概觀 - 適用於雲端的 Defender 中的容器保護
適用於容器的 Microsoft Defender 是一種雲端原生解決方案,可改善、監視和維護容器化資產 (Kubernetes 叢集、Kubernetes 節點、Kubernetes 工作負載、容器登錄、容器映像等等) 的安全性,以及其跨多雲端和內部部署環境之應用程式的安全性。
適用於容器的 Defender 可協助您處理容器安全性的四個核心領域:
安全性態勢管理 - 針對雲端 API、Kubernetes API 和 Kubernetes 工作負載執行持續性監視,以探索雲端資源、提供完整的清查功能、偵測錯誤設定並提供降低風險的指導方針、提供內容風險評量,以及讓使用者透過適用於雲端的 Defender 的安全性總管來執行增強式風險搜捕功能。
弱點評量 - 為 Azure、AWS 和 GCP 提供無代理程式弱點評量,並提供補救指導方針、零設定、每日重新掃描、OS 和語言套件涵蓋範圍,以及可擅用性深入解析。
執行階段威脅防護 - 一種適用於 Kubernetes 叢集、節點和工作負載的豐富威脅偵測套件 (由 Microsoft 尖端威脅情報提供),其會提供 MITRE ATT&CK 架構的對應,讓您輕鬆了解風險與相關內容、自動化回應和 SIEM/XDR 整合。
部署和監視 - 監視您的 Kubernetes 叢集是否遺漏感應器,並為感應器型功能提供順暢無礙的大規模部署、提供標準 Kubernetes 監視工具的支援,以及提供未受監視資源的管理。
您可以觀看現場影片系列中適用於雲端的 Defender 的這個影片來深入了解:適用於容器的 Microsoft Defender。
適用於容器的 Microsoft Defender 方案可用性
層面 | 詳細資料 |
---|---|
版本狀態: | 公開上市 (GA) 某些功能處於預覽狀態。 如需完整清單,請參閱適用於雲端的 Defender 中的容器支援矩陣 (部分機器翻譯) |
功能可用性 | 如需有關功能發行狀態和可用性的其他資訊,請參閱適用於雲端的 Defender 中的容器支援矩陣 (部分機器翻譯)。 |
定價: | 適用於容器的 Microsoft Defender 的計費方式如定價頁面所示 |
必要的角色和權限: | • 若要部署必要的元件,請參閱每個元件的權限 • 安全性管理員可以關閉警示 • 安全性讀取者可以檢視弱點評量結果 另請參閱用於補救的角色 (部分機器翻譯) 以及 Azure Container Registry 角色和權限 (部分機器翻譯) |
雲端: | 請檢視適用於雲端的 Defender 中的容器支援矩陣 (部分機器翻譯),以查看雲端可用性。 |
安全性狀態管理
無代理程式功能
Kubernetes 的無代理程式探索 - 針對 Kubernetes 叢集及其設定和部署提供零足跡、API 型的探索。
無代理程式弱點評量 - 提供所有容器映像的弱點評量,包括登錄和執行階段的建議、新映像的快速掃描、每日重新整理結果、可擅用性深入解析等等。 弱點資訊會新增至安全性圖表,以進行內容風險評量、攻擊路徑的計算和搜捕功能。
完整的清查功能 - 可讓您透過安全性總管探索資源、Pod、服務、存放庫、映像和設定,以輕鬆監視和管理您的資產。
增強式風險搜捕 - 可讓安全性系統管理員透過安全性總管中的查詢 (內建和自訂) 和安全性深入解析來主動搜捕容器化資產中的態勢問題
控制平面強化 - 持續評量叢集的設定,並將其與套用至訂用帳戶的方案進行比較。 當發現設定錯誤時,適用於雲端的 Defender 會產生適用於雲端的 Defender 建議頁面上可用的安全性建議。 建議可讓您調查和補救問題。
您可以使用資源篩選來檢閱容器相關資源的未處理建議,無論是資產清查或建議頁面:
感應器型功能
