Sdílet prostřednictvím

Upozornění pro clustery Kubernetes

  • Článek

Defender for Containers poskytuje rozšířené možnosti výstrah pro hrozby pro řídicí rovinu Kubernetes a modul runtime úloh. Microsoft Defender for Endpoint (MDE) a Analýza hrozeb v programu Microsoft Defender také detekují hrozby relevantní pro kontejnery Kubernetes a v kombinaci se senzorem Defenderu poskytují obohacený kontext komplexních a použitelných výstrah pro ochranu prostředí Kubernetes.

Detekce řídicí roviny

Řídicí rovina v Kubernetes spravuje a orchestruje všechny prostředky v clusteru. Defender for Containers identifikuje potenciální hrozby v řídicí rovině, které můžou ohrozit zabezpečení a integritu celého clusteru monitorováním aktivit serveru rozhraní API Kubernetes. Zaznamenává se kritické události, které značí potenciální bezpečnostní hrozby, jako jsou podezřelé operace účtů služeb nebo vystavení služeb.

Mezi příklady podezřelých operací zachycených defenderem pro kontejnery patří:

  • Nasazení privilegovaných kontejnerů můžou být bezpečnostní riziko, protože udělují kontejnerům zvýšená oprávnění v rámci hostitelského systému. Privilegované kontejnery se monitorují pro neautorizovaná nasazení, nadměrné používání oprávnění a potenciální chybné konfigurace, které by mohly vést k narušení zabezpečení.
  • Riziková vystavení služby veřejnému internetu může zpřístupnit cluster Kubernetes potenciálním útokům. Cluster se monitoruje u služeb, které nejsou neúmyslně vystavené, chybně nakonfigurované s nadměrnou kontrolou přístupu nebo chybějícími správnými bezpečnostními opatřeními.
  • Podezřelé aktivity účtu služby můžou značit neoprávněný přístup nebo škodlivé chování v clusteru. Cluster se monitoruje z neobvyklých vzorů, jako jsou nadměrné požadavky na prostředky, neautorizovaná volání rozhraní API nebo přístup k citlivým datům.

Detekce modulu runtime úloh

Defender for Containers používá senzor Defenderu k monitorování aktivity modulu runtime úloh Kubernetes ke zjišťování podezřelých operací, včetně událostí vytváření procesů úloh.

Mezi příklady podezřelých aktivit modulu runtime úloh patří:

  • Aktivita webového prostředí – Defender for Containers monitoruje aktivitu spuštěných kontejnerů, aby identifikovala chování, která se podobají vyvolání webového prostředí.
  • Aktivita kryptografického dolování – Defender for Containers používá několik heuristiky k identifikaci aktivity kryptografického dolování spuštěných kontejnerů, včetně podezřelé aktivity stahování, optimalizace procesoru, podezřelého spuštění procesu a dalších.
  • Nástroje pro kontrolu sítě – Defender for Containers identifikuje použití skenovacího nástroje, které se používaly pro škodlivé aktivity.
  • Detekce binárních posunů – Defender for Cloud identifikuje spouštění binárních souborů úloh, které se odkláněly od původní image kontejneru. Další informace najdete v tématu Detekce binárních posunů.

Nástroj pro simulaci upozornění Kubernetes

Defender for Containers poskytuje nástroj pro simulaci různých scénářů útoku v prostředí Kubernetes, což způsobuje generování výstrah. Nástroj simulace nasadí dva pody v cílovém clusteru: útočníka a oběti. Během simulace útočník "napadá" oběť pomocí technik reálného světa.

Poznámka:

Přestože nástroj simulace nespouští žádné škodlivé komponenty, doporučuje se ho spustit na vyhrazeném clusteru bez produkčních úloh.

Nástroj simulace běží pomocí rozhraní příkazového řádku založeného na Pythonu, které nasazuje grafy Helm v cílovém clusteru.

Instalace nástroje simulace

  1. Požadavky:

    • Uživatel s oprávněními správce pro cílový cluster.

    • Defender for Containers je povolený a je také nainstalovaný senzor Defenderu. Pokud chcete zkontrolovat, jestli je senzor Defenderu nainstalovaný, spuštěním následujícího příkazu:

      kubectl get ds microsoft-defender-collector-ds -n kube-system

    • Na místním počítači je nainstalovaný klient Helm.

    • Python verze 3.7 nebo vyšší je nainstalovaný na místním počítači.

  2. Přejděte kubeconfig na cílový cluster. Pro Službu Azure Kubernetes Service můžete spustit:

    az aks get-credentials --name [cluster-name] --resource-group [resource-group]

  3. Stáhněte si nástroj simulace pomocí následujícího příkazu:

    curl -O https://raw.githubusercontent.com/microsoft/Defender-for-Cloud-Attack-Simulation/refs/heads/main/simulation.py

Spuštění nástroje simulace

  1. Spusťte simulační skript pomocí následujícího příkazu: python simulation.py

  2. Zvolte scénář simulovaného útoku nebo se rozhodnete simulovat všechny scénáře útoku najednou. Dostupné simulované scénáře útoku:

Scénář Očekávaná upozornění
Průzkum Byla zjištěna možná aktivita webového prostředí.
Byla zjištěna podezřelá operace účtu služby Kubernetes Service.
Zjištěn nástroj pro kontrolu sítě
Laterální pohyb Byla zjištěna možná aktivita webového prostředí.
Zjištěn přístup ke službě cloudových metadat
Shromažďování tajných kódů Byla zjištěna možná aktivita webového prostředí.
Zjištěn přístup k citlivým souborům
Možná tajná rekognoskace byla zjištěna.
Kryptografické dolování Byla zjištěna možná aktivita webového prostředí.
Zjistili jsme optimalizaci procesoru Kubernetes.
Příkaz v rámci kontejneru, ke který se přistupuje ld.so.preload
Zjistilo se možné stažení kryptografických minerů
Detekovaný binární soubor posunu spuštěný v kontejneru
Webové prostředí Byla zjištěna možná aktivita webového prostředí.

Poznámka:

I když se některá upozornění aktivují téměř v reálném čase, jiné můžou trvat až hodinu.

Další kroky