Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Kapsayıcılar için Microsoft Defender, kapsayıcılı varlıklarınızın güvenliğini geliştiren, izleyen ve koruyan buluta özel bir çözümdür. Bu varlıklar Kubernetes kümelerini, düğümlerini, iş yüklerini, kayıt defterlerini, görüntüleri ve daha fazlasını içerir. Çok bulutlu ve şirket içi ortamlardaki uygulamaları korur.
Kapsayıcılar için Defender, kapsayıcı güvenliğinin beş temel etki alanında size yardımcı olur:
Güvenlik duruşu yönetimi bulut API'leri, Kubernetes API'leri ve Kubernetes iş yükleri için sürekli izleme çalıştırır. Bulut kaynaklarını keşfeder, kapsamlı envanter özellikleri sağlar, risk azaltma yönergeleriyle yanlış yapılandırmaları algılar, bağlamsal risk değerlendirmesi sağlar ve bulut için Defender güvenlik gezgini aracılığıyla kullanıcıların gelişmiş risk avcılığı özellikleri gerçekleştirmesini sağlar.
Güvenlik açığı değerlendirmesi - düzeltme yönergeleri, sıfır yapılandırma, günlük yeniden taramalar, işletim sistemi ve dil paketleri için kapsam ve kötüye kullanılabilirlik içgörüleri ile kapsayıcı kayıt defteri görüntüleri, kapsayıcıları çalıştırma ve desteklenen Kubernetes düğümleri için aracısız güvenlik açığı değerlendirmesi gerçekleştirir. Güvenlik açığı bulguları yapıtı bütünlük ve özgünlük için bir Microsoft sertifikasıyla imzalanır ve doğrulama gereksinimleri için kayıt defterindeki kapsayıcı görüntüsüyle ilişkilendirilir.
Microsoft'un önde gelen tehdit bilgileri tarafından desteklenen Kubernetes kümeleri, düğümleri ve iş yükleri için zengin bir tehdit algılama paketi olan çalışma zamanı tehdit koruması , riski ve ilgili bağlamı ve otomatik yanıtı kolayca anlamak için MITRE ATT&CK çerçevesine eşleme sağlar. Güvenlik operatörleri, Microsoft Defender XDR portalı aracılığıyla Kubernetes hizmetlerine yönelik tehditleri de araştırabilir ve yanıtlayabilir.
Kapsayıcılar yazılım tedarik zinciri koruması - Derlemeden dağıtıma güvenlik denetimleri ekleyerek yazılım tedarik zincirinizi güçlendirir. Bu, geliştiricilerin kapsayıcı görüntülerini doğrudan CI/CD işlem hatlarında (GitHub Actions veya Azure Pipelines gibi) veya yerel geliştirme ortamlarında güvenlik açıklarına ve yanlış yapılandırmalara karşı taramalarına olanak tanıyan Bulut için Microsoft Defender CLI'yı içerir. Güvenliği sola kaydırarak bulgular erken ortaya çıkar ve görüntüler kayıt defterine gönderilmeden önce düzeltmeye olanak sağlar. Çözüm ayrıca bütünlük ve orijinallik sağlamak için güvenlik açığı yapıtlarını Microsoft sertifikalarıyla imzalar ve bunları doğrulama amacıyla görüntülerle ilişkilendirir. Riskli görüntüleri engelleyen kurallar oluşturarak ve dağıtımları bu kurallara göre değerlendirerek ortamlarınıza güvenlik açıklarının eklenmesini önleyerek kurumsal güvenlik ilkelerini zorunlu kılabilirsiniz. Daha fazla bilgi için Kubernetes kapsayıcı görüntüleri için geçitli dağıtım'ye bakın.
Dağıtım ve izleme - Eksik algılayıcılar için Kubernetes kümelerinizi izler ve sensör tabanlı özellikler için sorunsuz bir ölçekte dağıtım, standart Kubernetes izleme araçları için destek ve izlenmeyen kaynakların yönetimi sağlar.
