了解 Microsoft Defender for Containers

  • 7 分钟

适用于容器的 Microsoft Defender 是用于保护容器的云原生解决方案。

Defender for Containers 功能

  • 环境强化 - Defender for Containers 可保护 Kubernetes 群集,而不管这些群集是在 Azure Kubernetes 服务、Kubernetes 本地/IaaS 还是 Amazon EKS 上运行。 通过持续评估群集,适用于容器的 Defender 提供了对错误配置和指导信息的可见性,帮助缓解发现的威胁。

  • 漏洞评估扫描 - 针对存储在 ACR 注册表中并在 Azure Kubernetes 服务中运行的映像的漏洞评估和管理工具。

  • 节点和群集的运行时威胁防护 - 群集和 Linux 节点的威胁防护会针对可疑活动生成安全警报

体系结构

Defender for Containers 提供的全方位保护所需的元素体系结构因托管 Kubernetes 群集的位置而异。

无论群集在以下哪些位置运行,适用于容器的 Defender 都能保护群集:

  • Azure Kubernetes 服务 (AKS):Microsoft 的托管服务,用于开发、部署和管理容器化应用程序。

  • 在连接的 Amazon Web Services (AWS) 帐户中的 Amazon Elastic Kubernetes Service (EKS) - Amazon 的托管服务,用于在 AWS 上运行 Kubernetes,而无需安装、操作和维护自己的 Kubernetes 控制平面或节点。

  • 非托管 Kubernetes 分发(使用启用了 Azure Arc 的 Kubernetes)- 托管在本地或 IaaS 上的经云原生计算基础 (CNCF) 认证的 Kubernetes 群集。

Defender for Cloud 持续评估群集的配置,并将其与应用于订阅的计划进行比较。 Defender for Cloud 会在发现错误配置时生成安全建议。 使用 Defender for Cloud 的“建议”页来查看建议和修正问题。

对于 EKS 上的 Kubernetes 群集,需要通过环境设置页面将 AWS 帐户连接到 Microsoft Defender for Cloud(如将 AWS 帐户连接到 Microsoft Defender for Cloud 中所述)。 然后确保已启用 CSPM 计划。

环境强化

若要接收一系列建议以保护 Kubernetes 容器的工作负载,请安装适用于 Kubernetes 的 Azure Policy。 默认情况下,在启用适用于容器 Defender 时,会启用自动预配。

通过 AKS 群集上的加载项,将按照预先定义的一组最佳做法监视对 Kubernetes API 服务器的每个请求,然后再将其保存到群集。 然后,可以配置为强制实施最佳做法,并规定将其用于未来的工作负载。

例如,可以规定不应创建特权容器,并且阻止以后的任何请求。

查看运行映像的漏洞

Defender for Containers 通过引入由 Defender 配置文件或扩展支持的漏洞的运行时可见性预览功能,扩展了 Defender for Container Registry 计划的注册表扫描功能。

新建议“运行容器映像应解决漏洞发现”,仅显示运行映像的漏洞。 该建议依赖于 Defender 安全配置文件或扩展来发现当前正在运行的映像。 此建议对运行具有漏洞的映像进行分组,并提供有关发现的问题以及如何修正这些问题的详细信息。 Defender 配置文件或扩展用于查看处于活动状态的易受攻击的容器。

此建议显示了如何根据 ACR 映像运行映像及其漏洞。 从非 ACR 注册表部署的映像不会进行扫描,并将显示在“不适用”选项卡下。

面向 Kubernetes 节点和群集的运行时保护

Defender for Cloud 为容器化环境提供实时威胁防护,并针对可疑活动发出警报。 可以使用此信息快速补救安全问题,并提高容器的安全性。

群集级别的威胁防护由 Defender 配置文件和 Kubernetes 审核日志分析提供。 此级别的事件示例包括公开 Kubernetes 仪表板、创建高特权角色,以及创建敏感的装入点。

此外,我们的威胁检测超出了 Kubernetes 管理层。 Defender for Containers 包括主机级别的威胁检测,基于运行时工作负载,实现超过 60 项 Kubernetes 感知分析、AI 和异常情况检测功能。 我们的全球安全研究团队会不断监视威胁态势。 一旦发现威胁,他们就会添加容器特定的警报和漏洞。 该解决方案共同监视多云 Kubernetes 部署不断增加的攻击面,并跟踪适用于容器的 MITRE ATT&CK® 矩阵。 由威胁情报防御中心与 Microsoft 和其他合作伙伴密切合作开发的框架。