Containerbeveiliging in Defender voor Cloud
Microsoft Defender for Containers is een cloudeigen oplossing voor het verbeteren, bewaken en onderhouden van de beveiliging van uw containerassets (Kubernetes-clusters, Kubernetes-knooppunten, Kubernetes-workloads, containerregisters, containerinstallatiekopieën en meer) en hun toepassingen, in meerdere cloud- en on-premises omgevingen.
Defender for Containers helpt u bij vier kerndomeinen van containerbeveiliging:
Met beveiligingspostuurbeheer wordt continue bewaking uitgevoerd van cloud-API's, Kubernetes-API's en Kubernetes-workloads om cloudresources te detecteren, uitgebreide inventarismogelijkheden te bieden, onjuiste configuraties te detecteren met risicobeperkingsrichtlijnen, contextuele risicoanalyse te bieden en gebruikers in staat te stellen uitgebreide mogelijkheden voor het opsporen van risico's uit te voeren via de Defender voor Cloud Security Explorer.
Evaluatie van beveiligingsproblemen: voert evaluatie van beveiligingsproblemen zonder agent uit van ondersteunde K8s-knooppunten en containerregisters met herstelrichtlijnen, nulconfiguratie, dagelijkse herscans, dekking voor besturingssysteem- en taalpakketten en exploitabiliteitsinzichten.
Runtime-bedreigingsbeveiliging : een uitgebreide suite voor bedreigingsdetectie voor Kubernetes-clusters, knooppunten en workloads, mogelijk gemaakt door toonaangevende bedreigingsinformatie van Microsoft, biedt toewijzing aan MITRE ATT&CK-framework voor eenvoudig inzicht in risico's en relevante context en geautomatiseerde reacties. Beveiligingsoperators kunnen ook bedreigingen voor Kubernetes-services onderzoeken en erop reageren via de Microsoft Defender XDR-portal.
Implementatie en bewaking: bewaakt uw Kubernetes-clusters op ontbrekende sensoren en biedt probleemloze implementatie op schaal voor op sensor gebaseerde mogelijkheden, ondersteuning voor standaard Kubernetes-bewakingshulpprogramma's en beheer van niet-bewaakte resources.
U vindt meer informatie door deze video te bekijken vanuit de Defender voor Cloud in de videoserie Veld: Microsoft Defender for Containers.
Beschikbaarheid van Microsoft Defender voor Containers-plannen
| Aspect | DETAILS |
|---|---|
| Releasestatus: | Algemene beschikbaarheid (GA) Bepaalde functies zijn beschikbaar als preview-versie. Zie de ondersteuningsmatrix containers in Defender voor Cloud voor een volledige lijst |
| Beschikbaarheid van functies | Raadpleeg de ondersteuningsmatrix voor containers in Defender voor Cloud voor meer informatie over de status en beschikbaarheid van functies |
| Prijzen: | Microsoft Defender for Containers wordt gefactureerd zoals wordt weergegeven op de pagina met prijzen |
| Vereiste rollen en machtigingen: | * Als u de vereiste onderdelen wilt implementeren, raadpleegt u de machtigingen voor elk van de onderdelen * Beveiligingsbeheerder kan waarschuwingen negeren * Beveiligingslezer kan resultaten van evaluatie van beveiligingsproblemen bekijken Zie ook Rollen voor herstel en Azure Container Registry-rollen en -machtigingen |
| Clouds: | Bekijk de ondersteuningsmatrix voor containers in Defender voor Cloud om de beschikbaarheid van de cloud te bekijken |
Beheer van beveiligingspostuur
Mogelijkheden zonder agent
Detectie zonder agent voor Kubernetes : biedt geen footprint, OP API gebaseerde detectie van uw Kubernetes-clusters, configuraties en implementaties.
Evaluatie van beveiligingsproblemen zonder agent: biedt evaluatie van beveiligingsproblemen voor clusterknooppunten en voor alle containerinstallatiekopieën, waaronder aanbevelingen voor register en runtime, snelle scans van nieuwe installatiekopieën, dagelijkse vernieuwing van resultaten, exploitabiliteitsinzichten en meer. Informatie over beveiligingsproblemen wordt toegevoegd aan de beveiligingsgrafiek voor contextuele risicoanalyse en berekening van aanvalspaden en opsporingsmogelijkheden.
Uitgebreide inventarismogelijkheden : hiermee kunt u resources, pods, services, opslagplaatsen, installatiekopieën en configuraties verkennen via Security Explorer om uw assets eenvoudig te bewaken en te beheren.
Verbeterde opsporing van risico's : stelt beveiligingsbeheerders in staat om actief op houdingsproblemen in hun containerassets te zoeken via query's (ingebouwd en aangepast) en beveiligingsinzichten in security Explorer
Beveiliging van besturingsvlak: evalueert continu de configuraties van uw clusters en vergelijkt deze met de initiatieven die op uw abonnementen zijn toegepast. Wanneer onjuiste configuraties worden gevonden, genereert Defender voor Cloud beveiligingsaankopen die beschikbaar zijn op de pagina Aanbevelingen van Defender voor Cloud. Met de aanbevelingen kunt u problemen onderzoeken en oplossen.
