуска образов

Defender для контейнеров расширяет возможности сканирования реестра плана Defender для реестров контейнеров, вводя предварительную функцию видимости уязвимостей во время выполнения, поддерживаемую профилем Defender или расширением.

Новая рекомендация: "у работающих образов контейнеров должны быть устранены уязвимости", показывает только уязвимости у работающих образов. Рекомендация опирается на профиль безопасности Защитника или расширение для обнаружения того, какие изображения в настоящее время выполняются. Эти рекомендации объединяют образы с уязвимостями и содержат информацию об обнаруженных проблемах и способах их исправления. Профиль Защитника или расширение используются для получения информации об уязвимых контейнерах, которые активны.

Эта рекомендация показывает работающие образы и их уязвимости, основанные на образах ACR. Образы, развернутые из реестра, отличного от ACR, не будут проверяться и будут отображаться на вкладке "Неприменимо".

Защита во время выполнения для узлов и кластеров Kubernetes

Defender для облака обеспечивает защиту от угроз в режиме реального времени для контейнерных сред и создает оповещения для подозрительных действий. Эти сведения можно использовать для быстрого устранения проблем безопасности и повышения безопасности контейнеров.

Защита от угроз на уровне кластера предоставляется профилем Защитника и анализом журналов аудита Kubernetes. Примеры событий на этом уровне включают предоставление панелей мониторинга Kubernetes, создание ролей с высоким уровнем привилегий и создание конфиденциальных подключений.

Кроме того, обнаружение угроз выходит за рамки уровня управления Kubernetes. Defender для контейнеров включает обнаружение угроз на уровне хоста с более чем 60 аналитических инструментов, ИИ и средствами обнаружения аномалий, основанные на вашем эксплуатационном рабочем процессе. Наша международная команда специалистов по безопасности постоянно отслеживает ландшафт угроз. Они добавляют оповещения и уязвимости для конкретного контейнера по мере обнаружения. Вместе это решение отслеживает растущую область атак нескольких облачных развертываний Kubernetes и отслеживает матрицу MITRE ATT&CK® для контейнеров. Платформа, разработанная Центром Threat-Informed обороны в тесном партнерстве с Корпорацией Майкрософт и другими партнерами.