Inzicht in Microsoft Defender voor containers
Microsoft Defender for Containers is de cloudeigen oplossing voor het beveiligen van uw containers.
Functies van Defender for Containers
Omgevingsbeveiliging : Defender for Containers beschermt uw Kubernetes-clusters, ongeacht of ze worden uitgevoerd in Azure Kubernetes Service, Kubernetes on-premises/ IaaS of Amazon EKS. Door voortdurend clusters te beoordelen, biedt Defender for Containers inzicht in onjuiste configuraties en richtlijnen om geïdentificeerde bedreigingen te beperken.
Evaluatie van beveiligingsproblemen: hulpprogramma's voor evaluatie en beheer van beveiligingsproblemen voor installatiekopieën die zijn opgeslagen in ACR-registers en worden uitgevoerd in Azure Kubernetes Service.
Runtime-bedreigingsbeveiliging voor knooppunten en clusters : bedreigingsbeveiliging voor clusters en Linux-knooppunten genereert beveiligingswaarschuwingen voor verdachte activiteiten.
Architectuur
De architectuur van de elementen die nodig zijn voor het volledige scala aan beveiligingen van Defender for Containers, varieert afhankelijk van waar uw Kubernetes-clusters worden gehost.
Defender voor Containers beveiligt uw clusters, ongeacht of ze worden uitgevoerd in:
Azure Kubernetes Service (AKS): de beheerde service van Microsoft voor het ontwikkelen, implementeren en beheren van toepassingen in containers.
Amazon Elastic Kubernetes Service (EKS) in een verbonden AWS-account (Amazon Web Services): de beheerde service van Amazon voor het uitvoeren van Kubernetes op AWS zonder dat u uw eigen Kubernetes-besturingsvlak of -knooppunten hoeft te installeren, te gebruiken en te onderhouden.
Een onbeheerde Kubernetes-distributie (met behulp van Kubernetes met Azure Arc) - CncF-gecertificeerde Kubernetes-clusters (Cloud Native Computing Foundation) die on-premises of op IaaS worden gehost.
Defender voor Cloud continu de configuraties van uw clusters beoordeelt en vergelijkt deze met de initiatieven die zijn toegepast op uw abonnementen. Wanneer onjuiste configuraties worden gevonden, genereert Defender voor Cloud beveiligingsaanaanvelingen. Gebruik de pagina met aanbevelingen van Defender voor Cloud om aanbevelingen weer te geven en problemen op te lossen.
Voor Kubernetes-clusters op EKS moet u uw AWS-account verbinden met Microsoft Defender voor Cloud via de pagina omgevingsinstellingen (zoals beschreven in Verbinding maken uw AWS-accounts met Microsoft Defender voor Cloud). Controleer vervolgens of u het CSPM-abonnement hebt ingeschakeld.
Omgevingsbeveiliging
Als u een bundel aanbevelingen wilt ontvangen om de workloads van uw Kubernetes-containers te beveiligen, installeert u Azure Policy voor Kubernetes. Automatische inrichting is standaard ingeschakeld wanneer u Defender for Containers inschakelt.
Met de invoegtoepassing op uw AKS-cluster wordt elke aanvraag voor de Kubernetes API-server gecontroleerd op basis van de vooraf gedefinieerde set aanbevolen procedures voordat deze naar het cluster gaat. Vervolgens kunt u instellingen configureren om de aanbevolen procedures af te dwingen en ze te verplichten voor toekomstige workloads.
U kunt er bijvoorbeeld voor zorgen dat containers met machtigingen niet moeten worden gemaakt, en toekomstige aanvragen hiervoor worden dan geblokkeerd.
Beveiligingsproblemen weergeven voor het uitvoeren van installatiekopieën
Defender for Containers breidt de functies voor registerscans van het Defender voor containerregisters uit door de preview-functie te introduceren van runtime-zichtbaarheid van beveiligingsproblemen die worden aangedreven door het Defender-profiel of een extensie.
In de nieuwe aanbeveling' 'het uitvoeren van containerinstallatiekopieën moeten beveiligingsproblemen zijn opgelost', worden alleen beveiligingsproblemen weergegeven voor het uitvoeren van installatiekopieën. De aanbeveling is afhankelijk van het Defender-beveiligingsprofiel of de extensie om te ontdekken welke installatiekopieën momenteel worden uitgevoerd. Deze aanbeveling groepeert installatiekopieën met beveiligingsproblemen en bevat details over de gedetecteerde problemen en hoe u deze herstelt. Het Defender-profiel of de extensie wordt gebruikt om inzicht te krijgen in kwetsbare containers die actief zijn.
Deze aanbeveling toont het uitvoeren van installatiekopieën en hun beveiligingsproblemen op basis van ACR-installatiekopieën. Installatiekopieën die zijn geïmplementeerd vanuit een niet-ACR-register, worden niet gescand en worden weergegeven op het tabblad Niet van toepassing.
Runtime-beveiliging voor Kubernetes-knooppunten en -clusters
Defender voor Cloud biedt realtime bedreigingsbeveiliging voor uw in containers geplaatste omgevingen en genereert waarschuwingen voor verdachte activiteiten. U kunt deze informatie gebruiken om snel beveiligingsproblemen op te lossen en om de beveiliging van uw containers te verbeteren.
Bedreigingsbeveiliging op clusterniveau wordt geleverd door het Defender-profiel en de analyse van de Kubernetes-auditlogboeken. Voorbeelden van gebeurtenissen op dit niveau zijn blootgestelde Kubernetes-dashboards, het maken van rollen met hoge bevoegdheden en het maken van gevoelige koppelingen.
Daarnaast gaat onze detectie van bedreigingen verder dan de Kubernetes-beheerlaag. Defender for Containers bevat detectie van bedreigingen op hostniveau met meer dan 60 Kubernetes-compatibele analyses, AI en anomaliedetecties op basis van uw runtimeworkload. Ons wereldwijde team van beveiligingsonderzoekers bewaakt voortdurend het bedreigingslandschap. Ze voegen containerspecifieke waarschuwingen en beveiligingsproblemen toe zodra ze worden gedetecteerd. Samen bewaakt deze oplossing de groeiende kwetsbaarheid voor aanvallen van Kubernetes-implementaties met meerdere clouds en houdt de MITRE ATT&CK-matrix® voor containers bij. Een framework dat is ontwikkeld door het Center for Threat-Informed Defense in nauwe samenwerking met Microsoft en andere partners.