Zabezpieczenia kontenerów w usłudze Microsoft Defender for Containers

  • 3 min

Usługa Microsoft Defender for Containers to natywne dla chmury rozwiązanie do ulepszania, monitorowania i obsługi zabezpieczeń konteneryzowanych zasobów (klastrów Kubernetes, węzłów Kubernetes, obciążeń Kubernetes, rejestrów kontenerów, obrazów kontenerów i nie tylko) oraz ich aplikacji w środowiskach wielochmurowych i lokalnych.

Usługa Defender for Containers ułatwia obsługę czterech podstawowych domen zabezpieczeń kontenerów:

  • Zarządzanie stanem zabezpieczeń — wykonuje ciągłe monitorowanie interfejsów API chmury, interfejsów API platformy Kubernetes i obciążeń Kubernetes w celu odnajdywania zasobów w chmurze, zapewnia kompleksowe możliwości spisu, wykrywa błędy konfiguracji i udostępnia wskazówki, aby je ograniczyć, zapewnić kontekstową ocenę ryzyka i umożliwić użytkownikom wykonywanie rozszerzonych funkcji wyszukiwania zagrożeń za pośrednictwem eksploratora zabezpieczeń Defender dla Chmury.
  • Ocena luk w zabezpieczeniach — zapewnia ocenę luk w zabezpieczeniach bez agenta dla platformy Azure, AWS i GCP z wytycznymi korygowania, konfiguracją zerową, codziennym skanowaniem, pokryciem pakietów systemu operacyjnego i języka oraz szczegółowymi informacjami o możliwościach wykorzystania.
  • Ochrona przed zagrożeniami w czasie wykonywania — bogaty pakiet wykrywania zagrożeń dla klastrów Kubernetes, węzłów i obciążeń, obsługiwany przez wiodącą analizę zagrożeń firmy Microsoft, zapewnia mapowanie na platformę MITRE ATT&CK w celu łatwego zrozumienia ryzyka i odpowiedniego kontekstu, zautomatyzowanej reakcji oraz zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM) /rozszerzonej integracji wykrywania i reagowania (XDR).
  • Wdrażanie i monitorowanie — monitoruje klastry Kubernetes pod kątem brakujących agentów i zapewnia bezproblemowe wdrażanie na dużą skalę dla możliwości opartych na agentach, obsługę standardowych narzędzi do monitorowania kubernetes i zarządzanie niemonitorowanych zasobów.

Dostępność planu Microsoft Defender dla Kontenerów

Aspekt Szczegóły
Stan wydania: Ogólna dostępność
Niektóre funkcje są dostępne w wersji zapoznawczej. Aby uzyskać pełną listę, zobacz macierz obsługi kontenerów w Defender dla Chmury
Dostępność funkcji Zapoznaj się z macierzą obsługi kontenerów w Defender dla Chmury, aby uzyskać dodatkowe informacje na temat stanu i dostępności wersji funkcji.
Cennik: Opłaty za usługę Microsoft Defender for Containers są naliczane, jak pokazano na stronie cennika
Wymagane role i uprawnienia: • Aby wdrożyć wymagane składniki, zobacz uprawnienia dla każdego ze składników
• Administrator zabezpieczeń może odrzucać alerty
• Czytelnik zabezpieczeń może wyświetlać wyniki oceny luk w zabezpieczeniach
Zobacz również Role korygowania i ról i uprawnień usługi Azure Container Registry
Chmury: Wyświetl macierz obsługi kontenerów w Defender dla Chmury, aby zobaczyć dostępność chmury.

Zarządzanie stanem zabezpieczeń

Możliwości bez agenta

  • Odnajdywanie bez agenta dla platformy Kubernetes — zapewnia zerowe ślady, oparte na interfejsie API odnajdywanie klastrów Kubernetes , ich konfiguracji i wdrożeń.
  • Ocena luk w zabezpieczeniach bez agenta — zapewnia ocenę luk w zabezpieczeniach dla wszystkich obrazów kontenerów, w tym rekomendacje dotyczące rejestru i środowiska uruchomieniowego, szybkie skanowanie nowych obrazów, codzienne odświeżanie wyników, szczegółowe informacje o możliwości wykorzystania i nie tylko. Informacje o lukach w zabezpieczeniach są dodawane do grafu zabezpieczeń na potrzeby kontekstowej oceny ryzyka i obliczania ścieżek ataków oraz możliwości wyszukiwania zagrożeń.
  • Kompleksowe możliwości spisu — umożliwia eksplorowanie zasobów, zasobników, usług, repozytoriów, obrazów i konfiguracji za pośrednictwem Eksploratora zabezpieczeń w celu łatwego monitorowania zasobów i zarządzania nimi.
  • Ulepszone wyszukiwanie zagrożeń — umożliwia administratorom zabezpieczeń aktywne wyszukiwanie problemów ze stanem w swoich konteneryzowanych zasobach za pomocą zapytań (wbudowanych i niestandardowych) oraz szczegółowych informacji o zabezpieczeniach w eksploratorze zabezpieczeń
  • Wzmacnianie zabezpieczeń płaszczyzny sterowania — stale ocenia konfiguracje klastrów i porównuje je z inicjatywami zastosowanymi do subskrypcji. W przypadku znalezienia błędów konfiguracji Defender dla Chmury generuje zalecenia dotyczące zabezpieczeń dostępne na stronie Zalecenia Defender dla Chmury. Zalecenia umożliwiają badanie i korygowanie problemów.