Bulut Alanındaki Defender video serisinden şöyle daha fazla bilgi edinebilirsiniz: Kapsayıcılar için Microsoft Defender hakkındaki bu videoyu izleyerek.
Güvenlik duruşu yönetimi
Aracısız özellikler
Kubernetes için aracısız bulma - Kubernetes kümelerinizin, yapılandırmalarının ve dağıtımlarının API tabanlı iz bırakmadan keşfini sağlar.
Aracısız güvenlik açığı değerlendirmesi - Kayıt defteri ve çalışma zamanı önerileri, yeni görüntülerin hızlı taramaları, sonuçların günlük yenilenmesi, kötüye kullanım içgörüleri ve daha fazlası dahil olmak üzere küme düğümleri ve tüm kapsayıcı görüntüleri için güvenlik açığı değerlendirmesi sağlar. Güvenlik açığı bilgileri, bağlamsal risk değerlendirmesi ve saldırı yollarının ve avlanma özelliklerinin hesaplanması için güvenlik grafiğine eklenir.
Kapsamlı envanter özellikleri: Varlıklarınızı kolayca izlemek ve yönetmek için güvenlik gezgini aracılığıyla kaynakları, podları, hizmetleri, depoları, görüntüleri ve yapılandırmaları keşfetmenizi sağlar.
Gelişmiş risk avcılığı - Güvenlik yöneticilerinin kapsayıcılı varlıklarındaki duruş sorunlarını, güvenlik gezginindeki sorgular (yerleşik ve özel) ve güvenlik içgörüleri aracılığıyla etkin bir şekilde avlamasını sağlar
Denetim düzlemi sağlamlaştırma : Kümelerinizin yapılandırmalarını sürekli değerlendirir ve bunları aboneliklerinize uygulanan girişimlerle karşılaştırır. Yanlış yapılandırmalar bulduğunda, Bulut için Defender Bulut için Defender Öneriler sayfasında kullanılabilen güvenlik önerileri oluşturur. Öneriler, sorunları araştırmanıza ve düzeltmenize olanak sağlar.
Varlık envanterinde veya öneriler sayfasında kapsayıcıyla ilgili kaynaklarınız için bekleyen önerileri gözden geçirmek için kaynak filtresini kullanabilirsiniz:
Bu yeteneğe dahil edilen ayrıntılar için kapsayıcı önerilerini gözden geçirin ve "Kontrol düzlemi" türüne sahip önerilere bakın.
Algılayıcı tabanlı özellikler
İkili kayma algılama - Kapsayıcılar için Defender, kapsayıcılar içindeki yetkisiz dış işlemleri algılayarak olası güvenlik tehditleri hakkında sizi uyaran algılayıcı tabanlı bir özellik sağlar. Hangi koşullar altında uyarıların oluşturulması gerektiğini belirtmek için kayma ilkeleri tanımlayabilir ve yasal etkinliklerle olası tehditler arasında ayrım yapmaya yardımcı olabilirsiniz. Daha fazla bilgi için bkz. İkili kayma koruması (önizleme).
Kubernetes veri düzlemi sağlamlaştırma - Kubernetes kapsayıcılarınızın iş yüklerini en iyi yöntem önerileriyle korumak için Kubernetes için Azure İlkesi yükleyebilirsiniz. Bulut için Defender için izleme bileşenleri hakkında daha fazla bilgi edinin.
Kubernetes kümeniz için tanımlanan ilkelerle, Kubernetes API sunucusuna yapılan her istek, kümede kalıcı hale gelmeden önce önceden tanımlanmış en iyi yöntemler kümesine göre izlenir. Daha sonra en iyi yöntemleri uygulamak ve bunları gelecekteki iş yükleri için zorunlu kılmak üzere yapılandırabilirsiniz.
Örneğin, ayrıcalıklı kapsayıcıların oluşturulmaması gerektiğini zorunlu kılabilir ve gelecekteki bu tür istekleri engelleyebilirsiniz.
Kubernetes veri düzlemi sağlamlaştırma hakkında daha fazla bilgi edinebilirsiniz.
