Containerschutz in Defender for Cloud
Microsoft Defender for Containers ist eine cloudnative Lösung zum Verbessern, Überwachen und Verwalten der Sicherheit Ihrer containerisierten Ressourcen (Kubernetes-Cluster, Kubernetes-Knoten, Kubernetes-Workloads, Containerregistrierungen, Containerimages und vieles mehr) und deren Anwendungen in Multi-Cloud- und lokalen Umgebungen.
Defender for Containers unterstützt Sie in vier Kernbereichen der Containersicherheit:
Die Verwaltung des Sicherheitsstatus ermöglicht eine kontinuierliche Überwachung von Cloud-APIs, Kubernetes-APIs und Kubernetes-Workloads zur Ermittlung von Cloudressourcen, enthält umfassende Bestandsfunktionen, erkennt Fehlkonfigurationen und bietet Richtlinien zu deren Behebung, ermöglicht eine kontextbezogene Risikobewertung und das Ausführen erweiterter Funktionen zur Risikosuche über den Sicherheits-Explorer von Defender for Cloud.
Die Sicherheitsrisikobewertung ermöglicht ohne Konfiguration eine Bewertung von Sicherheitsrisiken ohne Agents für unterstützte K8s-Knoten und Containerregistrierungen einschließlich Richtlinien zur Wartung von Problemen, tägliche erneute Überprüfungen, Abdeckung für Betriebssystem- und Sprachpakete sowie Erkenntnisse zur Ausnutzbarkeit.
Laufzeitbedrohungsschutz ist eine umfangreiche von Microsoft unterstützte Threat Intelligence Suite für die Bedrohungserkennung für Cluster, Knoten und Workloads von Kubernetes, die eine Zuordnung zum MITRE ATT&CK-Framework bietet, um ein einfaches Verständnis der Risiken und des relevanten Kontexts zu ermöglichen sowie automatisierte Reaktionen. Sicherheitsoperatoren können auch Bedrohungen für Kubernetes-Dienste über das Microsoft Defender XDR-Portal untersuchen und darauf reagieren.
Bereitstellung und Überwachung: überwacht Ihre Kubernetes-Cluster auf fehlende Sensoren, ermöglicht die reibungslose Bereitstellung von sensorbasierten Funktionen im großen Stil und bietet Unterstützung für standardmäßige Kubernetes-Überwachungstools sowie die Verwaltung von nicht überwachten Ressourcen.
Sie können mehr erfahren, indem Sie sich dieses Video aus der Videoserie „Defender für Cloud im Einsatz“ ansehen: Microsoft Defender für Container.
Verfügbarkeit des Microsoft Defender für Container-Plans
| Aspekt | Details |
|---|---|
| Status des Release: | Allgemeine Verfügbarkeit (General Availability, GA) Bestimmte Features befinden sich in der Vorschauphase. Eine vollständige Liste finden Sie in der Unterstützungsmatrix für Containerfunktionen in Defender for Cloud. |
| Verfügbarkeit von Funktionen | Weitere Informationen zum Status und zur Verfügbarkeit von Featurereleases finden Sie in der Unterstützungsmatrix für Containerfunktionen in Defender for Cloud |
| Preise: | Microsoft Defender für Container wird gemäß den Angaben auf der Seite Preise abgerechnet. |
| Erforderliche Rollen und Berechtigungen: | * Informationen zum Bereitstellen der erforderlichen Komponenten finden Sie in den Berechtigungen für jede der Komponenten * Der Sicherheitsadministrator kann Warnungen verwerfen. * Sicherheitsleseberechtigter kann die Ergebnisse der Sicherheitsrisikobewertung anzeigen. Weitere Informationen finden Sie auch unter Rollen für Abhilfemaßnahmen und Azure Container Registry-Rollen und -Berechtigungen. |
| Clouds: | Informationen zur Cloudverfügbarkeit finden Sie in der Unterstützungsmatrix für Containerfunktionen in Defender for Cloud |
Sicherheitsstatusverwaltung
Funktionen ohne Agent
Die Ermittlung ohne Agents für Kubernetes bietet eine API-basierte Ermittlung ohne Speicherbedarf für Ihre Kubernetes-Cluster sowie für Konfigurationen und Bereitstellungen.
Die Bewertung von Sicherheitsrisiken ohne Agent bietet eine Sicherheitsrisikobewertung für Clusterknoten und für alle Containerimages einschließlich Empfehlungen für die Registrierung und Laufzeit, schnelle Scans neuer Images, tägliche Aktualisierung von Ergebnissen, Erkenntnisse zur Ausnutzbarkeit und vieles mehr. Sicherheitsrisikeninformationen werden dem Sicherheitsdiagramm für kontextbezogene Risikobewertung und Berechnung von Angriffspfaden und Suchfunktionen hinzugefügt.
Umfassende Bestandsfunktionen – ermöglicht es Ihnen, Ressourcen, Pods, Dienste, Repositorys, Bilder und Konfigurationen über Sicherheits-Explorer zu erkunden, um Ihre Ressourcen auf einfache Weise zu überwachen und zu verwalten.
Erweiterte Risikosuche: Ermöglicht es Sicherheitsadministrator*innen, mithilfe von (integrierten und benutzerdefinierten) Abfragen sowie über Einblicke in die Sicherheit im Sicherheits-Explorer aktiv nach Statusproblemen in ihren containerisierten Ressourcen zu suchen.
Härten der Steuerungsebene: Bewertet kontinuierlich die Konfigurationen Ihrer Cluster und vergleicht sie mit den Initiativen, die auf Ihre Abonnements angewendet wurden. Wenn Defender für Cloud Fehlkonfigurationen feststellt, generiert es Sicherheitsempfehlungen, die auf der Seite „Empfehlungen“ von Defender für Cloud verfügbar sind. Die Empfehlungen ermöglichen Ihnen, Probleme zu untersuchen und zu beheben.
Sie können den Ressourcenfilter verwenden, um die ausstehenden Empfehlungen für Ihre containerbezogenen Ressourcen zu überprüfen, egal ob im Ressourcenbestand oder auf der Seite „Empfehlungen“:
Ausführliche Informationen zu dieser Funktion finden Sie unter Containerempfehlungen. Suchen Sie nach Empfehlungen mit dem Typ „Steuerungsebene“.
Sensorbasierte Funktionen
Binäre Drifterkennung – Defender für Container bietet eine sensorbasierte Funktion, die Sie über potenzielle Sicherheitsbedrohungen informiert, indem nicht autorisierte externe Prozesse innerhalb von Containern erkannt werden. Sie können Driftrichtlinien definieren, um Bedingungen anzugeben, unter denen Warnungen generiert werden sollen, wodurch Sie zwischen legitimen Aktivitäten und potenziellen Bedrohungen unterscheiden können. Weitere Informationen finden Sie unter Binärer Driftschutz (Vorschau).
Härten der Kubernetes-Datenebene: Um die Workloads Ihrer Kubernetes-Container mit Empfehlungen zu bewährten Methoden zu schützen, können Sie Azure Policy für Kubernetes installieren. Weitere Informationen zur Überwachung von Komponenten für Defender for Cloud.
Wenn die Richtlinien für Ihr Kubernetes-Cluster definiert sind, wird jede Anforderung an den Kubernetes-API-Server anhand der vordefinierten bewährten Methoden überwacht, bevor sie im Cluster persistent gespeichert wird. Anschließend können Sie das Erzwingen der bewährten Methoden konfigurieren und so verpflichtend auf zukünftige Workloads anwenden.
Beispielsweise können Sie festlegen, dass keine privilegierten Container erstellt und zukünftige Anforderungen für diese Aktion blockiert werden.
Sie können mehr über die Härtung der Kubernetes-Datenebene erfahren.
Sicherheitsrisikobewertung
Defender for Containers analysiert das Betriebssystem der Clusterknoten und die Anwendungssoftware, Containerimages in Azure Container Registry (ACR), Amazon AWS Elastic Container Registry (ECR), Google Artifact Registry (GAR), Google Container Registry (GCR) sowie unterstützte externe Imageregistrierungen, um eine Sicherheitsrisikobewertung ohne Agent zu ermöglichen.
Mit der Unterstützung von Microsoft Defender Vulnerability Management ermittelte Informationen zu Sicherheitsrisiken werden dem Cloudsicherheitsdiagramm hinzugefügt, um Funktionen für die kontextbezogene Risikobewertung, die Berechnung von Angriffspfaden und Hunting bereitzustellen.
Erhalten Sie weitere Informationen zur Sicherheitsrisikobewertung für:
Containerregistrierungen
- Sicherheitsrisikobewertung für Azure, unterstützt von Microsoft Defender-Sicherheitsrisikomanagement
- Sicherheitsrisikobewertungen für AWS mit Microsoft Defender Vulnerability Management
- Sicherheitsrisikobewertungen für GCP mit Microsoft Defender Vulnerability Management
Clusterknoten
Laufzeitschutz für Kubernetes-Knoten und -Cluster
Microsoft Defender for Containers bietet einen Echtzeit-Bedrohungsschutz für unterstützte Containerumgebungen und generiert Warnungen für verdächtige Aktivitäten. Mit diesen Informationen können Sie schnell Sicherheitsprobleme lösen und die Sicherheit Ihrer Container verbessern.
Der Bedrohungsschutz wird für Kubernetes auf Ebene von Clustern, Knoten und Workloads bereitgestellt. Sowohl eine sensorbasierte Abdeckung, die den Defender-Sensor erfordert, als auch eine Abdeckung ohne Agent, die auf der Analyse der Kubernetes-Überwachungsprotokolle basiert, werden verwendet, um Bedrohungen zu erkennen. Sicherheitswarnungen werden nur für Aktionen und Bereitstellungen ausgelöst, die vorgenommen werden, nachdem Sie Defender for Containers für Ihr Abonnement aktiviert haben.
Hier finden Sie einige Beispiele sicherheitsrelevanter Ereignisse, die von Microsoft Defender for Containers überwacht werden:
- Verfügbar gemachte Kubernetes-Dashboards
- Erstellung stark privilegierter Rollen
- Erstellung sensibler Bereitstellungen
Sie können Sicherheitswarnungen anzeigen, indem Sie die Kachel „Sicherheitswarnungen“ oben auf der Übersichtsseite von Defender for Cloud den Link „Sicherheitswarnungen“ in der Randleiste auswählen.
Sicherheitswarnungen für den Laufzeitworkload in den Clustern haben das Präfix K8S.NODE_ des Warnungstyps. Eine vollständige Liste der Warnungen auf Clusterebene finden Sie in der Referenztabelle der Warnungen.
Defender for Containers ermöglicht eine Bedrohungserkennung mit mehr als 60 Kubernetes-fähigen Analysen sowie KI- und Anomalieerkennungen auf Grundlage des Laufzeitworkload.
Defender for Cloud überwacht die Angriffsfläche von Kubernetes-Multicloudbereitstellungen basierend auf der MITRE ATT&CK®-Matrix für Container, ein Framework, das vom Center for Threat-Informed Defense in enger Partnerschaft mit Microsoft entwickelt wurde.
Defender for Cloud is in Microsoft Defender XDR integriert. Wenn Defender for Containers aktiviert ist, können Sicherheitsoperatoren Defender XDR verwenden, um Sicherheitsprobleme in unterstützten Kubernetes-Diensten zu untersuchen und darauf zu reagieren.
Weitere Informationen
Erfahren Sie mehr über Defender für Container in den folgenden Blogs:
Nächste Schritte
In dieser Übersicht haben Sie die wichtigsten Elemente der Containersicherheit in Microsoft Defender für Cloud kennengelernt. Informationen zum Aktivieren des Plans finden Sie unter:
- Aktivieren von Defender für Container
- Sehen Sie sich häufige Fragen zu Defender for Containers an.