二進位漂移偵測 - 適用於容器的 Defender 提供感測器型功能,藉由偵測容器內未經授權的外部進程來警示您潛在的安全性威脅。 您可以定義漂移原則來指定應該產生警示的條件,協助您區分合法活動與潛在威脅。 如需詳細資訊,請參閱 二進位漂移保護 (預覽)。
Kubernetes 資料平面強化 - 若要使用最佳做法建議來保護 Kubernetes 容器的工作負載,您可以安裝適用於 Kubernetes 的 Azure 原則。 深入了解適用於雲端的 Microsoft Defender 的監視元件。
透過 Kubernetes 叢集上的附加元件,Kubernetes API 伺服器會針對預先定義的最佳做法來監視每個要求,再將其保存到叢集。 接下來,您便可加以設定來實施最佳做法,並為未來的工作負載授權採取這些做法。
例如,您可以要求不得建立具特殊權限的容器,而且未來任何相同的要求都會遭到封鎖。
您可以深入了解 Kubernetes 資料平面強化。
弱點評估
適用於容器的 Defender 會掃描 Azure Container Registry (ACR)、Amazon AWS Elastic Container Registry (ECR)、Google Artifact Registry (GAR)和 Google Container Registry (GCR) 中的容器映像,以提供容器映像的無代理程式弱點評量,包括登錄和執行階段建議、補救指引、新映像的快速掃描、真實世界惡意探索深入解析、可擅用性深入解析等等。
由 Microsoft Defender 弱點管理提供的弱點資訊會新增至雲端安全性圖表,以進行內容風險評量、攻擊路徑的計算和搜捕功能。
深入了解:
- 使用 Microsoft Defender 弱點管理進行 Azure 的弱點評量 (部分機器翻譯)
- 使用 Microsoft Defender 弱點管理進行 AWS 的弱點評量 (部分機器翻譯)
- 使用 Microsoft Defender 弱點管理進行 GCP 的弱點評量 (部分機器翻譯)
Kubernetes 節點和叢集的執行階段防護
適用於容器的 Defender 可為受支援的容器化環境提供即時威脅防護,並針對可疑活動產生警示。 您可以使用這些資訊快速修復安全性問題並改善容器的安全性。
針對叢集層級、節點層級和工作負載層級的 Kubernetes 提供威脅防護,並包含需要 Defender 感應器的感應器型涵蓋範圍,以及以 Kubernetes 稽核記錄分析為基礎的無代理程式涵蓋範圍。 安全性警示只會針對您在訂閱上啟用適用於容器的 Defender 之後發生的動作和部署觸發。
適用於容器的 Microsoft Defender 監視的安全性事件範例包括:
- 公開的 Kubernetes 儀表板
- 建立高特殊權限角色
- 建立敏感性掛接
您可以選取適用於雲端的 Defender [概觀] 頁面頂端的 [安全性警示] 圖格或從提要欄位中的連結來檢視安全性警示。
[安全性警示] 頁面隨即開啟:
叢集中的執行階段工作負載安全性警示可以透過警示類型的 K8S.NODE_
首碼來辨識。 如需叢集層級警示的完整清單,請參閱警示的參考資料表。
適用於容器的 Microsoft Defender 還包括主機層級的威脅偵測,具有 60 個 Kubernetes 感知分析、AI,以及依據您的執行階段工作負載所進行的異常偵測。
適用於雲端的 Defender 會根據適用於容器的 MITRE ATT&CK® 矩陣 (由 Center for Threat-Informed Defense 與 Microsoft 密切合作所開發的架構) 監視多雲端 Kubernetes 部署的受攻擊面。
深入了解
在下列部落格中,深入了解適用於容器的 Defender:
下一步
在此概觀中,您已了解適用於雲端的 Microsoft Defender 中容器安全性的核心元素。 若要啟用方案,請參閱:
- 啟用適用於容器的 Defender
- 請參閱適用於容器的 Defender 常見問題 (部分機器翻譯)。