你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

适用于容器的 Microsoft Defender 概述

Microsoft Defender for Containers 是用于保护容器的云原生解决方案,可用于改进、监视和维护群集、容器及其应用程序的安全性。

Defender for Containers 有助于实现容器安全性的三个核心方面:

  • 环境强化 - 适用于容器的 Defender 可保护 Kubernetes 群集,而不管这些群集是在 Azure Kubernetes 服务、Kubernetes 本地/IaaS 还是 Amazon EKS 上运行。 通过持续评估群集,Defender for Containers 可以发现错误配置并提供指导信息,帮助缓解发现的威胁。

  • 漏洞评估扫描 - 针对存储在 ACR 注册表中并在 Azure Kubernetes 服务中运行的映像的漏洞评估和管理工具。

  • 节点和群集的运行时威胁防护 - 群集和 Linux 节点的威胁防护会针对可疑活动生成安全警报

你可观看 Defender for Cloud 的实际应用视频系列中的以下视频来了解详细信息:Microsoft Defender for Containers

Microsoft Defender for Containers 计划可用性

方面 详细信息
发布状态: 正式发布版 (GA)
某些功能处于预览阶段;有关完整列表,请参阅可用性部分。
功能可用性 有关功能版状态和可用性的更多信息,请参阅可用性部分。
定价: 适用于容器的 Microsoft Defender 的计费方式显示在定价页
所需角色和权限: • 若要部署所需的组件,请参阅每个组件的权限
• 安全管理员可以消除警报
• 安全读取者可以查看漏洞评估结果
另请参阅用于修正的角色Azure 容器注册表角色和权限
云: Azure:
商用云
国家云(Azure 政府、Azure 中国世纪互联)(预览功能除外)

非 Azure:
已连接的 AWS 帐户(预览)
已连接的 GCP 项目(预览版)
通过已启用 Arc 的 Kubernetes 支持的本地/IaaS(预览版)。

有关详细信息,请参阅可用性部分

强化

连续监视 Kubernetes 群集 - 无论其托管在何处

Defender for Cloud 持续评估群集的配置,并将其与应用于订阅的计划进行比较。 当发现错误配置时,Defender for Cloud 会生成安全建议,可以在 Defender for Cloud 的建议页上查看这些建议。 可以根据这些建议调查并修正问题。

无论是在资产清单中还是在建议页面中,你都可以使用资源筛选器来查看针对容器相关资源的优秀建议:

屏幕截图显示了资源筛选器的位置。

若要详细了解针对此功能可能会出现的建议,请参阅建议参考表的计算部分

Kubernetes 数据平面强化

若要按照定制化建议来保护 Kubernetes 容器的工作负载,可以安装 Azure Policy for Kubernetes。 详细了解 Defender for Cloud 的监视组件

通过 AKS 群集上的加载项,将按照预先定义的一组最佳做法监视对 Kubernetes API 服务器的每个请求,然后再将其保存到群集。 然后,你可以将其配置为强制实施最佳做法,并规定将其用于未来的工作负载。

例如,可以规定不应创建特权容器,并且阻止以后的任何请求。

你可以详细了解 Kubernetes 数据平面强化

漏洞评估

Defender for Containers 扫描 Azure 容器注册表 (ACR) 和 Amazon AWS 弹性容器注册表中的容器, (ECR),以通知你映像中是否存在已知漏洞。 扫描完成后,Defender for Containers 会提供检测到的每个漏洞的详细信息、检测到的每个漏洞的安全分类以及有关如何修正问题和保护易受攻击面的指导。

了解有关以下方面的详细信息:

面向 Kubernetes 节点和群集的运行时保护

Defender for Containers 为容器化环境提供实时威胁防护,并针对可疑活动发出警报。 可以使用此信息快速补救安全问题,并提高容器的安全性。 群集级别的威胁防护由 Defender 代理和 Kubernetes 审核日志分析提供。 此级别的事件示例包括公开 Kubernetes 仪表板、创建高特权角色,以及创建敏感的装入点。

Defender for Containers 还包括主机级别的威胁检测,基于运行时工作负载,实现超过 60 项 Kubernetes 感知分析、AI 和异常情况检测功能。

Defender for Cloud 根据容器的 MITRE ATT&CK® 矩阵(该矩阵是 Center for Threat-Informed Defense 与 Microsoft 密切合作开发的一种框架)监视多云 Kubernetes 部署的攻击面。

FAQ - 适用于容器的 Defender

用于大规模启用新计划的选项有哪些?

可以使用 Azure Policy“Configure Microsoft Defender for Containers to be enabled”大规模启用 Defender for Containers。 还可以查看可用于启用 Microsoft Defender for Containers 的所有选项。

Microsoft Defender for Containers 是否支持具有虚拟机规模集的 AKS 群集?

是的。

Microsoft Defender for Containers 是否支持无规模集的 AKS(默认设置)?

不是。 只有将虚拟机规模集用于节点的 Azure Kubernetes 服务 (AKS) 群集受支持。

我是否需要在 AKS 节点上安装 Log Analytics VM 扩展来保障安全?

不可以,AKS 是托管服务,不支持操作 IaaS 资源。 Log Analytics VM 扩展不是必需的,并且可能会产生额外费用。

了解更多

在以下博客中详细了解 Defender for Containers:

Defender for Containers 的发布状态分为两个维度:环境和功能。 例如:

  • AKS 群集的 Kubernetes 数据平面建议为正式发布版
  • EKS 群集的 Kubernetes 数据平面建议为预览版

若要查看功能和环境的完整矩阵的状态,请参阅 Microsoft Defender for Containers 功能可用性

后续步骤

通过此概述性介绍,你了解了 Microsoft Defender for Cloud 容器安全性的核心元素。 若要启用该计划,请参阅: