Översikt över containersäkerhet i Microsoft Defender för containrar

  • Artikel

Microsoft Defender för containrar är en molnbaserad lösning för att förbättra, övervaka och upprätthålla säkerheten för dina containerbaserade tillgångar (Kubernetes-kluster, Kubernetes-noder, Kubernetes-arbetsbelastningar, containerregister, containeravbildningar med mera) och deras program i miljöer med flera moln och lokalt.

Defender for Containers hjälper dig med fyra kärndomäner för containersäkerhet:

  • Hantering av säkerhetsstatus – utför kontinuerlig övervakning av moln-API:er, Kubernetes-API:er och Kubernetes-arbetsbelastningar för att identifiera molnresurser, tillhandahålla omfattande inventeringsfunktioner, identifiera felkonfigurationer och tillhandahålla riktlinjer för att minimera dem, tillhandahålla kontextuell riskbedömning och ge användarna möjlighet att utföra förbättrade riskjaktfunktioner via Defender för molnet säkerhetsutforskaren.

  • Sårbarhetsbedömning – ger agentlös sårbarhetsbedömning för Azure, AWS och GCP med riktlinjer för reparation, noll konfiguration, dagliga genomsökningar, täckning för OS- och språkpaket och insikter om sårbarhet.

  • Skydd mot körningshot – en omfattande svit för hotidentifiering för Kubernetes-kluster, noder och arbetsbelastningar, som drivs av Microsofts ledande hotinformation, tillhandahåller mappning till MITRE ATT&CK-ramverket för enkel förståelse av risker och relevant kontext, automatiserat svar och SIEM/XDR-integrering.

  • Distribution och övervakning – Övervakar dina Kubernetes-kluster för saknade sensorer och tillhandahåller friktionsfri distribution i stor skala för sensorbaserade funktioner, stöd för kubernetes-standardövervakningsverktyg och hantering av oövervakade resurser.

Du kan lära dig mer genom att titta på den här videon från Defender för molnet i videoserien Fält: Microsoft Defender för containrar.

Tillgänglighet för Microsoft Defender for Containers

Aspekt Details
Versionstillstånd: Allmän tillgänglighet (GA)
Vissa funktioner är i förhandsversion. En fullständig lista finns i Stödmatrisen för containrar i Defender för molnet
Funktion tillgänglig Mer information om funktionsversionstillstånd och tillgänglighet finns i stödmatrisen containrar i Defender för molnet.
Prissättning: Microsoft Defender för containrar faktureras enligt prissidan
Nödvändiga roller och behörigheter: • Information om hur du distribuerar nödvändiga komponenter finns i behörigheterna för var och en av komponenterna
Säkerhetsadministratören kan stänga aviseringar
Säkerhetsläsaren kan visa sårbarhetsbedömningsresultat
Se även Roller för reparations- och Azure Container Registry-roller och -behörigheter
Moln: Visa stödmatrisen Containrar i Defender för molnet för att se molntillgänglighet.

Hantering av säkerhetsstatus

Agentlösa funktioner

  • Agentlös identifiering för Kubernetes – ger noll fotavtryck, API-baserad identifiering av dina Kubernetes-kluster, deras konfigurationer och distributioner.

  • Utvärdering av agentlös sårbarhet – ger sårbarhetsbedömning för alla containeravbildningar, inklusive rekommendationer för register och körning, snabbsökningar av nya avbildningar, daglig uppdatering av resultat, insikter om sårbarhet med mera. Sårbarhetsinformation läggs till i säkerhetsdiagrammet för kontextuell riskbedömning och beräkning av attackvägar och jaktfunktioner.

  • Omfattande inventeringsfunktioner – gör att du kan utforska resurser, poddar, tjänster, lagringsplatser, avbildningar och konfigurationer via säkerhetsutforskaren för att enkelt övervaka och hantera dina tillgångar.

  • Förbättrad riskjakt – gör det möjligt för säkerhetsadministratörer att aktivt söka efter hållningsproblem i sina containerbaserade tillgångar via frågor (inbyggda och anpassade) och säkerhetsinsikter i säkerhetsutforskaren

  • Härdning av kontrollplan – utvärderar kontinuerligt konfigurationerna för dina kluster och jämför dem med de initiativ som tillämpas på dina prenumerationer. När den hittar felkonfigurationer genererar Defender för molnet säkerhetsrekommendationer som är tillgängliga på Defender för molnet Rekommendationer sidan. Med rekommendationerna kan du undersöka och åtgärda problem.

