Översikt över Microsoft Defender för containrar

Microsoft Defender för containrar är den molnbaserade lösningen som används för att skydda dina containrar så att du kan förbättra, övervaka och upprätthålla säkerheten för dina kluster, containrar och deras program.

Defender för containrar hjälper dig med de tre grundläggande aspekterna av containersäkerhet:

  • Miljöhärdning – Defender för containrar skyddar dina Kubernetes-kluster oavsett om de körs på Azure Kubernetes Service, Kubernetes lokalt/IaaS eller Amazon EKS. Defender för containrar utvärderar kontinuerligt kluster för att ge insyn i felkonfigurationer och riktlinjer för att minimera identifierade hot.

  • Sårbarhetsbedömning – Verktyg för sårbarhetsbedömning och hantering av avbildningar som lagras i ACR-register och körs i Azure Kubernetes Service.

  • Skydd mot körningshot för noder och kluster – Hotskydd för kluster och Linux-noder genererar säkerhetsaviseringar för misstänkta aktiviteter.

Du kan lära dig mer genom att titta på den här videon från videoserien Defender för molnet i fältet: Microsoft Defender för containrar.

Tillgänglighet för Microsoft Defender for Containers

Aspekt Information
Versionstillstånd: Allmän tillgänglighet (GA)
Vissa funktioner är i förhandsversion. En fullständig lista finns i avsnittet om tillgänglighet .
Funktionstillgänglighet Mer information om funktionsversionstillstånd och tillgänglighet finns i avsnittet om tillgänglighet .
Prissättning: Microsoft Defender för containrar debiteras enligt prissidan
Nödvändiga roller och behörigheter: • Information om hur du distribuerar nödvändiga komponenter finns i behörigheterna för var och en av komponenterna
Säkerhetsadministratören kan avvisa aviseringar
Säkerhetsläsaren kan visa sårbarhetsbedömningsresultat
Se även Roller för reparation och Azure Container Registry roller och behörigheter
Moln: Azure:
Kommersiella moln
Nationella moln (Azure Government, Azure China 21Vianet) (förutom förhandsversionsfunktioner))

Icke-Azure:
Anslutna AWS-konton (förhandsversion)
Anslutna GCP-projekt (förhandsversion)
Lokal/IaaS stöds via Arc-aktiverat Kubernetes (förhandsversion).

Mer information om finns i avsnittet om tillgänglighet.

Härdning

Kontinuerlig övervakning av Kubernetes-kluster – oavsett var de finns

Defender för molnet utvärderar kontinuerligt konfigurationerna av dina kluster och jämför dem med de initiativ som tillämpas på dina prenumerationer. När den hittar felkonfigurationer genererar Defender för molnet säkerhetsrekommendationer som är tillgängliga på sidan Rekommendationer för Defender för molnet. Med rekommendationerna kan du undersöka och åtgärda problem.

Du kan använda resursfiltret för att granska de utestående rekommendationerna för dina containerrelaterade resurser, oavsett om de finns i tillgångslager eller på sidan med rekommendationer:

Skärmbild som visar var resursfiltret finns.

Mer information om de rekommendationer som kan visas för den här funktionen finns i beräkningsavsnittet i referenstabellen för rekommendationer.

Härdning av Kubernetes-dataplan

För att skydda arbetsbelastningarna för dina Kubernetes-containrar med skräddarsydda rekommendationer kan du installera Azure Policy för Kubernetes. Läs mer om att övervaka komponenter för Defender för molnet.

Med tillägget på ditt AKS-kluster övervakas varje begäran till Kubernetes API-servern mot den fördefinierade uppsättningen med metodtips innan de sparas i klustret. Du kan sedan konfigurera den för att tillämpa bästa praxis och ge dem mandat för framtida arbetsbelastningar.

Du kan till exempel kräva att privilegierade containrar inte ska skapas och eventuella framtida begäranden om att göra det blockeras.

Du kan lära dig mer om Härdning av Kubernetes-dataplan.

Sårbarhetsbedömning

Defender for Containers söker igenom containrarna i Azure Container Registry (ACR) och Amazon AWS Elastic Container Registry (ECR) för att meddela dig om det finns kända säkerhetsrisker i dina avbildningar. När genomsökningen är klar innehåller Defender for Containers information om varje säkerhetsrisk som identifieras, en säkerhetsklassificering för varje säkerhetsrisk som identifieras och vägledning om hur du åtgärdar problem och skyddar sårbara attackytor.

Läs mer om:

Körningsskydd för Kubernetes-noder och -kluster

Defender för containrar ger skydd mot hot i realtid för dina containerbaserade miljöer och genererar aviseringar för misstänkta aktiviteter. Du kan använda den här informationen för att snabbt åtgärda säkerhetsproblem och förbättra säkerheten för dina containrar. Hotskydd på klusternivå tillhandahålls av Defender-agenten och analys av Kubernetes-granskningsloggarna. Exempel på händelser på den här nivån är exponerade Kubernetes-instrumentpaneler, skapande av högprivilegierade roller och skapandet av känsliga monteringar.

Defender för containrar innehåller även hotidentifiering på värdnivå med över 60 Kubernetes-medvetna analyser, AI och avvikelseidentifieringar baserat på din körningsarbetsbelastning.

Defender för molnet övervakar attackytan för Kubernetes-distributioner med flera moln baserat på MITRE ATT&CK-matrisen® för containrar, ett ramverk som utvecklats av Center for Threat-Informed Defense i nära samarbete med Microsoft.

Vanliga frågor och svar – Defender för containrar

Vilka är alternativen för att aktivera den nya planen i stor skala?

Du kan använda Azure Policy Configure Microsoft Defender for Containers to be enabledför att aktivera Defender för containrar i stor skala. Du kan också se alla alternativ som är tillgängliga för att aktivera Microsoft Defender för containrar.

Stöder Microsoft Defender för containrar AKS-kluster med VM-skalningsuppsättningar?

Ja.

Stöder Microsoft Defender för containrar AKS utan skalningsuppsättning (standard)?

Nej. Endast Azure Kubernetes Service kluster (AKS) som använder Virtual Machine Scale Sets för noderna stöds.

Behöver jag installera Log Analytics VM-tillägget på mina AKS-noder för säkerhetsskydd?

Nej, AKS är en hanterad tjänst och manipulering av IaaS-resurserna stöds inte. Log Analytics VM-tillägget behövs inte och kan resultera i extra avgifter.

Läs mer

Läs mer om Defender för containrar i följande bloggar:

Versionstillståndet för Defender för containrar är uppdelat efter två dimensioner: miljö och funktion. Så, till exempel:

  • Kubernetes-dataplansrekommendationer för AKS-kluster är allmänt tillgängliga
  • Kubernetes-dataplansrekommendationer för EKS-kluster är förhandsversioner

Information om hur du visar status för den fullständiga matrisen med funktioner och miljöer finns i Microsoft Defender för tillgänglighet för containrar.

Nästa steg

I den här översikten har du lärt dig om kärnelementen för containersäkerhet i Microsoft Defender för molnet. Information om hur du aktiverar planen finns i: