Ochrana kontejnerů v defenderu pro cloud
Microsoft Defender for Containers je řešení nativní pro cloud, které vylepšuje, monitoruje a udržuje zabezpečení kontejnerizovaných prostředků (clustery Kubernetes, uzly Kubernetes, úlohy Kubernetes, registry kontejnerů, image kontejnerů a další) a jejich aplikace v různých cloudových a místních prostředích.
Defender for Containers vám pomůže se čtyřmi základními doménami zabezpečení kontejnerů:
Správa stavu zabezpečení spouští průběžné monitorování cloudových rozhraní API, rozhraní API Kubernetes a úloh Kubernetes ke zjišťování cloudových prostředků, poskytování komplexních možností inventáře, zjišťování chyb konfigurace s pokyny ke zmírnění rizik, poskytování posouzení kontextových rizik a umožňuje uživatelům provádět rozšířené možnosti proaktivního vyhledávání rizik prostřednictvím Průzkumníka zabezpečení v programu Defender for Cloud Security Explorer.
Posouzení ohrožení zabezpečení – provádí posouzení ohrožení zabezpečení bez agentů podporovaných uzlů K8s a registrů kontejnerů s pokyny k nápravě, nulovou konfigurací, denními kontrolami, pokrytím operačního systému a balíčků jazyků a přehledy zneužití.
Ochrana před hrozbami za běhu – bohatá sada pro detekci hrozeb pro clustery, uzly a úlohy Kubernetes, které využívají špičkové analýzy hrozeb Od Microsoftu, poskytuje mapování na architekturu MITRE ATT&CK, která umožňuje snadno pochopit rizika a relevantní kontext a automatizovanou reakci. Operátoři zabezpečení také můžou zkoumat hrozby pro služby Kubernetes a reagovat na ně prostřednictvím portálu XDR v programu Microsoft Defender.
Nasazení a monitorování – Monitoruje clustery Kubernetes pro chybějící senzory a poskytuje bezproblémové nasazení ve velkém měřítku pro funkce založené na senzorech, podporu standardních monitorovacích nástrojů Kubernetes a správu nemonitorovaných prostředků.
Další informace najdete v tomto videu v programu Defender for Cloud v sérii videí Pole: Microsoft Defender for Containers.
Dostupnost plánu Microsoft Defenderu pro kontejnery
| Aspekt | Detaily |
|---|---|
| Stav vydání: | Všeobecná dostupnost (GA) Některé funkce jsou ve verzi Preview. Úplný seznam najdete v matici podpory kontejnerů v programu Defender for Cloud. |
| Dostupnost funkcí | Další informace o stavu a dostupnosti funkcí najdete v matici podpory kontejnerů v Defenderu pro Cloud. |
| Ceny: | Microsoft Defender for Containers se účtuje, jak je znázorněno na stránce s cenami. |
| Požadované role a oprávnění: | * Pokud chcete nasadit požadované součásti, přečtěte si oprávnění pro jednotlivé komponenty. * Správce zabezpečení může zavřít výstrahy * Čtenář zabezpečení může zobrazit zjištění posouzení ohrožení zabezpečení Viz také Role pro nápravu a role a oprávnění služby Azure Container Registry |
| Mraky: | Zobrazení matice podpory kontejnerů v Defenderu pro cloud a zobrazení dostupnosti cloudu |
Správa stavu zabezpečení
Možnosti bez agentů
Zjišťování bez agentů pro Kubernetes – poskytuje nulové nároky, zjišťování založené na rozhraní API pro clustery Kubernetes, konfigurace a nasazení.
Posouzení ohrožení zabezpečení bez agentů – poskytuje posouzení ohrožení zabezpečení pro uzly clusteru a pro všechny image kontejnerů, včetně doporučení pro registr a modul runtime, rychlé kontroly nových imagí, denní aktualizace výsledků, přehledy o zneužití a další. Do grafu zabezpečení se přidají informace o ohrožení zabezpečení pro posouzení kontextových rizik a výpočet cest útoku a možností proaktivního vyhledávání.
Komplexní možnosti inventáře – umožňuje prozkoumávat prostředky, pody, služby, úložiště, image a konfigurace prostřednictvím Průzkumníka zabezpečení a snadno monitorovat a spravovat vaše prostředky.
Rozšířené proaktivní vyhledávání rizik – umožňuje správcům zabezpečení aktivně vyhledávat problémy s stavem v kontejnerizovaných prostředcích prostřednictvím dotazů (integrovaných a vlastních) a přehledů zabezpečení v Průzkumníku zabezpečení.
Posílení zabezpečení roviny řízení – nepřetržitě posuzuje konfigurace vašich clusterů a porovnává je s iniciativami použitými pro vaše předplatná. Když najde chybné konfigurace, Defender for Cloud vygeneruje doporučení zabezpečení, která jsou k dispozici na stránce Doporučení pro Defender for Cloud. Doporučení vám umožňují prozkoumat a opravit problémy.
