Compartir a través de

Protección de contenedores en Defender for Cloud

  • Artículo

Microsoft Defender para contenedores es una solución nativa de nube para mejorar, supervisar y mantener la seguridad de los recursos contenedorizados (clústeres de Kubernetes, nodos de Kubernetes, cargas de trabajo de Kubernetes, registros de contenedor, imágenes de contenedor y mucho más) y sus aplicaciones, en entornos multinube y locales.

Defender para contenedores le ayuda con cuatro dominios principales de la seguridad de los contenedores:

  • Administración de la posición de seguridad ejecuta la supervisión continua de las API en la nube, las API de Kubernetes y las cargas de trabajo de Kubernetes para detectar recursos en la nube, proporcionar funcionalidades de inventario completas, detectar configuraciones incorrectas con directrices de mitigación, proporcionar evaluación de riesgos contextuales y permitir a los usuarios realizar funcionalidades mejoradas de búsqueda de riesgos a través del Explorador de seguridad de Defender for Cloud.

  • Evaluación de vulnerabilidades: realiza una evaluación de vulnerabilidades sin agente de nodos K8s y registros de contenedor admitidos con directrices de corrección, configuración cero, exámenes diarios, cobertura de paquetes de sistema operativo y lenguaje y información sobre vulnerabilidades de seguridad.

  • Protección contra amenazas en tiempo de ejecución: un amplio conjunto de detección de amenazas para clústeres, nodos y cargas de trabajo de Kubernetes, con tecnología de inteligencia sobre amenazas líder de Microsoft, proporciona asignación al marco MITRE ATT&CK para comprender fácilmente el riesgo y el contexto pertinente y la respuesta automatizada. Los operadores de seguridad también pueden investigar y responder a amenazas a los servicios de Kubernetes a través del Portal de Microsoft Defender XDR.

  • Implementación y supervisión: Supervisa los clústeres de Kubernetes para los sensores que faltan y proporciona una implementación sin fricción a escala para funcionalidades basadas en sensores, compatibilidad con herramientas de supervisión estándar de Kubernetes y administración de recursos no supervisados.

Para obtener más información, vea este vídeo en la serie de vídeos del ámbito de Defender for Cloud: Microsoft Defender para contenedores.

Disponibilidad de planes de Microsoft Defender para contenedores

Aspecto Detalles
Estado de la versión: Disponibilidad general (GA)
Algunas características están en versión preliminar. Para obtener una lista completa, consulte Matriz de compatibilidad de contenedores en Defender for Cloud
Disponibilidad de características Consulte la matriz de Soporte de contenedores en Defender for Cloud para obtener información adicional sobre el estado y la disponibilidad de la versión de actualización de características.
Precios: Microsoft Defender para contenedores se factura como se muestra en la página de precios.
Roles y permisos necesarios: * Para implementar los componentes necesarios, consulte los permisos para cada uno de los componentes
* Administrador de seguridad: puede descartar las alertas
* Lector de seguridad: puede ver los resultados de la evaluación de vulnerabilidades
Consulte también Roles para la corrección y Roles y permisos de Azure Container Registry
Nubes: Visualización de la Matriz de compatibilidad de contenedores en Defender for Cloud para ver la disponibilidad en la nube

Administración de la posición de seguridad

Funcionalidades sin agente

  • Detección sin agente para Kubernetes : proporciona cero superficie, detección basada en API de los clústeres, configuraciones e implementaciones de Kubernetes.

  • Evaluación de vulnerabilidades sin agente: proporciona una evaluación de vulnerabilidades para nodos de clúster y para todas las imágenes de contenedor, incluidas recomendaciones para el registro y el tiempo de ejecución, exámenes rápidos de nuevas imágenes, actualización diaria de resultados, información sobre vulnerabilidades de seguridad, y más. La información sobre vulnerabilidades se agrega al grafo de seguridad para la evaluación contextual del riesgo y el cálculo de rutas de acceso de los ataques y las funcionalidades de búsqueda.

  • Funcionalidades de inventario completas: permite explorar recursos, pods, servicios, repositorios, imágenes y configuraciones a través del explorador de seguridad para supervisar y administrar fácilmente los recursos.

  • Búsqueda de riesgos mejorada: permite a los administradores de seguridad buscar activamente problemas de posición en sus recursos contenedorizados a través de consultas (integradas y personalizadas) e información de seguridad en el explorador de seguridad

  • Protección del plano de control: evalúa continuamente las configuraciones de los clústeres y las compara con las iniciativas aplicadas a las suscripciones. Cuando encuentra configuraciones incorrectas, Defender for Cloud genera recomendaciones de seguridad que están disponibles en la página Recomendaciones de Defender for Cloud. Las recomendaciones le permiten investigar y corregir problemas.

