保護及監視 Azure Kubernetes Service

  • 7 分鐘

適用於容器的 Microsoft Defender 是一種雲端原生解決方案,可改善、監視和維護容器化資產的安全性(Kubernetes 叢集、Kubernetes 節點、Kubernetes 工作負載、容器登錄、容器映像等等),以及多雲端和內部部署環境上的應用程式。

適用於容器的 Defender 可協助您處理容器安全性的四個核心領域:

  • 安全性態勢管理 - 針對雲端 API、Kubernetes API 和 Kubernetes 工作負載執行持續性監視,以探索雲端資源、提供完整的清查功能、偵測錯誤設定並提供降低風險的指導方針、提供內容風險評量,以及讓使用者透過適用於雲端的 Defender 的安全性總管來執行增強式風險搜捕功能。
  • 弱點評量 - 為 Azure、AWS 和 GCP 提供無代理程式弱點評量,並提供補救指導方針、零設定、每日重新掃描、OS 和語言套件涵蓋範圍,以及可擅用性深入解析。
  • 執行階段威脅防護 - 適用於 Kubernetes 叢集、節點和工作負載的豐富威脅偵測套件,由 Microsoft 先進的威脅情報所提供,可對應至 MITRE ATT&CK 架構,輕鬆了解風險和相關內容、自動化回應以及安全性資訊與事件管理/延伸偵測與回應整合。
  • 部署和監視 - 監視您的 Kubernetes 叢集是否有遺漏的代理程式,並提供代理程式型功能的大規模順暢部署、標準 Kubernetes 監視工具的支援,以及管理未受監視的資源。

安全性狀態管理

無代理程式功能

  • Kubernetes 的無代理程式探索 - 針對 Kubernetes 叢集及其設定和部署提供零足跡、API 型的探索。
  • 無代理程式弱點評量 - 提供所有容器映像的弱點評量,包括登錄和執行階段的建議、新映像的快速掃描、每日重新整理結果、可擅用性深入解析等等。 弱點資訊會新增至安全性圖表,以進行內容風險評量、攻擊路徑的計算和搜捕功能。
  • 完整的清查功能 - 可讓您透過安全性總管探索資源、Pod、服務、存放庫、映像和設定,以輕鬆監視和管理您的資產。
  • 增強式風險搜捕 - 可讓安全性系統管理員透過安全性總管中的查詢 (內建和自訂) 和安全性深入解析來主動搜捕容器化資產中的態勢問題
  • 控制平面強化 - 持續評量叢集的設定,並將其與套用至訂用帳戶的方案進行比較。 當發現設定錯誤時,適用於雲端的 Defender 會產生適用於雲端的 Defender 建議頁面上可用的安全性建議。 建議可讓您調查和補救問題。

您可以使用資源篩選來檢閱容器相關資源的未處理建議,無論是資產清查或建議頁面:

顯示如何使用資源篩選來檢閱未完成建議的螢幕擷取畫面。

代理程式型功能

Kubernetes 資料平面強化 - 若要使用最佳做法建議來保護 Kubernetes 容器的工作負載,您可以安裝適用於 Kubernetes 的 Azure 原則。

透過 Kubernetes 叢集上的附加元件,對 Kubernetes API 伺服器提出的每個要求都會根據預先定義的最佳做法集進行監控,然後保存到叢集中。 接下來,您便可加以設定來實施最佳做法,並為未來的工作負載授權採取這些做法。

例如,您可以授權禁止建立特殊權限容器,今後任何這類要求都會受到阻止。

弱點評估

適用於容器的 Defender 會掃描 Azure Container Registry (ACR) 和 Amazon AWS Elastic Container Registry (ECR) 中的容器映射,為您的容器映射提供弱點報告,並提供偵測到的每個弱點詳細資料、補救指引、真實世界惡意探索深入解析等等。

Azure 中有兩個弱點評估解決方案,一個由 Microsoft Defender 弱點管理提供,另一個由 Qualys 提供。

Kubernetes 節點和叢集的執行階段防護

適用於容器的 Defender 可為受支援的容器化環境提供即時威脅防護,並針對可疑活動產生警示。 您可以使用這些資訊快速修復安全性問題並改善容器的安全性。

叢集層級的威脅防護由 Kubernetes 稽核記錄的 Defender 代理程式和分析提供。 這表示安全性警示只會針對您在訂用帳戶上啟用適用於容器的 Defender 之後發生的動作和部署觸發。

適用於容器的 Microsoft Defender 監視的安全性事件範例包括:

  • 公開的 Kubernetes 儀表板
  • 建立高特殊權限角色
  • 建立敏感性掛接

您可以選取適用於雲端的 Defender 概觀頁面頂端的 [安全性警示] 圖格,或透過資訊看板的連結,來檢視安全性警示。

顯示如何在適用於雲端的 Defender 中檢視安全性警示的螢幕擷取畫面。

安全性警示頁面隨即開啟:

顯示叢集中執行階段工作負載安全性警示的螢幕擷取畫面。

叢集中執行階段工作負載的安全性警示,可以透過警示類型的 K8S.NODE_ 前置詞辨識。

適用於容器的 Defender 也包含主機層級威脅偵測,具有超過 60 個 Kubernetes 感知分析、AI 和異常偵測,取決於您的執行階段工作負載。

適用於雲端的 Defender 會監視多雲端 Kubernetes 部署的受攻擊面,過程採用適用於容器的 MITRE ATT&CK 矩陣,這個架構是由與 Microsoft 密切合作的 Center for Threat-Informed Defense 所開發。