Principy Microsoft Defenderu pro kontejnery

  • 7 min

Microsoft Defender for Containers je cloudové nativní řešení pro zabezpečení kontejnerů.

Funkce Defenderu pro kontejnery

  • Posílení zabezpečení prostředí – Defender for Containers chrání vaše clustery Kubernetes bez ohledu na to, jestli běží ve službě Azure Kubernetes Service, v místním prostředí Kubernetes / IaaS nebo Amazon EKS. Díky nepřetržitému posuzování clusterů poskytuje Defender for Containers přehled o chybných konfiguracích a pokynech, které pomáhají zmírnit zjištěné hrozby.

  • Posouzení ohrožení zabezpečení – Nástroje pro posouzení ohrožení zabezpečení a správu imagí uložených v registrech ACR a spuštěných ve službě Azure Kubernetes Service

  • Ochrana před hrozbami za běhu pro uzly a clustery – Ochrana před hrozbami pro clustery a uzly s Linuxem generuje výstrahy zabezpečení pro podezřelé aktivity.

Architektura

Architektura prvků potřebných pro celou řadu ochrany, které poskytuje Defender for Containers, se liší v závislosti na tom, kde jsou clustery Kubernetes hostované.

Defender pro kontejnery chrání clustery bez ohledu na to, jestli běží:

  • Azure Kubernetes Service (AKS) – spravovaná služba Microsoftu pro vývoj, nasazování a správu kontejnerizovaných aplikací.

  • Amazon Elastic Kubernetes Service (EKS) v připojeném účtu Amazon Web Services (AWS) – spravovaná služba Amazonu pro spouštění Kubernetes na AWS bez nutnosti instalovat, provozovat a udržovat vlastní řídicí rovinu nebo uzly Kubernetes.

  • Nespravovaná distribuce Kubernetes (pomocí Kubernetes s podporou Azure Arc) – Cloud Native Computing Foundation (CNCF) certifikovaných clusterů Kubernetes hostovaných místně nebo v IaaS.

Defender for Cloud průběžně posuzuje konfigurace vašich clusterů a porovnává je s iniciativami použitými pro vaše předplatná. Když najde chybné konfigurace, Defender for Cloud generuje doporučení zabezpečení. Stránka s doporučeními defenderu pro cloud vám umožní zobrazit doporučení a opravit problémy.

V případě clusterů Kubernetes v EKS budete muset svůj účet AWS připojit ke službě Microsoft Defender for Cloud prostřednictvím stránky nastavení prostředí (jak je popsáno v Připojení účtů AWS k Microsoft Defenderu for Cloud). Pak se ujistěte, že jste povolili plán CSPM.

Posílení zabezpečení prostředí

Pokud chcete získat sadu doporučení pro ochranu úloh kontejnerů Kubernetes, nainstalujte Službu Azure Policy pro Kubernetes. Ve výchozím nastavení je automatické zřizování povolené, když povolíte Defender for Containers.

S doplňkem v clusteru AKS se všechny požadavky na server rozhraní Kubernetes API monitorují předdefinovanou sadou osvědčených postupů před tím, než se zachovají do clusteru. Pak můžete nakonfigurovat, abyste vynucovali osvědčené postupy a nařídili je pro budoucí úlohy.

Můžete například nařídit, aby se privilegované kontejnery neměly vytvářet a všechny budoucí požadavky na to budou blokované.

Zobrazení ohrožení zabezpečení pro spouštění imagí

Defender for Containers rozšiřuje funkce kontroly registru v plánu Defenderu pro registry kontejnerů tím, že zavádí funkci preview viditelnosti ohrožení zabezpečení s využitím profilu Defenderu nebo rozšíření.

Nové doporučení: "Spuštění imagí kontejnerů by mělo obsahovat vyřešená zjištění ohrožení zabezpečení", zobrazuje pouze chyby zabezpečení pro spouštění imagí. Doporučení spoléhá na profil zabezpečení defenderu nebo rozšíření ke zjištění aktuálně spuštěných imagí. Toto doporučení seskupuje image se spuštěnými chybami zabezpečení a poskytuje podrobnosti o zjištěných problémech a jejich řešení. Profil nebo rozšíření Defenderu slouží k získání přehledu o ohrožených kontejnerech, které jsou aktivní.

Toto doporučení ukazuje spouštění imagí a jejich ohrožení zabezpečení na základě imagí ACR. Image, které jsou nasazené z registru jiného typu než ACR, se neskenují a zobrazí se na kartě Nepoužitelné.

Ochrana za běhu pro uzly a clustery Kubernetes

Defender for Cloud poskytuje ochranu před hrozbami v reálném čase pro vaše kontejnerizovaná prostředí a generuje výstrahy pro podezřelé aktivity. Pomocí těchto informací můžete rychle opravit problémy se zabezpečením a vylepšit zabezpečení kontejnerů.

Ochranu před hrozbami na úrovni clusteru poskytuje profil Defenderu a analýza protokolů auditu Kubernetes. Mezi příklady událostí na této úrovni patří vystavené řídicí panely Kubernetes, vytváření vysoce privilegovaných rolí a vytváření citlivých připojení.

Kromě toho naše detekce hrozeb přesahuje úroveň správy Kubernetes. Defender for Containers zahrnuje detekci hrozeb na úrovni hostitele s více než 60 analýzami, AI a detekcemi anomálií na základě úloh modulu runtime. Náš globální tým bezpečnostních výzkumných pracovníků neustále monitoruje hrozby. Při zjišťování přidají upozornění a ohrožení zabezpečení specifická pro kontejnery. Společně toto řešení monitoruje rostoucí prostor pro útoky na nasazení Kubernetes s více cloudy a sleduje matici MITRE ATT&CK® pro kontejnery. Rámec, který vyvinul Center for Threat-Inform Defense v úzkém partnerství s Microsoftem a dalšími partnery.