    Puede usar el filtro de recursos para revisar las recomendaciones pendientes para los recursos relacionados con el contenedor, ya sea en el inventario de recursos o en la página de recomendaciones:

    Para obtener más información incluida con esta funcionalidad, revise las recomendaciones de contenedor y busque recomendaciones con el tipo "Plano de control"

Funcionalidades basadas en sensores

Detección de desfase binario: Defender para contenedores proporciona una funcionalidad basada en sensores que le avisa sobre posibles amenazas de seguridad mediante la detección de procesos externos no autorizados dentro de contenedores. Puede definir directivas de desfase para especificar las condiciones en las que se deben generar alertas, lo que le ayuda a distinguir entre actividades legítimas y posibles amenazas. Para obtener más información, consulte Protección de desfase binario (versión preliminar).

Protección del plano de datos de Kubernetes: para proteger las cargas de trabajo de los contenedores de Kubernetes con recomendaciones de procedimientos recomendados, puede instalar Azure Policy para Kubernetes. Obtenga información sobre la supervisión de componentes para Defender for Cloud.

Con las directivas definidas para el clúster de Kubernetes, todas las solicitudes al servidor de API de Kubernetes se supervisan con el conjunto predefinido de procedimientos recomendados antes de conservarse en el clúster. Después, puede realizar la configurar para aplicar los procedimientos recomendados y exigirlos para futuras cargas de trabajo.

Por ejemplo, puede exigir que no se creen los contenedores con privilegios y que se bloqueen las solicitudes futuras para este fin.

Puede obtener más información sobre la protección del plano de datos de Kubernetes.

Evaluación de vulnerabilidades

Defender para contenedores examina el sistema operativo del nodo de clúster y el software de aplicación, las imágenes de contenedor en Azure Container Registry (ACR), Amazon AWS Elastic Container Registry (ECR), Google Artifact Registry (GAR), Google Container Registry (GCR) y los registros de imágenes externos admitidos para proporcionar una evaluación de vulnerabilidades sin agente.

La información de vulnerabilidades con tecnología de administración de vulnerabilidades de Microsoft Defender se agrega al gráfico de seguridad en la nube para el riesgo contextual, el cálculo de rutas de acceso a ataques y las funcionalidades de búsqueda.

Obtenga más información sobre la evaluación de vulnerabilidades para:

Registros de contenedor:

Nodos de clúster:

Protección en tiempo de ejecución de los clústeres y nodos de Kubernetes

Defender para contenedores proporciona protección contra amenazas en tiempo real para los entornos en contenedores compatibles y genera alertas de actividades sospechosas. Puede usar esta información para corregir problemas de seguridad y mejorar la seguridad de los contenedores rápidamente.

La protección contra amenazas se proporciona para Kubernetes en los niveles de clúster, nodo y carga de trabajo. Tanto la cobertura basada en sensores que requiere elSensor de Defendery la cobertura sin agente que se basa en el análisis de los registros de auditoría de Kubernetes, se usan para detectar amenazas. Las alertas de seguridad solo se desencadenan para las acciones e implementaciones que se producen después de habilitar Defender para contenedores en la suscripción.

Entre los ejemplos de eventos de seguridad que supervisa Microsoft Defender para contenedores, se incluyen los siguientes:

  • Paneles de Kubernetes expuestos.
  • Creación de roles con privilegios elevados.
  • Creación de montajes confidenciales

Para ver las alertas de seguridad, seleccione el icono Alertas de seguridad en la parte superior de la página de información general de Defender for Cloud o el vínculo de la barra lateral.

Las alertas de seguridad para la carga de trabajo en tiempo de ejecución de los clústeres tienen el prefijo de tipo de alerta K8S.NODE_. Para la lista completa de las alertas de nivel de clúster, consulte la tabla de referencia de alertas.

Defender para contenedores incluye detección de amenazas con más de 60 análisis compatibles con Kubernetes, inteligencia artificial y detecciones de anomalías basadas en la carga de trabajo en tiempo de ejecución.

Defender for Cloud supervisa la superficie expuesta a ataques de implementaciones de Kubernetes multinube basadas en la matriz de MITRE ATT&CK® para contenedores, un marco desarrollado por el Centro para la defensa informada contra amenazas en estrecha colaboración con Microsoft.

Defender for Cloud se integra con XDR de Microsoft Defender. Cuando Defender para contenedores está habilitado, los operadores de seguridad pueden usar Defender XDR para investigar y responder a problemas de seguridad en los servicios de Kubernetes compatibles.

Saber más

Obtenga más información sobre Defender para contenedores en los siguientes blogs:

Pasos siguientes

En esta información general, ha aprendido los elementos básicos de la seguridad de los contenedores en Microsoft Defender para la nube. Para habilitar el plan, consulte: