Containerbeveiliging in Microsoft Defender for Containers
Microsoft Defender for Containers is een cloudeigen oplossing voor het verbeteren, bewaken en onderhouden van de beveiliging van uw containerassets (Kubernetes-clusters, Kubernetes-knooppunten, Kubernetes-workloads, containerregisters, containerinstallatiekopieën en meer) en hun toepassingen, in meerdere cloud- en on-premises omgevingen.
Defender for Containers helpt u bij vier kerndomeinen van containerbeveiliging:
- Beveiligingspostuurbeheer: voert continue bewaking uit van cloud-API's, Kubernetes-API's en Kubernetes-workloads om cloudresources te detecteren, uitgebreide inventarismogelijkheden te bieden, onjuiste configuraties te detecteren en richtlijnen te bieden om ze te beperken, contextuele risicoanalyse te bieden en gebruikers in staat te stellen verbeterde mogelijkheden voor het opsporen van risico's uit te voeren via de Defender voor Cloud Beveiligingsverkenner.
- Evaluatie van beveiligingsproblemen: biedt evaluatie van beveiligingsproblemen zonder agent voor Azure, AWS en GCP met herstelrichtlijnen, nulconfiguratie, dagelijkse herscans, dekking voor besturingssysteem- en taalpakketten en inzichten in exploitabiliteit.
- Runtime-bedreigingsbeveiliging: een uitgebreide suite voor bedreigingsdetectie voor Kubernetes-clusters, -knooppunten en -workloads, mogelijk gemaakt door toonaangevende bedreigingsinformatie van Microsoft, biedt toewijzing aan MITRE ATT&CK-framework voor eenvoudig inzicht in risico's en relevante context, geautomatiseerde reacties en SIEM-integratie (Security Information and Event Management)/Extended Detection and Response (XDR).
- Implementatie en bewaking: bewaakt uw Kubernetes-clusters op ontbrekende agents en biedt probleemloze implementatie op schaal voor op agents gebaseerde mogelijkheden, ondersteuning voor standaard Kubernetes-bewakingshulpprogramma's en beheer van niet-bewaakte resources.
Beschikbaarheid van Microsoft Defender voor Containers-plannen
| Aspect | DETAILS |
|---|---|
| Releasestatus: | Algemene beschikbaarheid (GA) Bepaalde functies zijn beschikbaar als preview-versie. Zie de ondersteuningsmatrix containers in Defender voor Cloud voor een volledige lijst |
| Beschikbaarheid van functies | Raadpleeg de ondersteuningsmatrix voor containers in Defender voor Cloud voor meer informatie over de status en beschikbaarheid van functies. |
| Prijzen: | Microsoft Defender for Containers wordt gefactureerd zoals wordt weergegeven op de pagina met prijzen |
| Vereiste rollen en machtigingen: | • Zie de machtigingen voor elk van de onderdelen om de vereiste onderdelen te implementeren • Beveiligingsbeheerder kan waarschuwingen negeren • Beveiligingslezer kan resultaten van evaluatie van beveiligingsproblemen bekijken Zie ook Rollen voor herstel en Azure Container Registry-rollen en -machtigingen |
| Clouds: | Bekijk de ondersteuningsmatrix voor containers in Defender voor Cloud om de beschikbaarheid van de cloud te bekijken. |
Beheer van beveiligingspostuur
Mogelijkheden zonder agent
- Detectie zonder agent voor Kubernetes : biedt geen footprint, OP API gebaseerde detectie van uw Kubernetes-clusters, hun configuraties en implementaties.
- Evaluatie van beveiligingsproblemen zonder agent: biedt evaluatie van beveiligingsproblemen voor alle containerinstallatiekopieën, waaronder aanbevelingen voor register en runtime, snelle scans van nieuwe installatiekopieën, dagelijkse vernieuwing van resultaten, inzichten in exploitabiliteit en meer. Informatie over beveiligingsproblemen wordt toegevoegd aan de beveiligingsgrafiek voor contextuele risicoanalyse en berekening van aanvalspaden en opsporingsmogelijkheden.
- Uitgebreide inventarismogelijkheden : hiermee kunt u resources, pods, services, opslagplaatsen, afbeeldingen en configuraties verkennen via Security Explorer om uw assets eenvoudig te bewaken en te beheren.
