Grundlegendes zu Microsoft Defender für Container
Microsoft Defender für Cloud ist die cloudnative Lösung zum Schützen Ihrer Container.
Features von Defender für Container
Härtung der Umgebung – Defender für Container schützt Ihre Kubernetes-Cluster, unabhängig davon, ob sie auf Azure Kubernetes Service, Kubernetes lokal / IaaS oder Amazon EKS laufen. Durch die kontinuierliche Bewertung von Clustern bietet Defender für Container Einblicke in Fehlkonfigurationen und Richtlinien, um identifizierte Bedrohungen zu minimieren.
Sicherheitsrisiken: Tools zur Bewertung und Verwaltung von Sicherheitsrisiken für Images, die in ACR-Registrierungen gespeichert sind und in Azure Kubernetes Service ausgeführt werden.
Schutz vor Laufzeitbedrohungen für Knoten und Cluster - Der Bedrohungsschutz für Cluster und Linux-Knoten generiert Sicherheitswarnungen für verdächtige Aktivitäten.
Aufbau
Die Architektur der Elemente, die für den umfassenden Schutz von Defender für Container erforderlich sind, hängt davon ab, wo Ihre Kubernetes-Cluster gehostet werden.
Defender für Container schützt Ihre Cluster unabhängig davon, ob sie in folgenden Bereichen ausgeführt werden:
Azure Kubernetes Service (AKS) - Der verwaltete Dienst von Microsoft für die Entwicklung, Bereitstellung und Verwaltung von containerisierten Anwendungen.
Amazon Elastic Kubernetes Service (EKS) in einem verbundenen Amazon Web Services-Konto (AWS): Der verwaltete Amazon-Dienst für die Ausführung von Kubernetes in AWS, ohne dass Sie Ihre eigene Kubernetes-Steuerungsebene oder -Knoten installieren, betreiben und verwalten müssen.
Eine nicht verwaltete Kubernetes-Distribution (mit Azure Arc-fähigem Kubernetes): Die Cloud Native Computing Foundation (CNVF) hat Kubernetes-Cluster zertifiziert, die lokal oder in IaaS-Lösungen gehostet werden.
Defender für Cloud bewertet kontinuierlich die Konfigurationen Ihrer Cluster und vergleicht sie mit den Initiativen, die auf Ihre Abonnements angewendet werden. Falls Fehlkonfigurationen gefunden werden, werden von Defender für Cloud Sicherheitsempfehlungen generiert. Verwenden Sie die Seite Empfehlungen in Defender für Cloud, um Empfehlungen anzuzeigen und Probleme zu beheben.
Für Kubernetes-Cluster auf EKS werden Sie Ihr AWS-Konto über die Seite Umgebungseinstellungen mit Microsoft Defender für Cloud verbinden müssen (wie unter Verbinden Sie Ihre AWS-Konten mit Microsoft Defender für Cloud beschrieben). Stellen Sie anschließend sicher, dass Sie den CSPM-Plan aktiviert haben.
Umgebungshärtung
Um ein Bündel von Empfehlungen zum Schutz der Workloads Ihrer Kubernetes-Container zu erhalten, installieren Sie die Azure-Richtlinie für Kubernetes. Standardmäßig ist die automatische Bereitstellung aktiviert, wenn Sie Defender für Container aktivieren.
Mit dem Add-On in Ihrem AKS-Cluster wird jede Anforderung an den Kubernetes-API-Server anhand der vordefinierten bewährten Methoden überwacht, bevor sie im Cluster persistent gespeichert wird. Anschließend können Sie das Erzwingen der bewährten Methoden konfigurieren und auf zukünftige Workloads anwenden.
Beispielsweise können Sie vorschreiben, dass keine privilegierten Container erstellt werden sollen und dass zukünftige Anforderungen für diese Aktion blockiert werden sollen.
Anzeigen von Sicherheitsrisiken für ausgeführte Images
Defender für Container erweitert die Funktionen zum Scannen der Registrierung des Plans Defender für Container-Registrierungen durch die Einführung einer Vorschaufunktion für die Sichtbarkeit von Schwachstellen während der Laufzeit, die durch das Defender-Profil oder eine Erweiterung unterstützt wird.
Die neue Empfehlung „laufende Containerimages sollten Schwachstellen behoben haben“ zeigt nur Schwachstellen für laufende Images an. Die Empfehlung stützt sich auf das Defender-Sicherheitsprofil oder die Erweiterung, um herauszufinden, welche Images derzeit ausgeführt werden. Diese Empfehlung fasst ausgeführte Images mit Sicherheitsrisiken zu Gruppen zusammen und enthält Details zu den gefundenen Problemen und deren Behebung. Das Defender-Profil oder die -Erweiterung wird verwendet, um Einblick in anfällige Container zu erhalten, die aktiv sind.
Diese Empfehlung zeigt ausgeführte Images und ihre Sicherheitsrisiken basierend auf ACR-Images. Images, die aus einer Nicht-ACR-Registrierung bereitgestellt werden, werden nicht überprüft und auf der Registerkarte „Nicht anwendbar“ angezeigt.
Laufzeitschutz für Kubernetes-Knoten und -Cluster
Defender für Cloud bietet einen Echtzeit-Bedrohungsschutz für Ihre Containerumgebungen und generiert Warnungen für verdächtige Aktivitäten. Mit diesen Informationen können Sie schnell Sicherheitsprobleme lösen und die Sicherheit Ihrer Container verbessern.
Bedrohungsschutz auf Clusterebene wird durch das Defender-Profil und die Analyse der Kubernetes-Überwachungsprotokolle bereitgestellt. Beispiele für Ereignisse auf dieser Ebene sind verfügbar gemachte Kubernetes-Dashboards und die Erstellung von Rollen mit hohen Berechtigungen sowie von sensiblen Einbindungen.
Darüber hinaus geht unsere Bedrohungserkennung über die Kubernetes-Verwaltungsebene hinaus. Defender für Container umfasst Bedrohungserkennung auf Hostebene mit mehr als 60 Kubernetes-fähigen Analysen, KI- und Anomalieerkennungen auf der Grundlage ihrer Laufzeitworkload. Unser globales Team von Sicherheitsexperten überwacht ständig die Bedrohungslandschaft. Sie fügen containerspezifische Warnungen und Sicherheitsrisiken hinzu, sobald sie erkannt werden. Gemeinsam überwacht diese Lösung die wachsende Angriffsfläche von Multi-Cloud-Kubernetes-Bereitstellungen und verfolgt die MITRE ATT&CK®-Matrix für Container. Ein Framework, das vom Center für Threat-Informed Defense in enger Partnerschaft mit Microsoft und anderen Partnern entwickelt wurde.