U kunt het resourcefilter gebruiken om de openstaande aanbevelingen voor uw containerresources te bekijken, ongeacht of deze zich in de assetinventaris of de aanbevelingenpagina bevinden:
Bekijk de aanbevelingen voor containers voor meer informatie over deze mogelijkheid en zoek naar aanbevelingen met het type 'Besturingsvlak'
Op sensor gebaseerde mogelijkheden
Binaire driftdetectie : Defender for Containers biedt een sensorfunctie die u waarschuwt over mogelijke beveiligingsrisico's door onbevoegde externe processen binnen containers te detecteren. U kunt driftbeleid definiëren om voorwaarden op te geven waaronder waarschuwingen moeten worden gegenereerd, zodat u onderscheid kunt maken tussen legitieme activiteiten en potentiële bedreigingen. Zie Binaire driftbeveiliging (preview) voor meer informatie.
Kubernetes-gegevensvlakbeveiliging : als u de workloads van uw Kubernetes-containers wilt beveiligen met best practice-aanbevelingen, kunt u Azure Policy voor Kubernetes installeren. Meer informatie over bewakingsonderdelen voor Defender voor Cloud.
Met het beleid dat is gedefinieerd voor uw Kubernetes-cluster, wordt elke aanvraag voor de Kubernetes-API-server gecontroleerd op basis van de vooraf gedefinieerde set aanbevolen procedures voordat deze wordt bewaard in het cluster. Vervolgens kunt u deze configureren om de aanbevolen procedures af te dwingen en deze te verplichten voor toekomstige workloads.
U kunt bijvoorbeeld verplichten dat bevoegde containers niet mogen worden gemaakt en dat toekomstige aanvragen hiervoor worden geblokkeerd.
Meer informatie over Kubernetes-gegevensvlakbeveiliging vindt u.
Evaluatie van beveiligingsproblemen
Defender for Containers scant het clusterknooppunt os en toepassingssoftware, containerinstallatiekopieën in Azure Container Registry (ACR), Amazon AWS Elastic Container Registry (ECR), Google Artifact Registry (GAR), Google Container Registry (GCR) en ondersteunde externe installatiekopieregisters om beveiligingsproblemen zonder agent te beoordelen.
Informatie over beveiligingsproblemen die mogelijk wordt gemaakt door Microsoft Defender Vulnerability Management, wordt toegevoegd aan de cloudbeveiligingsgrafiek voor contextueel risico, berekening van aanvalspaden en opsporingsmogelijkheden.
Meer informatie over evaluatie van beveiligingsproblemen voor:
Containerregisters -
- Evaluaties van beveiligingsproblemen voor Azure met Microsoft Defender Vulnerability Management
- Evaluaties van beveiligingsproblemen voor AWS met Microsoft Defender Vulnerability Management
- Evaluaties van beveiligingsproblemen voor GCP met Microsoft Defender Vulnerability Management
Clusterknooppunten -
Runtime-beveiliging voor Kubernetes-knooppunten en -clusters
Defender for Containers biedt realtime bedreigingsbeveiliging voor ondersteunde containeromgevingen en genereert waarschuwingen voor verdachte activiteiten. U kunt deze informatie gebruiken om snel beveiligingsproblemen op te lossen en om de beveiliging van uw containers te verbeteren.
Bedreigingsbeveiliging wordt geboden voor Kubernetes op cluster-, knooppunt- en workloadniveau. Zowel op sensor gebaseerde dekking waarvoor de Defender-sensor is vereist als dekking zonder agent die is gebaseerd op analyse van de Kubernetes-auditlogboeken, worden gebruikt om bedreigingen te detecteren. Beveiligingswaarschuwingen worden alleen geactiveerd voor acties en implementaties die optreden nadat u Defender for Containers voor uw abonnement hebt ingeschakeld.
Voorbeelden van beveiligingsevenementen die door Microsoft Defenders for Containers worden bewaakt, zijn:
- Weergegeven Kubernetes-dashboards
- Het maken van rollen met hoge bevoegdheden
- Het maken van gevoelige koppelingen
U kunt beveiligingswaarschuwingen bekijken door de tegel Beveiligingswaarschuwingen boven aan de overzichtspagina van de Defender voor Cloud of de koppeling in de zijbalk te selecteren.
Beveiligingswaarschuwingen voor runtimeworkloads in de clusters hebben het voorvoegsel van het K8S.NODE_ waarschuwingstype. Zie de referentietabel met waarschuwingen op clusterniveau voor een volledige lijst met waarschuwingen.
Defender for Containers bevat detectie van bedreigingen met meer dan 60 Kubernetes-compatibele analyses, AI en anomaliedetecties op basis van uw runtimeworkload.
Defender voor Cloud bewaakt de kwetsbaarheid voor aanvallen van Kubernetes-implementaties met meerdere clouds op basis van de MITRE ATT&CK-matrix® voor containers, een framework dat is ontwikkeld door het Center for Threat-Informed Defense in nauwe samenwerking met Microsoft.
Defender voor Cloud is geïntegreerd met Microsoft Defender XDR. Wanneer Defender for Containers is ingeschakeld, kunnen beveiligingsoperators Defender XDR gebruiken om beveiligingsproblemen in ondersteunde Kubernetes-services te onderzoeken en erop te reageren .
Meer informatie
Meer informatie over Defender for Containers vindt u in de volgende blogs:
Volgende stappen
In dit overzicht hebt u geleerd over de belangrijkste elementen van containerbeveiliging in Microsoft Defender voor Cloud. Als u het plan wilt inschakelen, raadpleegt u:
- Defender for Containers inschakelen
- Bekijk veelgestelde vragen over Defender for Containers.