Seguridad de contenedores en Microsoft Defender para contenedores

  • 3 minutos

Microsoft Defender para contenedores es una solución nativa de nube para mejorar, supervisar y mantener la seguridad de los recursos contenedorizados (clústeres de Kubernetes, nodos de Kubernetes, cargas de trabajo de Kubernetes, registros de contenedor, imágenes de contenedor y mucho más) y sus aplicaciones, en entornos multinube y locales.

Defender para contenedores le ayuda con cuatro dominios principales de la seguridad de los contenedores:

  • Administración de la posición de seguridad: Realiza la supervisión continua de las API en la nube, las API de Kubernetes y las cargas de trabajo de Kubernetes para detectar recursos en la nube, proporcionar funcionalidades de inventario completas, detectar configuraciones incorrectas y proporcionar directrices para mitigarlos, proporcionar evaluación de riesgos contextuales y permitir a los usuarios realizar funcionalidades de búsqueda de riesgos mejoradas a través del Explorador de seguridad de Defender for Cloud.
  • Evaluación de vulnerabilidades: proporciona una evaluación de vulnerabilidades sin agentes para Azure y AWS con directrices de corrección, configuración cero, nuevos exámenes diarios, cobertura para paquetes de SO e idioma e información sobre vulnerabilidades.
  • Protección contra amenazas en tiempo de ejecución: un amplio conjunto de detección de amenazas para clústeres, nodos y cargas de trabajo de Kubernetes, con tecnología de inteligencia sobre amenazas líder de Microsoft, proporciona una asignación al marco MITRE ATT&CK para comprender fácilmente el riesgo y el contexto relevante, la respuesta automatizada y la integración de la Administración de eventos e información de seguridad (SIEM)/Detección y respuesta extendidas (XDR).
  • Implementación y supervisión: Supervisa los clústeres de Kubernetes para los agentes que faltan y proporciona una implementación sin fricción a escala para funcionalidades basadas en agentes, compatibilidad con herramientas de supervisión estándar de Kubernetes y administración de recursos no supervisados.

Disponibilidad de planes de Microsoft Defender para contenedores

Aspecto Detalles
Estado de lanzamiento Disponibilidad general (GA)
Algunas características están en versión preliminar. Para obtener una lista completa, consulte Matriz de compatibilidad de contenedores en Defender for Cloud
Disponibilidad de funcionalidades Consulte la matriz de compatibilidad de contenedores en Defender for Cloud para obtener información adicional sobre el estado y la disponibilidad de la versión de actualización de características.
Precios: Microsoft Defender para contenedores se factura como se muestra en la página de precios.
Roles y permisos necesarios: • Para implementar automáticamente los componentes necesarios, consulte los permisos de cada uno de los componentes.
• El administrador de seguridad puede descartar las alertas
• El Lector de seguridad puede visualizar las vulnerabilidades de la evaluación
Consulte también Roles para la corrección y Roles y permisos de Azure Container Registry
Nubes: Vea la matriz de compatibilidad de contenedores en Defender for Cloud para ver la disponibilidad en la nube.

Administración de la postura de seguridad

Funcionalidades sin agente

  • Detección sin agente para Kubernetes: proporciona una detección basada en API y con superficie cero de los clústeres de Kubernetes, sus configuraciones e implementaciones.
  • Evaluación de vulnerabilidades sin agente: Proporciona una evaluación de vulnerabilidades de todas las imágenes de contenedor, incluidas recomendaciones para el registro y el tiempo de ejecución, exámenes casi en tiempo real de las imágenes nuevas, actualización diaria de los resultados, información sobre vulnerabilidades de seguridad, etc. La información sobre vulnerabilidades se agrega al grafo de seguridad para la evaluación contextual del riesgo y el cálculo de rutas de acceso de los ataques y las funcionalidades de búsqueda.
  • Funcionalidades de inventario completas: permite explorar recursos, pods, servicios, repositorios, imágenes y configuraciones a través del explorador de seguridad para supervisar y administrar fácilmente los recursos.
  • Búsqueda de riesgos mejorada: permite a los administradores de seguridad buscar activamente problemas de seguridad en sus recursos en contenedores a través de consultas (integradas y personalizadas) e información de seguridad en el explorador de seguridad
  • Protección del plano de control: evalúa continuamente las configuraciones de los clústeres y las compara con las iniciativas aplicadas a las suscripciones. Cuando encuentra configuraciones incorrectas, Defender for Cloud genera recomendaciones de seguridad que están disponibles en la página Recomendaciones de Defender for Cloud. Las recomendaciones le permiten investigar y corregir problemas.

Puede usar el filtro de recursos para revisar las recomendaciones pendientes para los recursos relacionados con el contenedor, ya sea en el inventario de recursos o en la página de recomendaciones:

Captura de pantalla que muestra un ejemplo de cómo usar el filtro de recursos para revisar las recomendaciones pendientes.

Nota:

Para más información incluida con esta funcionalidad, consulte la sección contenedores de la tabla de referencia de recomendaciones y busque recomendaciones con el tipo "Plano de control"

Funcionalidades basadas en agente

Protección del plano de datos de Kubernetes: para proteger las cargas de trabajo de los contenedores de Kubernetes con recomendaciones de procedimientos recomendados, puede instalar Azure Policy para Kubernetes. Obtenga información sobre la supervisión de componentes para Defender for Cloud.

Con el complemento en el clúster de Kubernetes, todas las solicitudes al servidor de la API de Kubernetes se supervisan según el conjunto predefinido de procedimientos recomendados antes de que se guarden en el clúster. Después, puede realizar la configurar para aplicar los procedimientos recomendados y exigirlos para futuras cargas de trabajo.

Por ejemplo, puede exigir que no se creen los contenedores con privilegios y que se bloqueen las solicitudes futuras para este fin.

Evaluación de vulnerabilidades

Defender for Containers examina las imágenes de contenedor en Azure Container Registry (ACR), Amazon AWS Elastic Container Registry (ECR), Google Artifact Registry (GAR) y Google Container Registry (GCR) para proporcionar una evaluación de vulnerabilidades sin agente para las imágenes de contenedor, incluidas las recomendaciones de registro y tiempo de ejecución, instrucciones de corrección, exámenes rápidos de nuevas imágenes, información sobre vulnerabilidades de seguridad reales, información sobre vulnerabilidades de seguridad, etc.

La información de vulnerabilidades con tecnología de administración de vulnerabilidades de Microsoft Defender se agrega al gráfico de seguridad en la nube para el riesgo contextual, el cálculo de rutas de acceso a ataques y las funcionalidades de búsqueda.

Hay dos soluciones para la evaluación de vulnerabilidades en Azure, una con tecnología de Administración de vulnerabilidades de Microsoft Defender y otra con tecnología de Qualys.

Protección en tiempo de ejecución de los clústeres y nodos de Kubernetes

Defender para contenedores proporciona protección contra amenazas en tiempo real para los entornos en contenedores compatibles y genera alertas de actividades sospechosas. Puede usar esta información para corregir problemas de seguridad y mejorar la seguridad de los contenedores rápidamente.

La protección contra amenazas se proporciona para Kubernetes en el nivel de clúster, el nivel de nodo y el nivel de carga de trabajo, e incluye la cobertura basada en agentes que requiere el agente de Defender y la cobertura sin agente que se basa en el análisis de los registros de auditoría de Kubernetes. Las alertas de seguridad solo se desencadenan para las acciones e implementaciones que se producen después de habilitar Defender para contenedores en la suscripción.

  • Entre los ejemplos de eventos de seguridad que supervisa Microsoft Defender para contenedores, se incluyen los siguientes:
  • Paneles de Kubernetes expuestos.
  • Creación de roles con privilegios elevados.

Creación de montajes confidenciales

Para ver las alertas de seguridad, seleccione el icono Alertas de seguridad en la parte superior de la página de información general de Defender for Cloud o el vínculo de la barra lateral.

Captura de pantalla que muestra un ejemplo de cómo ver las alertas de seguridad en la página de información general de Defender for Cloud.

Se abre la página de alertas de seguridad:

Captura de pantalla que muestra un ejemplo de cómo ver las alertas de seguridad para la carga de trabajo en tiempo de ejecución en los clústeres.

El prefijo K8S.NODE_ de Kubernetes del tipo de alerta puede reconocer las alertas de seguridad para la carga de trabajo en tiempo de ejecución en los clústeres.

Defender para contenedores también incluye la detección de amenazas de nivel de host con más de 60 detecciones de anomalías, inteligencia artificial y análisis con reconocimiento de Kubernetes en función de la carga de trabajo en tiempo de ejecución.