- Verbeterde opsporing van risico's : stelt beveiligingsbeheerders in staat om actief op houdingsproblemen in hun containerassets te zoeken via query's (ingebouwd en aangepast) en beveiligingsinzichten in security Explorer
-
Beveiliging van besturingsvlak: evalueert continu de configuraties van uw clusters en vergelijkt deze met de initiatieven die op uw abonnementen zijn toegepast. Wanneer onjuiste configuraties worden gevonden, genereert Defender voor Cloud beveiligingsaankopen die beschikbaar zijn op de pagina Aanbevelingen van Defender voor Cloud. Met de aanbevelingen kunt u problemen onderzoeken en oplossen.
U kunt het resourcefilter gebruiken om de openstaande aanbevelingen voor uw containerresources te bekijken, ongeacht of deze zich in de assetinventaris of de aanbevelingenpagina bevinden:
Notitie
Raadpleeg de sectie Containers van de referentietabel met aanbevelingen voor meer informatie over deze mogelijkheid en zoek naar aanbevelingen met het type 'Besturingsvlak'
Mogelijkheden op basis van agents
Kubernetes-gegevensvlakbeveiliging: als u de workloads van uw Kubernetes-containers wilt beveiligen met best practice-aanbevelingen, kunt u Azure Policy voor Kubernetes installeren. Meer informatie over bewakingsonderdelen voor Defender voor Cloud.
Met de invoegtoepassing op uw Kubernetes-cluster wordt elke aanvraag naar de Kubernetes-API-server gecontroleerd op basis van de vooraf gedefinieerde set aanbevolen procedures voordat deze wordt bewaard in het cluster. Vervolgens kunt u deze configureren om de aanbevolen procedures af te dwingen en deze te verplichten voor toekomstige workloads.
U kunt bijvoorbeeld verplichten dat bevoegde containers niet mogen worden gemaakt en dat toekomstige aanvragen hiervoor worden geblokkeerd.
Evaluatie van beveiligingsproblemen
Defender for Containers scant de containerinstallatiekopieën in Azure Container Registry (ACR), Amazon AWS Elastic Container Registry (ECR), Google Artifact Registry (GAR) en Google Container Registry (GCR) om beveiligingsproblemen zonder agent te beoordelen voor uw containerinstallatiekopieën, waaronder aanbevelingen voor register en runtime, herstelrichtlijnen, snelle scans van nieuwe installatiekopieën, inzichten in exploitabiliteit, en meer.
Informatie over beveiligingsproblemen die mogelijk wordt gemaakt door Microsoft Defender Vulnerability Management, wordt toegevoegd aan de cloudbeveiligingsgrafiek voor contextueel risico, berekening van aanvalspaden en opsporingsmogelijkheden.
Er zijn twee oplossingen voor evaluatie van beveiligingsproblemen in Azure, één mogelijk gemaakt door Microsoft Defender Vulnerability Management en één met Qualys.
Runtime-beveiliging voor Kubernetes-knooppunten en -clusters
Defender for Containers biedt realtime bedreigingsbeveiliging voor ondersteunde containeromgevingen en genereert waarschuwingen voor verdachte activiteiten. U kunt deze informatie gebruiken om snel beveiligingsproblemen op te lossen en om de beveiliging van uw containers te verbeteren.
Bedreigingsbeveiliging wordt geboden voor Kubernetes op clusterniveau, knooppuntniveau en workloadniveau en omvat zowel op agents gebaseerde dekking waarvoor de Defender-agent en de dekking zonder agent zijn vereist die is gebaseerd op analyse van de Kubernetes-auditlogboeken. Beveiligingswaarschuwingen worden alleen geactiveerd voor acties en implementaties die optreden nadat u Defender for Containers voor uw abonnement hebt ingeschakeld.
- Voorbeelden van beveiligingsevenementen die door Microsoft Defenders for Containers worden bewaakt, zijn:
- Weergegeven Kubernetes-dashboards
- Het maken van rollen met hoge bevoegdheden
Het maken van gevoelige koppelingen
U kunt beveiligingswaarschuwingen bekijken door de tegel Beveiligingswaarschuwingen boven aan de overzichtspagina van de Defender voor Cloud of de koppeling in de zijbalk te selecteren.
De pagina Beveiligingswaarschuwingen wordt geopend:
Beveiligingswaarschuwingen voor runtimeworkloads in de clusters kunnen worden herkend door de Kubernetes K8S. NODE_ voorvoegsel van het waarschuwingstype.
Defender for Containers bevat ook detectie van bedreigingen op hostniveau met meer dan 60 Kubernetes-compatibele analyses, AI en anomaliedetecties op basis van uw runtimeworkload.