Güvenlik açığı değerlendirmesi
Kapsayıcılar için Defender, aracısız güvenlik açığı değerlendirmesi sağlamak için küme düğümü işletim sistemi ve uygulama yazılımı, Azure Container Registry (ACR), Amazon AWS Elastic Container Registry (ECR), Google Artifact Registry (GAR), Google Container Registry (GCR) ve desteklenen dış görüntü kayıt defterlerindeki kapsayıcı görüntülerini tarar .
Artık AKS ortamında genel önizleme için Kapsayıcılar için Defender, kapsayıcının görüntü kayıt defterinden bağımsız olarak güncelleştirilmiş bir güvenlik açığı değerlendirmesi sağlamak için çalışan tüm kapsayıcıları günlük olarak tarar.
Microsoft Defender Güvenlik Açığı Yönetimi tarafından desteklenen güvenlik açığı bilgileri bağlamsal risk, saldırı yollarının hesaplanması ve tehdit avcılığı özellikleri için bulut güvenlik grafiğine eklenir.
Küme düğümleri için güvenlik açığı değerlendirmesi de dahil olmak üzere Kapsayıcılar için Defender tarafından desteklenen ortamlarayönelik güvenlik açığı değerlendirmeleri hakkında daha fazla bilgi edinin.
Kubernetes düğümleri ve kümeleri için çalışma zamanı koruması
Kapsayıcılar için Defender, desteklenen kapsayıcılı ortamlar için gerçek zamanlı tehdit koruması sağlar ve şüpheli etkinlikler için uyarılar oluşturur. Bu bilgileri kullanarak güvenlik sorunlarını hızlı bir şekilde çözebilir ve kapsayıcılarınızın güvenlik düzeyini artırabilirsiniz.
Kubernetes için küme, düğüm ve iş yükü düzeylerinde tehdit koruması sağlanır. Tehditleri algılamak için hem Defender algılayıcısı gerektiren algılayıcı tabanlı kapsama alanı hem de Kubernetes denetim günlüklerinin analizine dayalı aracısız kapsam kullanılır. Güvenlik uyarıları yalnızca aboneliğinizde Kapsayıcılar için Defender'ı etkinleştirdikten sonra gerçekleşen eylemler ve dağıtımlar için tetiklenir.
Kapsayıcılar için Microsoft Defender'ın izlediği güvenlik olaylarına örnek olarak şunlar verilebilir:
- Açıkta olan Kubernetes panoları
- Yüksek ayrıcalıklı roller oluşturma
- Hassas monte elemanları oluşturma
Bir uyarı benzetimi aracı da dahil olmak üzere Kapsayıcılar için Defender tarafından algılanan uyarılar hakkında daha fazla bilgi için bkz. Kubernetes kümeleri için uyarılar.
Kapsayıcılar için Defender, çalışma zamanı iş yükünüz temelinde 60'tan fazla Kubernetes kullanan analiz, yapay zeka ve anomali algılaması ile tehdit algılamayı içerir.
Bulut için Defender, Microsoft ile yakın işbirliği içinde Threat-Informed Savunma Merkezi tarafından geliştirilen bir çerçeve olan Kapsayıcılar için MITRE ATT&CK® matrisini temel alarak çok bulutlu Kubernetes dağıtımlarının saldırı yüzeyini izler.
Bulut için Defender, Microsoft Defender XDR ile tümleşiktir. Kapsayıcılar için Defender etkinleştirildiğinde, güvenlik operatörleri desteklenen Kubernetes hizmetlerindeki güvenlik sorunlarını araştırmak ve yanıtlamak için Defender XDR kullanabilir.
Daha fazla bilgi edinin
Kapsayıcılar için Defender hakkında daha fazla bilgiyi aşağıdaki bloglarda bulabilirsiniz:
Sonraki adımlar
Bu genel bakışta, Microsoft Defender for Cloud'daki kapsayıcı güvenliğinin temel unsurları hakkında bilgi edindiniz. Planı etkinleştirmek için bkz:
- Kapsayıcılar için Defender'ın etkinleştirilmesi
- Kapsayıcılar için Defender hakkında sık sorulan sorulara göz atın.