Kapsayıcılar için Microsoft Defender'u anlama
Kapsayıcılar için Microsoft Defender, kapsayıcılarınızın güvenliğini sağlamaya yönelik bulutta yerel bir çözümdür.
Kapsayıcılar için Defender özellikleri
Ortam sağlamlaştırma - Kapsayıcılar için Defender, Azure Kubernetes Service, şirket içi Kubernetes / IaaS veya Amazon EKS üzerinde çalışan Kubernetes kümelerinizi korur. Kapsayıcılar için Defender, kümeleri sürekli değerlendirerek, tanımlanan tehditlerin azaltılmasına yardımcı olmak için yanlış yapılandırmalar ve yönergeler hakkında görünürlük sağlar.
Güvenlik açığı değerlendirmesi - ACR kayıt defterlerinde depolanan ve Azure Kubernetes Service'te çalışan görüntüler için güvenlik açığı değerlendirmesi ve yönetim araçları.
Düğümler ve kümeler için çalışma zamanı tehdit koruması - Kümeler ve Linux düğümleri için tehdit koruması, şüpheli etkinlikler için güvenlik uyarıları oluşturur.
Mimari
Kapsayıcılar için Defender tarafından sağlanan tüm korumalar için gereken öğelerin mimarisi, Kubernetes kümelerinizin barındırıldığı yere bağlı olarak değişir.
Kapsayıcılar için Defender aşağıdaki ortamlarda çalışan kümelerinizi korur:
Azure Kubernetes Service (AKS) - Microsoft'un kapsayıcılı uygulamaları geliştirmeye, dağıtmaya ve yönetmeye yönelik yönetilen hizmeti.
Bağlı bir Amazon Web Services (AWS) hesabında Amazon Elastic Kubernetes Service (EKS) - Amazon'un Kendi Kubernetes denetim düzleminizi veya düğümlerinizi yüklemenize, çalıştırmanıza ve bakımını yapmanıza gerek kalmadan AWS üzerinde Kubernetes çalıştırmaya yönelik yönetilen hizmeti.
Yönetilmeyen bir Kubernetes dağıtımı (Azure Arc özellikli Kubernetes kullanılarak) - Şirket içinde veya IaaS'de barındırılan Cloud Native Computing Foundation (CNCF) sertifikalı Kubernetes kümeleri.
Bulut için Defender kümelerinizin yapılandırmalarını sürekli değerlendirir ve bunları aboneliklerinize uygulanan girişimlerle karşılaştırır. Yanlış yapılandırmalar bulduğunda Bulut için Defender güvenlik önerileri oluşturur. Önerileri görüntülemek ve sorunları düzeltmek için Bulut için Defender öneriler sayfasını kullanın.
EKS'deki Kubernetes kümeleri için, AWS hesabınızı ortam ayarları sayfasından (AWS hesaplarınızı Bulut için Microsoft Defender Bağlan) aracılığıyla Bulut için Microsoft Defender bağlamanız gerekir. Ardından CSPM planını etkinleştirdiğinizden emin olun.
Ortam sağlamlaştırma
Kubernetes kapsayıcılarınızın iş yüklerini korumaya yönelik bir öneri paketi almak için Kubernetes için Azure İlkesi yükleyin. Varsayılan olarak, Kapsayıcılar için Defender'ı etkinleştirdiğinizde otomatik sağlama etkinleştirilir.
AKS kümenizdeki eklentiyle, Kubernetes API sunucusuna yapılan her istek, kümede kalıcı hale gelmeden önce önceden tanımlanmış en iyi yöntemler kümesine göre izlenir. Daha sonra en iyi yöntemleri zorunlu kılmak ve bunları gelecekteki iş yükleri için zorunlu kılmak üzere yapılandırabilirsiniz.
Örneğin, ayrıcalıklı kapsayıcıların oluşturulmaması gerektiğini ve gelecekte yapılacak isteklerin engellenmesini zorunlu kılınabilirsiniz.
Görüntüleri çalıştırma güvenlik açıklarını görüntüleme
Kapsayıcılar için Defender, Defender profili veya bir uzantıyla desteklenen güvenlik açıklarının çalışma zamanı görünürlüğünün önizleme özelliğini kullanıma sunarak kapsayıcı kayıt defterleri için Defender planının kayıt defteri tarama özelliklerini genişletir.
"Kapsayıcı görüntülerini çalıştırmanın güvenlik açığı bulguları çözümlenmelidir" adlı yeni öneri yalnızca görüntüleri çalıştırmaya yönelik güvenlik açıklarını gösterir. Öneri, hangi görüntülerin çalışmakta olduğunu keşfetmek için Defender güvenlik profiline veya uzantısına dayanır. Bu öneri, güvenlik açıkları olan çalışan görüntüleri gruplandırır ve bulunan sorunlar ve bunların nasıl düzeltildiği hakkında ayrıntılı bilgi sağlar. Defender profili veya uzantısı, etkin olan savunmasız kapsayıcılara görünürlük sağlamak için kullanılır.
Bu öneri, çalışan görüntüleri ve ACR görüntülerine dayalı güvenlik açıklarını gösterir. ACR olmayan bir kayıt defterinden dağıtılan görüntüler taranmayacak ve Geçerli değil sekmesinde görünecektir.
Kubernetes düğümleri ve kümeleri için çalışma zamanı koruması
Bulut için Defender kapsayıcılı ortamlarınız için gerçek zamanlı tehdit koruması sağlar ve şüpheli etkinlikler için uyarılar oluşturur. Bu bilgileri kullanarak güvenlik sorunlarını hızlı bir şekilde çözebilir ve kapsayıcılarınızın güvenlik düzeyini artırabilirsiniz.
Küme düzeyinde tehdit koruması, Defender profili ve Kubernetes denetim günlüklerinin analizi tarafından sağlanır. Bu düzeydeki olaylara örnek olarak kullanıma sunulan Kubernetes panoları, yüksek ayrıcalıklı rollerin oluşturulması ve hassas bağlamaların oluşturulması verilebilir.
Buna ek olarak, tehdit algılamamız Kubernetes yönetim katmanının ötesine geçer. Kapsayıcılar için Defender, çalışma zamanı iş yükünüz temelinde 60'tan fazla Kubernetes kullanan analiz, yapay zeka ve anomali algılaması ile konak düzeyinde tehdit algılama içerir. Güvenlik araştırmacılarından oluşan küresel ekibimiz tehdit ortamını sürekli olarak izler. Kapsayıcıya özgü uyarılar ve güvenlik açıkları bulunduklarında eklenir. Bu çözüm birlikte, çok bulutlu Kubernetes dağıtımlarının artan saldırı yüzeyini izler ve Kapsayıcılar için MITRE ATT&CK® matrisini izler. Tehdit Bilgisi Olan Savunma Merkezi tarafından Microsoft ve diğer iş ortaklarıyla yakın işbirliği içinde geliştirilen bir çerçeve.