    Du kan använda resursfiltret för att granska de utestående rekommendationerna för dina containerrelaterade resurser, oavsett om de finns i tillgångslager eller på sidan med rekommendationer:

    Skärmbild som visar var resursfiltret finns.

    Mer information om den här funktionen finns i avsnittet containrar i referenstabellen för rekommendationer och letar efter rekommendationer med typen "Kontrollplan"

Sensorbaserade funktioner

Kubernetes dataplanshärdning – För att skydda arbetsbelastningarna för dina Kubernetes-containrar med rekommenderade metodtips kan du installera Azure Policy for Kubernetes. Läs mer om att övervaka komponenter för Defender för molnet.

Med tillägget i kubernetes-klustret övervakas varje begäran till Kubernetes API-servern mot den fördefinierade uppsättningen metodtips innan den sparas i klustret. Du kan sedan konfigurera den för att tillämpa bästa praxis och ge dem mandat för framtida arbetsbelastningar.

Du kan till exempel kräva att privilegierade containrar inte ska skapas och eventuella framtida begäranden om detta blockeras.

Du kan lära dig mer om Kubernetes dataplanshärdning.

Sårbarhetsbedömning

Defender for Containers söker igenom containeravbildningarna i Azure Container Registry (ACR), Amazon AWS Elastic Container Registry (ECR), Google Artifact Registry (GAR) och Google Container Registry (GCR) för att tillhandahålla agentlös sårbarhetsbedömning för dina containeravbildningar, inklusive register- och körningsrekommendationer, reparationsvägledning, snabbsökningar av nya avbildningar, insikter om verkliga kryphål, insikter om sårbarheter med mera.

Sårbarhetsinformation som drivs av Microsoft Defender – hantering av säkerhetsrisker läggs till i molnsäkerhetsdiagrammet för kontextuell risk, beräkning av attackvägar och jaktfunktioner.

Läs mer om:

Körningsskydd för Kubernetes-noder och -kluster

Defender for Containers ger skydd mot hot i realtid för containerbaserade miljöer som stöds och genererar aviseringar för misstänkta aktiviteter. Du kan använda den här informationen för att snabbt åtgärda säkerhetsproblem och förbättra säkerheten för dina containrar.

Hotskydd tillhandahålls för Kubernetes på klusternivå, nodnivå och arbetsbelastningsnivå och innehåller både sensorbaserad täckning som kräver Defender-sensorn och agentlös täckning som baseras på analys av Kubernetes-granskningsloggarna. Säkerhetsaviseringar utlöses endast för åtgärder och distributioner som inträffar när du har aktiverat Defender för containrar i din prenumeration.

Exempel på säkerhetshändelser som Övervakare av Microsoft Defenders for Containers är:

  • Exponerade Kubernetes-instrumentpaneler
  • Skapa högprivilegierade roller
  • Skapande av känsliga monteringar

Du kan visa säkerhetsaviseringar genom att välja panelen Säkerhetsaviseringar överst på Defender för molnet översiktssida eller länken i sidofältet.

Skärmbild som visar hur du kommer till sidan med säkerhetsaviseringar från Microsoft Defender för molnet översiktssida.

Sidan säkerhetsaviseringar öppnas:

Skärmbild som visar var du kan visa listan med aviseringar.

Säkerhetsaviseringar för körningsarbetsbelastning i klustren kan identifieras av prefixet K8S.NODE_ för aviseringstypen. En fullständig lista över aviseringar på klusternivå finns i referenstabellen med aviseringar.

Defender for Containers innehåller även hotidentifiering på värdnivå med över 60 Kubernetes-medvetna analys-, AI- och avvikelseidentifieringar baserat på din körningsarbetsbelastning.

Defender för molnet övervakar attackytan för Kubernetes-distributioner i flera moln baserat på MITRE ATT&CK-matris® för containrar, ett ramverk som utvecklats av Center for Threat-Informed Defense i nära samarbete med Microsoft.

Läs mer

Läs mer om Defender för containrar i följande bloggar:

Nästa steg

I den här översikten har du lärt dig om kärnelementen i containersäkerhet i Microsoft Defender för molnet. Information om hur du aktiverar planen finns i: