Omówienie usługi Microsoft Defender for Containers

  • 7 min

Usługa Microsoft Defender for Containers to rozwiązanie natywne dla chmury do zabezpieczania kontenerów.

Funkcje usługi Defender for Containers

  • Wzmacnianie zabezpieczeń środowiska — usługa Defender for Containers chroni klastry Kubernetes niezależnie od tego, czy są one uruchomione w usłudze Azure Kubernetes Service, lokalnym rozwiązaniu Kubernetes/ IaaS lub Amazon EKS. Stale oceniając klastry, usługa Defender for Containers zapewnia wgląd w błędy konfiguracji i wskazówki ułatwiające eliminowanie zidentyfikowanych zagrożeń.

  • Ocena luk w zabezpieczeniach — narzędzia do oceny luk w zabezpieczeniach i zarządzania obrazami przechowywanymi w rejestrach usługi ACR i uruchomione w usłudze Azure Kubernetes Service.

  • Ochrona przed zagrożeniami w czasie wykonywania dla węzłów i klastrów — ochrona przed zagrożeniami dla klastrów i węzłów systemu Linux generuje alerty zabezpieczeń dla podejrzanych działań.

Architektura

Architektura elementów wymaganych do pełnego zakresu ochrony zapewnianych przez usługę Defender for Containers różni się w zależności od tego, gdzie są hostowane klastry Kubernetes.

Usługa Defender dla Kontenerów chroni klastry niezależnie od tego, czy działają w:

  • Azure Kubernetes Service (AKS) — zarządzana usługa firmy Microsoft do tworzenia, wdrażania i zarządzania aplikacjami konteneryzowanymi.

  • Amazon Elastic Kubernetes Service (EKS) na połączonym koncie usług Amazon Web Services (AWS) — zarządzana usługa Amazon do uruchamiania rozwiązania Kubernetes na platformie AWS bez konieczności instalowania, obsługi i obsługi własnej płaszczyzny sterowania lub węzłów platformy Kubernetes.

  • Niezarządzana dystrybucja Kubernetes (przy użyciu platformy Kubernetes z włączoną usługą Azure Arc) — certyfikowane klastry Kubernetes (Cloud Native Computing Foundation) hostowane lokalnie lub w usłudze IaaS.

Defender dla Chmury stale ocenia konfiguracje klastrów i porównuje je z inicjatywami zastosowanymi do subskrypcji. W przypadku znalezienia błędów konfiguracji Defender dla Chmury generuje zalecenia dotyczące zabezpieczeń. Użyj strony zaleceń Defender dla Chmury, aby wyświetlić zalecenia i rozwiązać problemy.

W przypadku klastrów Kubernetes w eks należy połączyć konto platformy AWS z Microsoft Defender dla Chmury za pośrednictwem strony ustawień środowiska (zgodnie z opisem w Połączenie konta platformy AWS w celu Microsoft Defender dla Chmury). Następnie upewnij się, że włączono plan CSPM.

Wzmacnianie zabezpieczeń środowiska

Aby otrzymać pakiet zaleceń dotyczących ochrony obciążeń kontenerów Kubernetes, zainstaluj usługę Azure Policy dla platformy Kubernetes. Domyślnie automatyczna aprowizacja jest włączona po włączeniu usługi Defender for Containers.

Po dodaniu w klastrze usługi AKS każde żądanie do serwera interfejsu API Kubernetes będzie monitorowane przed utrwalonem zestawem najlepszych rozwiązań przed utrwaleniam klastra. Następnie można skonfigurować, aby wymusić najlepsze rozwiązania i zastosować je do przyszłych obciążeń.

Możesz na przykład wymuś, że uprzywilejowane kontenery nie powinny być tworzone, a wszelkie przyszłe żądania do tego będą blokowane.

Wyświetlanie luk w zabezpieczeniach dla uruchomionych obrazów

Usługa Defender for Containers rozszerza funkcje skanowania rejestru planu rejestrów kontenerów usługi Defender for, wprowadzając funkcję w wersji zapoznawczej widoczności luk w zabezpieczeniach obsługiwanych przez profil usługi Defender lub rozszerzenie w czasie wykonywania.

Nowe zalecenie "Uruchamianie obrazów kontenerów powinno mieć rozwiązane wyniki luk w zabezpieczeniach", ale pokazuje tylko luki w zabezpieczeniach dla uruchomionych obrazów. Zalecenie opiera się na profilu zabezpieczeń usługi Defender lub rozszerzeniu, aby dowiedzieć się, które obrazy są aktualnie uruchomione. To zalecenie grupuje uruchomione obrazy, które mają luki w zabezpieczeniach, oraz zawiera szczegółowe informacje o wykrytych problemach i sposobach ich korygowania. Profil lub rozszerzenie usługi Defender służy do uzyskiwania wglądu w aktywne kontenery podatne na zagrożenia.

To zalecenie przedstawia uruchamianie obrazów i ich luk w zabezpieczeniach na podstawie obrazów usługi ACR. Obrazy wdrożone z rejestru innego niż ACR nie zostaną zeskanowane i będą wyświetlane na karcie Nie dotyczy.

Ochrona w czasie wykonywania dla węzłów i klastrów Kubernetes

Defender dla Chmury zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla środowisk konteneryzowanych i generuje alerty dotyczące podejrzanych działań. Te informacje pozwalają na szybkie rozwiązywanie problemów dotyczących zabezpieczeń i poprawę bezpieczeństwa kontenerów.

Ochrona przed zagrożeniami na poziomie klastra jest dostarczana przez profil usługi Defender i analizę dzienników inspekcji platformy Kubernetes. Przykłady zdarzeń na tym poziomie obejmują uwidocznione pulpity nawigacyjne platformy Kubernetes, tworzenie ról z wysokimi uprawnieniami oraz tworzenie poufnych instalacji.

Ponadto nasze wykrywanie zagrożeń wykracza poza warstwę zarządzania platformą Kubernetes. Usługa Defender for Containers obejmuje wykrywanie zagrożeń na poziomie hosta z ponad 60 analizami obsługującymi platformę Kubernetes, sztuczną inteligencją i wykrywaniem anomalii na podstawie obciążenia środowiska uruchomieniowego. Nasz globalny zespół badaczy ds. zabezpieczeń stale monitoruje krajobraz zagrożeń. Dodają alerty i luki w zabezpieczeniach specyficzne dla kontenera podczas ich odnajdywanego. Razem to rozwiązanie monitoruje rosnącą powierzchnię ataków wdrożeń platformy Kubernetes w wielu chmurach i śledzi macierz MITRE ATT&CK® dla kontenerów. Struktura opracowana przez Centrum obrony przed zagrożeniami w ścisłej współpracy z firmą Microsoft i innymi partnerami.