Możesz użyć filtru zasobów, aby przejrzeć zaległe zalecenia dotyczące zasobów związanych z kontenerem, niezależnie od tego, czy są dostępne w spisie zasobów, czy na stronie zaleceń:

Zrzut ekranu przedstawiający przykład użycia filtru zasobów w celu przejrzenia wybitnych zaleceń.

Uwaga

Aby uzyskać szczegółowe informacje zawarte w tej funkcji, zapoznaj się z sekcją kontenerów w tabeli referencyjnej zaleceń i poszukaj zaleceń o typie "Płaszczyzna sterowania"

Możliwości oparte na agencie

Wzmacnianie zabezpieczeń płaszczyzny danych platformy Kubernetes — aby chronić obciążenia kontenerów Kubernetes przy użyciu zaleceń dotyczących najlepszych rozwiązań, możesz zainstalować usługę Azure Policy dla platformy Kubernetes. Dowiedz się więcej o składnikach monitorowania Defender dla Chmury.

Dzięki dodaniu w klastrze Kubernetes każde żądanie do serwera interfejsu API Kubernetes jest monitorowane względem wstępnie zdefiniowanego zestawu najlepszych rozwiązań przed utrwalone w klastrze. Następnie można ją skonfigurować, aby wymusić najlepsze rozwiązania i zastosować je do przyszłych obciążeń.

Na przykład można na przykład nadawać uprawnienia do tworzenia uprzywilejowanych kontenerów, a wszelkie przyszłe żądania do tego są blokowane.

Ocena luk w zabezpieczeniach

Usługa Defender for Containers skanuje obrazy kontenerów w usłudze Azure Container Registry (ACR), Amazon AWS Elastic Container Registry (ECR), Google Artifact Registry (GAR) i Google Container Registry (GCR) w celu zapewnienia bez agenta oceny luk w zabezpieczeniach dla obrazów kontenerów, w tym rekomendacji rejestru i środowiska uruchomieniowego, wskazówek korygujących, szybkiego skanowania nowych obrazów, rzeczywistych szczegółowych informacji o wykorzystaniu luk w zabezpieczeniach i nie tylko.

Informacje o lukach w zabezpieczeniach obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender są dodawane do grafu zabezpieczeń chmury na potrzeby kontekstowego ryzyka, obliczania ścieżek ataków i możliwości wyszukiwania zagrożeń.

Istnieją dwa rozwiązania do oceny luk w zabezpieczeniach na platformie Azure, jedno obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender i jedno obsługiwane przez firmę Qualys.

Ochrona w czasie wykonywania dla węzłów i klastrów Kubernetes

Usługa Defender for Containers zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla obsługiwanych środowisk konteneryzowanych i generuje alerty dotyczące podejrzanych działań. Te informacje pozwalają na szybkie rozwiązywanie problemów dotyczących zabezpieczeń i poprawę bezpieczeństwa kontenerów.

Ochrona przed zagrożeniami jest zapewniana dla platformy Kubernetes na poziomie klastra, na poziomie węzła i na poziomie obciążenia oraz obejmuje zarówno pokrycie oparte na agencie usługi Defender, jak i pokrycie bez agenta oparte na analizie dzienników inspekcji platformy Kubernetes. Alerty zabezpieczeń są wyzwalane tylko dla akcji i wdrożeń występujących po włączeniu usługi Defender for Containers w ramach subskrypcji.

  • Przykłady zdarzeń zabezpieczeń monitorujących przez usługę Microsoft Defenders for Containers:
  • Uwidocznione pulpity nawigacyjne platformy Kubernetes
  • Tworzenie ról z wysokimi uprawnieniami

Tworzenie poufnych instalacji

Alerty zabezpieczeń można wyświetlić, wybierając kafelek Alerty zabezpieczeń w górnej części strony przeglądu Defender dla Chmury lub link z paska bocznego.

Zrzut ekranu przedstawiający przykład wyświetlania alertów zabezpieczeń na stronie przeglądu Defender dla Chmury.

Zostanie otwarta strona alertów zabezpieczeń:

Zrzut ekranu przedstawiający przykład wyświetlania alertów zabezpieczeń dla obciążenia środowiska uruchomieniowego w klastrach.

Alerty zabezpieczeń dotyczące obciążenia środowiska uruchomieniowego w klastrach mogą być rozpoznawane przez rozwiązanie Kubernetes K8S. NODE_ prefiks typu alertu.

Usługa Defender for Containers obejmuje również wykrywanie zagrożeń na poziomie hosta z ponad 60 analizami obsługującymi platformę Kubernetes, sztuczną inteligencją i wykrywaniem anomalii na podstawie obciążenia środowiska uruchomieniowego.