Filtr prostředků můžete použít ke kontrole nevyřízených doporučení pro vaše prostředky související s kontejnery, ať už v inventáři prostředků, nebo na stránce s doporučeními:
Podrobnosti, které jsou součástí této funkce, zkontrolujte doporučení kontejnerů a vyhledejte doporučení typu Řídicí rovina.
Možnosti založené na senzorech
Detekce binárních posunů – Defender for Containers poskytuje funkci založenou na senzorech, která vás upozorní na potenciální bezpečnostní hrozby detekcí neautorizovaných externích procesů v kontejnerech. Můžete definovat zásady posunu, které určují podmínky, za kterých se mají výstrahy generovat, a tím můžete rozlišovat mezi legitimními aktivitami a potenciálními hrozbami. Další informace najdete v tématu Ochrana binárních posunů (Preview).a0>
Posílení zabezpečení roviny dat Kubernetes – Pokud chcete chránit úlohy kontejnerů Kubernetes s doporučeními osvědčených postupů, můžete nainstalovat Službu Azure Policy pro Kubernetes. Přečtěte si další informace o komponentách monitorování pro Defender for Cloud.
Se zásadami definovanými pro váš cluster Kubernetes se všechny požadavky na server rozhraní Kubernetes API monitorují předdefinovanou sadou osvědčených postupů před tím, než se zachovají do clusteru. Pak ji můžete nakonfigurovat tak, aby vynucovala osvědčené postupy a nařídila je pro budoucí úlohy.
Můžete například nařídit, aby se privilegované kontejnery neměly vytvářet a že všechny budoucí požadavky na to budou blokované.
Další informace o posílení zabezpečení roviny dat Kubernetes
Posouzení ohrožení zabezpečení
Defender for Containers prohledá operační systém clusteru a aplikační software, image kontejnerů ve službě Azure Container Registry (ACR), Amazon AWS Elastic Container Registry (ECR), Google Artifact Registry (GAR), Google Container Registry (GCR) a podporované externí registry imagí za účelem posouzení ohrožení zabezpečení bez agentů .
Do grafu cloudového zabezpečení se přidávají informace o ohrožení zabezpečení s využitím Microsoft Defender Správa zranitelností pro kontextové riziko, výpočet cest útoku a možnosti proaktivního vyhledávání.
Další informace o posouzení ohrožení zabezpečení pro:
Registry kontejnerů –
- Posouzení ohrožení zabezpečení pro Azure s využitím Microsoft Defender Správa zranitelností
- Posouzení ohrožení zabezpečení pro AWS s využitím Microsoft Defender Správa zranitelností
- Posouzení ohrožení zabezpečení pro GCP s Microsoft Defender Správa zranitelností
Uzly clusteru –
Ochrana za běhu pro uzly a clustery Kubernetes
Defender for Containers poskytuje ochranu před hrozbami v reálném čase pro podporovaná kontejnerizovaná prostředí a generuje výstrahy pro podezřelé aktivity. Pomocí těchto informací můžete rychle opravit problémy se zabezpečením a vylepšit zabezpečení kontejnerů.
Ochrana před hrozbami je k dispozici pro Kubernetes na úrovni clusteru, uzlu a úloh. K detekci hrozeb se používají pokrytí založené na senzoru Defenderu i pokrytí bez agentů založené na analýze protokolů auditu Kubernetes. Výstrahy zabezpečení se aktivují jenom pro akce a nasazení, ke kterým dochází po povolení defenderu pro kontejnery ve vašem předplatném.
Mezi příklady událostí zabezpečení, které monitorují Microsoft Defendery pro kontejnery, patří:
- Vystavené řídicí panely Kubernetes
- Vytvoření vysoce privilegovaných rolí
- Vytváření citlivých přípojek
Výstrahy zabezpečení můžete zobrazit výběrem dlaždice Výstrahy zabezpečení v horní části stránky přehledu Defenderu pro cloud nebo odkazem na bočním panelu.
Výstrahy zabezpečení pro úlohy modulu runtime v clusterech mají předponu K8S.NODE_ typu výstrahy. Úplný seznam výstrah na úrovni clusteru najdete v referenční tabulce výstrah.
Defender for Containers zahrnuje detekci hrozeb s více než 60 analýzami, AI a detekcemi anomálií na základě úloh modulu runtime.
Defender for Cloud monitoruje prostor pro útoky na nasazení Kubernetes s více cloudy na základě matice MITRE ATT&CK® pro kontejnery, architektura vyvinutá centrem pro ochranu před hrozbami v úzké spolupráci s Microsoftem.
Defender for Cloud je integrovaný s XDR v programu Microsoft Defender. Když je povolený Defender pro kontejnery, můžou operátoři zabezpečení pomocí XDR v programu Defender prozkoumat a reagovat na problémy se zabezpečením v podporovaných službách Kubernetes.
Další informace
Další informace o defenderu for Containers najdete v následujících blogech:
Další kroky
V tomto přehledu jste se dozvěděli o základních prvcích zabezpečení kontejnerů v programu Microsoft Defender for Cloud. Pokud chcete plán povolit, přečtěte si:
- Povolení defenderu pro kontejnery
- Podívejte se na běžné dotazy týkající se Defenderu for Containers.