適用於容器的 Microsoft Defender 中的容器安全性概觀

適用於容器的 Microsoft Defender 是一種雲端原生解決方案,可改善、監視和維護容器化資產的安全性(Kubernetes 叢集、Kubernetes 節點、Kubernetes 工作負載、容器登錄、容器映射等等),以及其跨多雲端和內部部署環境的應用程式。

適用於容器的Defender可協助您處理容器安全性的四個核心網域:

  • 安全性狀態管理 - 對雲端 API、Kubernetes API 和 Kubernetes 工作負載執行持續監視,以探索雲端資源、提供完整的清查功能、偵測錯誤設定,並提供降低風險的指導方針、提供內容風險評估,以及讓使用者透過 適用於雲端的 Defender 安全性總管執行增強的風險搜捕功能。

  • 弱點評估 - 為 Azure、AWS 和 GCP 提供無代理程式弱點評估,並提供補救指導方針、零設定、每日重新掃描、操作系統和語言套件涵蓋範圍,以及可利用性深入解析。

  • 運行時間威脅防護 - 適用於 Kubernetes 叢集、節點和工作負載的豐富威脅偵測套件,由 Microsoft 領先的威脅情報所提供,可提供 MITRE ATT&CK 架構的對應,以輕鬆了解風險和相關內容、自動化回應和 SIEM/XDR 整合。

  • 部署和監視 - 監視您的 Kubernetes 叢集是否有遺漏的代理程式,並提供代理程式型功能的無摩擦大規模部署、標準 Kubernetes 監視工具的支援,以及管理未受監視的資源。

您可以從欄位影片系列:適用於容器的 Microsoft Defender 中觀看此影片中的 適用於雲端的 Defender,以深入瞭解。

適用於容器的 Microsoft Defender 方案可用性

層面 詳細資料
發行狀態: 公開上市 (GA)
某些功能處於預覽狀態。 如需完整清單,請參閱 適用於雲端的 Defender 中的容器支援矩陣
功能可用性 如需功能發行狀態和可用性的其他資訊,請參閱 適用於雲端的 Defender 中的容器支援矩陣。
定價: 適用於容器Microsoft Defender 會計費,如定價頁面上所示
必要角色和許可權: • 若要部署必要的元件,請參閱 每個元件的許可權
安全性管理員可以 關閉警示
安全性讀取者 可以檢視弱點評估結果
請參閱補救 角色和 Azure Container Registry 角色和許可權
雲: 在 適用於雲端的 Defender 中檢視容器支援矩陣,以查看雲端可用性。

安全性狀態管理

無代理程式功能

  • Kubernetes 的無代理程式探索 - 提供 Kubernetes 叢集的零使用量、API 型探索、其設定和部署。

  • 無代理程式弱點評估 - 為所有容器映射提供弱點評估 ,包括登錄和運行時間的建議、新映射的快速掃描、結果的每日重新整理、惡意探索深入解析等等。 弱點資訊會新增至安全性圖表,以進行內容風險評定和攻擊路徑的計算,以及搜捕功能。

  • 完整的清查功能 - 可讓您透過 安全性 總管探索資源、Pod、服務、存放庫、映像和組態,以輕鬆監視和管理資產。

  • 增強的風險搜捕 - 可讓安全性系統管理員透過安全性總管中的查詢(內建和自定義)和安全性 見解 ,主動搜捕容器化資產中的 狀態問題

  • 控制平面強化 - 持續評估叢集的組態,並將其與套用至訂用帳戶的計劃進行比較。 當它發現設定錯誤時,適用於雲端的 Defender 會產生 適用於雲端的 Defender 建議 頁面上可用的安全性建議。 建議可讓您調查和補救問題。

    您可以使用資源篩選來檢閱容器相關資源的未處理建議,無論是資產清查或建議頁面:

    Screenshot showing you where the resource filter is located.

    如需這項功能所包含的詳細數據,請查看 建議參考數據表的容器區段 ,並尋找類型為「控制平面」的建議

代理程式型功能

Kubernetes 數據平面強化 - 若要使用最佳做法建議來保護 Kubernetes 容器的工作負載,您可以安裝適用於 Kubernetes 的 Azure 原則。 深入瞭解監視 適用於雲端的 Defender元件

在 Kubernetes 叢集上使用附加元件時,Kubernetes API 伺服器的每個要求都會針對預先定義的最佳做法集進行監視,再保存到叢集。 然後,您可以將它設定為強制執行最佳做法,並針對未來的工作負載授權它們。

例如,您可以強制不應建立具特殊許可權的容器,而且任何未來的要求都會遭到封鎖。

您可以深入瞭解 Kubernetes 數據平面強化

弱點評估

適用於容器的 Defender 會掃描 Azure Container Registry (ACR)、Amazon AWS Elastic Container Registry (ECR)、Google Artifact Registry (GAR)和 Google Container Registry (GCR) 中的容器映射,以提供容器映射的無代理程式弱點評估,包括登錄和運行時間建議、補救指引、新映射的快速掃描、真實世界惡意探索深入解析、惡意探索深入解析等等。

Microsoft Defender 弱點管理 所提供的弱點資訊會新增至雲端安全性圖表以取得內容相關風險、攻擊路徑的計算,以及搜捕功能。

注意

Qualys 供應專案僅適用於在 2023 年 11 月 15 日之前上線至適用於容器的 Defender 的客戶。

Azure 中有兩個弱點評估解決方案,一個由 Microsoft Defender 弱點管理 提供,另一個由Qualys提供。

深入了解:

Kubernetes 節點和叢集的執行階段防護

適用於容器的 Defender 可為 支援的容器化環境 提供即時威脅防護,並針對可疑活動產生警示。 您可以使用這些資訊快速修復安全性問題並改善容器的安全性。

針對叢集層級、節點層級和工作負載層級的 Kubernetes 提供威脅防護,並包含這兩種代理程式型涵蓋範圍,這些涵蓋範圍需要 以 Kubernetes 稽核記錄分析為基礎的 Defender 代理程式和 無代理程式涵蓋範圍。 安全性警示只會針對您在訂用帳戶上啟用適用於容器的Defender之後發生的動作和部署觸發。

適用於容器的 Microsoft Defender 監視的安全性事件範例包括:

  • 公開的 Kubernetes 儀錶板
  • 建立高特殊許可權角色
  • 建立敏感性掛接

您可以選取 適用於雲端的 Defender 概觀頁面頂端的 [安全性警示] 圖格,或從提要字段選取 [安全性警示] 圖格來檢視安全性警示。

Screenshot showing how to get to the security alerts page from Microsoft Defender for Cloud's overview page.

[安全性警示] 頁面隨即開啟:

Screenshot showing you where to view the list of alerts.

叢集中運行時間工作負載的安全性警示可由警示類型的前置詞來辨識 K8S.NODE_ 。 如需叢集層級警示的完整清單,請參閱 警示的參考數據表。

適用於容器的 Defender 也包含主機層級威脅偵測,其中包含 60 個以上的 Kubernetes 感知分析、AI,以及根據您的運行時間工作負載進行異常偵測。

適用於雲端的 Defender 會根據 監視多重雲端 Kubernetes 部署的攻擊面容器的 MITRE ATT&CK® 矩陣,這是由威脅資訊防禦中心與 Microsoft 密切合作開發的架構。

深入了解

在下列部落格中深入了解適用於容器的Defender:

下一步

在此概觀中,您已瞭解 適用於雲端的 Microsoft Defender 中容器安全性的核心元素。 若要啟用方案,請參閱: