適用於容器的 Microsoft Defender 中的容器安全性概觀
適用於容器的 Microsoft Defender 是一種雲端原生解決方案,可改善、監視和維護容器化資產的安全性(Kubernetes 叢集、Kubernetes 節點、Kubernetes 工作負載、容器登錄、容器映像等等),以及多雲端和內部部署環境上的應用程式。
適用於容器的 Defender 可協助您處理容器安全性的四個核心領域:
安全性態勢管理 - 執行雲端 API、Kubernetes API 和 Kubernetes 工作負載的持續監視,以探索雲端資源、提供完整的清查功能、偵測設定錯誤並提供指導方針以減輕此類情況、提供內容風險評估,以及讓使用者透過適用於雲端的 Defender 安全性總管,執行增強的風險搜捕功能。
弱點評估 - 為 Azure、AWS 和 GCP 提供無代理程式弱點評估,並提供補救指導方針、零設定、每日重新掃描、OS 和語言套件涵蓋,以及惡意探索深入解析。
執行階段威脅防護 - 適用於 Kubernetes 叢集、節點和工作負載的多樣威脅偵測套件,由 Microsoft 先進的威脅情報所提供,可對應至 MITRE ATT&CK 架構,以輕鬆瞭解風險和相關內容、自動化回應和 SIEM/XDR 整合。
部署和監視 - 監視遺漏感測器的 Kubernetes 叢集,並提供感測器型功能的無摩擦大規模部署、標準 Kubernetes 監視工具支援,以及管理未受監視的資源。
您可以在現場影片系列:適用於容器的 Microsoft Defender 中觀看此影片中的 適用於雲端的 Defender,以深入瞭解。
適用於容器的 Microsoft Defender 方案可用性
| 層面 | 詳細資料 |
|---|---|
| 版本狀態: | 公開上市 (GA) 某些功能處於預覽狀態。 如需完整清單,請參閱 適用於雲端的 Defender 中的容器支援矩陣 |
| 功能可用性 | 如需功能發行狀態和可用性的其他資訊,請參閱 適用於雲端的 Defender 中的容器支援矩陣。 |
| 定價: | 適用於容器 的 Microsoft Defender 會計費,如定價頁面上所示 |
| 必要的角色和權限: | • 若要部署必要的元件,請參閱 每個元件的許可權 • 安全性管理員可以 關閉警示 • 安全性讀取者 可以檢視弱點評估結果 另 請參閱補救 角色和 Azure Container Registry 角色和許可權 |
| 雲端: | 檢視 適用於雲端的 Defender 中的容器支援矩陣,以查看雲端可用性。 |
安全性狀態管理
無代理程式功能
Kubernetes 的無代理程式探索 - 提供 Kubernetes 叢集的零磁碟使用量、API 型探索、其設定和部署。
無代理程式弱點評估 - 為所有容器映像提供弱點評估,包括登錄和執行階段的建議、新映像的快速掃描、結果的每日重新整理、惡意探索深入解析等等。 弱點資訊會新增至內容風險評估的安全性圖表、攻擊路徑的計算,以及搜捕功能。
完整的清查功能 - 可讓您透過 安全性 總管探索資源、Pod、服務、存放庫、映像和組態,以輕鬆監視和管理資產。
增強的風險搜捕 - 可讓安全性系統管理員透過安全性總管中的查詢(內建和自定義)和安全性 見解 ,主動搜捕容器化資產中的 狀態問題
控制平面強化 - 會持續評估叢集的設定,並將其與套用至訂用帳戶的計劃比較。 當發現設定錯誤時,適用於雲端的 Defender 會產生適用於雲端的 Defender 建議頁面上可用的安全性建議。 建議可讓您調查和補救問題。
您可以使用資源篩選來檢閱容器相關資源的未處理建議,無論是資產清查或建議頁面:
如需這項功能所包含的詳細數據,請查看 建議參考數據表的容器區段 ,並尋找類型為「控制平面」的建議
感測器型功能
Kubernetes 數據平面強化 - 若要使用最佳做法建議來保護 Kubernetes 容器的工作負載,您可以安裝適用於 Kubernetes 的 Azure 原則。 深入瞭解監視 適用於雲端的 Defender元件。
透過 Kubernetes 叢集上的附加元件,對 Kubernetes API 伺服器提出的每個要求都會根據預先定義的最佳做法集進行監控,然後保存到叢集中。 接下來,您便可加以設定來實施最佳做法,並為未來的工作負載授權採取這些做法。
例如,您可以授權禁止建立特殊權限容器,今後任何這類要求都會受到阻止。
您可以深入瞭解 Kubernetes 數據平面強化。
弱點評估
適用於容器的 Defender 會掃描 Azure Container Registry (ACR)、Amazon AWS Elastic Container Registry (ECR)、Google Artifact Registry (GAR) 和 Google Container Registry (GCR) 中的容器映像,以提供容器映像的無代理程式弱點評估,包括登錄和執行階段建議、補救指引、新映像的快速掃描、真實世界惡意探索深入解析、惡意探索深入解析等等。
Microsoft Defender 弱點管理 所提供的弱點資訊會新增至雲端安全性圖表,以取得內容相關風險、攻擊路徑的計算,以及搜捕功能。
深入了解:
- 具有 Microsoft Defender 弱點管理 的 Azure 弱點評估
- 使用 Microsoft Defender 弱點管理 的 AWS 弱點評估
- 具有 Microsoft Defender 弱點管理 的 GCP 弱點評估
Kubernetes 節點和叢集的執行階段防護
適用於容器的 Defender 可為 支援的容器化環境 提供即時威脅防護,並針對可疑活動產生警示。 您可以使用這些資訊快速修復安全性問題並改善容器的安全性。
針對叢集層級、節點層級和工作負載層級的 Kubernetes 提供威脅防護,並包含需要以 Kubernetes 稽核記錄分析為基礎的 Defender 感測器和無代理程式涵蓋範圍的感測器型涵蓋範圍。 安全性警示只會針對您在訂用帳戶上啟用適用於容器的 Defender 之後發生的動作和部署觸發。
適用於容器的 Microsoft Defender 監視的安全性事件範例包括:
- 公開的 Kubernetes 儀表板
- 建立高特殊權限角色
- 建立敏感性掛接
您可以選取適用於雲端的 Defender 概觀頁面頂端的 [安全性警示] 圖格,或透過資訊看板的連結,來檢視安全性警示。
安全性警示頁面隨即開啟:
叢集中運行時間工作負載的安全性警示可由警示類型的前置詞來辨識 K8S.NODE_ 。 如需叢集層級警示的完整清單,請參閱 警示的參考數據表。
適用於容器的 Defender 也包含主機層級威脅偵測,具有超過 60 個 Kubernetes 感知分析、AI 和異常偵測,取決於您的執行階段工作負載。
適用於雲端的 Defender 會根據 監視多重雲端 Kubernetes 部署的攻擊面容器的 MITRE ATT&CK® 矩陣,這是由威脅資訊防禦中心與 Microsoft 密切合作開發的架構。
深入了解
在下列部落格中深入了解適用於容器的Defender:
下一步
在此概觀中,您已瞭解 適用於雲端的 Microsoft Defender 中容器安全性的核心元素。 若要啟用方案,請參閱: