適用於容器的 Microsoft Defender 概觀

適用於容器的 Microsoft Defender 是用來保護您容器的雲端原生解決方案,因此您可以改善、監視和維護叢集、容器和其應用程式的安全性。

適用於容器的 Defender 可協助您處理容器安全性的三個核心層面:

  • 環境強化 - 不論叢集是在 Azure Kubernetes Service、Kubernetes 內部部署/IaaS 或 Amazon EKS 上執行,適用於容器的 Defender 都會保護您的 Kubernetes 叢集。 適用於容器的 Defender 會持續評定叢集以查看錯誤設定和指導,來協助減輕識別到的威脅。

  • 弱點評量 - 弱點評量和管理工具,適用於儲存在 ACR 登錄中且在 Azure Kubernetes Service 中執行的映像。

  • 適用於節點和叢集的執行階段威脅防護 - 適用於叢集和 Linux 節點的威脅防護會針對可疑的活動產生安全性警示。

您可以觀看現場影片系列中適用於雲端的 Defender 的這個影片來深入了解:適用於容器的 Microsoft Defender

適用於容器的 Microsoft Defender 方案可用性

層面 詳細資料
版本狀態: 公開上市 (GA)
某些功能處於預覽狀態;如需完整清單,請參閱可用性一節。
功能可用性 如需功能版本狀態和可用性的其他資訊,請參閱可用性一節。
定價: 適用於容器的 Microsoft Defender 的計費方式如定價頁面所示
必要的角色和權限: • 若要自動佈建必要的元件,請參閱每個元件的權限
安全性管理員可以關閉警示
安全性讀取者可以檢視弱點評量結果
另請參閱 Azure Container Registry 角色和權限
雲端: Azure
商業雲端
國家雲端 (Azure Government、Azure China 21Vianet) (預覽功能除外)

非 Azure
已連線的 AWS 帳戶 (預覽)
已連線的 GCP 專案 (預覽)
透過已啟用 Arc 的 Kubernetes (預覽) 支援內部部署/IaaS。

如需詳細資訊,請參閱可用性區段

強化

持續監視 Kubernetes 叢集:無論其裝載於何處

適用於雲端的 Defender 會持續評定叢集的設定,並將其與套用至訂用帳戶的方案進行比較。 發現設定錯誤時,適用於雲端的 Defender 會產生適用於雲端的 Defender [建議] 頁面上所提供的安全性建議。 建議可讓您調查並補救問題。 如需可能針對此功能所出現建議的詳細資料,請參閱建議參考資料表的計算區段

針對 EKS 上的 Kubernetes 叢集,您需要將 AWS 帳戶連線至適用於雲端的 Microsoft Defender,並確定您已啟用 CSPM 方案。

不論是在資產清查或建議頁面中,您都可以使用資源篩選來檢閱容器相關資源的未處理建議:

螢幕擷取畫面,其中顯示資源篩選所在位置。

強化 Kubernetes 資料平面

若要使用量身打造的建議來保護 Kubernetes 容器工作負載,您可以安裝適用於 Kubernetes 的 Azure 原則。 您也可以自動部署此元件,如針對代理程式和延伸模組啟用自動佈建中所述。

透過 AKS 叢集上的附加元件,對 Kubernetes API 伺服器提出的每個要求根據預先定義的最佳做法集進行監控,然後保存到叢集中。 接著,您可以進行設定以強制執行最佳做法,並要求未來的工作負載遵循。

例如,您可以授權禁止建立特殊權限容器,今後任何這類要求都會受到阻止。

您可以深入了解 Kubernetes 資料平面強化

弱點評估

掃描 ACR 登錄中的映像

適用於容器的 Defender 為 Azure Container Registries (ACRs) 中的映像提供弱點掃描。 掃描映像的觸發程序包括:

  • 推送時:當映像推送到登錄以進行儲存時,適用於容器的 Defender 會自動掃描映像。

  • 最近提取:針對過去 30 天內提取的映像進行每週掃描。

  • 匯入時:當您將映像匯入 ACR 時,適用於容器的 Defender 會掃描所有支援的映像。

深入了解弱點評量

針對 Azure Container Registry (ACR) 裝載映像中所探索到弱點的適用於雲端的 Microsoft Defender 建議範例。

檢視執行中映像的弱點

適用於雲端的 Defender 讓其客戶能使用執行中容器映像應已解決發現的弱點建議,為他們環境中正在使用的映像排定弱點補救的優先順序。

適用於雲端的 Defender 能提供建議,方法是將安裝在您 AKS 叢集上之 Defender 代理程式所收集到的執行中容器清查,與儲存在 ACR 中之映像弱點評估掃描建立相互關聯。 建議接著會顯示您的執行中容器,其中包含由各容器所使用之映像的相關弱點,並提供您弱點報告和補救步驟。

注意

Windows 容器:Windows 容器沒有 Defender 代理程式,Defender 代理程式部署在於叢集上執行的 Linux 節點上,以為您的 Windows 節點擷取執行中的容器清查。

系統不會檢查並非為了部署而從 ACR 提取的映像,這些映像會出現在 [不適用] 索引標籤下。

已從所屬 ACR 登錄刪除但仍在執行的映像,在 ACR 中發生最後一次掃描後的 30 天內不會回報。

螢幕擷取畫面,其中顯示可檢視建議的位置。

Kubernetes 節點和叢集的執行階段防護

適用於容器的 Defender 可為您的容器化環境提供即時威脅防護,並針對可疑活動產生警示。 您可以使用這些資訊快速修復安全性問題並改善容器的安全性。 叢集層級的威脅防護會由 Kubernetes 稽核記錄的 Defender 代理程式和分析所提供。 此層級事件的範例包括公開 Kubernetes 儀表板、建立高特殊權限角色,以及建立敏感性裝載。

此外,我們的威脅偵測不只在 Kubernetes 管理層。 適用於容器的 Defender 包含主機層級威脅偵測,具有超過 60 個 Kubernetes 感知分析、AI 和異常偵測,取決於您的執行階段工作負載。

此解決方案會不間斷地監視不斷增長的多雲端 Kubernetes 部署受攻擊面,並追蹤 MITRE ATT&CK® for Containers 矩陣,其為 Center for Threat-Informed Defense 與 Microsoft 和其他公司密切合作所開發的架構。

常見問題集 - 適用於容器的 Defender

大規模啟用新方案的選項有哪些?

您可以使用 Azure 原則 Configure Microsoft Defender for Containers to be enabled,以大規模啟用適用於容器的 Defender。 您也可以查看所有可用來啟用適用於容器的 Microsoft Defender 的選項。

適用於容器的 Microsoft Defender 是否支援具有虛擬機器擴展集的 AKS 叢集?

是。

適用於容器的 Microsoft Defender 是否支援不含擴展集的 AKS (預設值)?

不可以。 僅支援針對節點使用虛擬機器擴展集的 Azure Kubernetes Service (AKS) 叢集。

我是否需要在 AKS 節點上安裝 Log Analytics VM 延伸模組,才能保護安全性?

否,AKS 是受控服務,且不支援操作 IaaS 資源。 不需要 Log Analytics VM 延伸模組,而且此延伸模組可能會導致額外費用。

深入瞭解

在下列部落格中,深入了解適用於容器的 Defender:

適用於容器的 Defender 發行狀態分成兩個維度:環境和功能。 例如:

  • AKS 叢集的「Kubernetes 資料平面建議」已正式發行
  • EKS 叢集的「Kubernetes 資料平面建議」為預覽版

若要檢視完整功能和環境矩陣的狀態,請參閱適用於容器的 Microsoft Defender 功能可用性

下一步

在此概觀中,您已了解適用於雲端的 Microsoft Defender 中容器安全性的核心元素。 若要啟用方案,請參閱: