Proteção de contêiner no Defender para Nuvem
O Microsoft Defender para contêineres é uma solução nativa da nuvem para melhorar, monitorar e manter a segurança de seus ativos conteinerizados (clusters do Kubernetes, nós do Kubernetes, cargas de trabalho do Kubernetes, registros de contêineres, imagens de contêineres e muito mais) e seus aplicativos, em ambientes multinuvem e locais.
O Microsoft Defender para contêineres auxilia você nos quatro principais domínios da segurança de contêineres:
O Gerenciamento de postura de segurança executa monitoramento contínuo de APIs de nuvem, APIs do Kubernetes e cargas de trabalho do Kubernetes para descobrir recursos de nuvem, fornecer recursos de inventário abrangentes, detectar configurações incorretas com diretrizes de mitigação, fornecer avaliação de risco contextual e permitir que os usuários realizem recursos avançados de busca a riscos por meio do explorador de segurança do Defender para Nuvem.
Avaliação de vulnerabilidade: realiza avaliação de vulnerabilidade sem agente de nós K8s e registros de contêiner com suporte com diretrizes de correção, configuração zero, novas verificações diárias, cobertura para pacotes de SO e linguagem e informações de explorabilidade.
Proteção contra ameaças em tempo de execução - um avançado pacote de detecção de ameaças para clusters, nós e cargas de trabalho do Kubernetes, com a inteligência contra ameaças líder da Microsoft, fornece mapeamento para a estrutura MITRE ATT&CK para fácil compreensão do risco e contexto relevante e resposta automatizada. Os operadores de segurança também podem investigar e responder a ameaças aos serviços do Kubernetes por meio do portal do Microsoft Defender XDR.
Implantação e monitoramento- monitora seus clusters Kubernetes em busca de sensores ausentes e fornece implantação em escala sem atrito para recursos baseados em sensores, suporte para ferramentas de monitoramento padrão do Kubernetes e gerenciamento de recursos não monitorados.
Você pode saber mais assistindo a este vídeo da série de vídeos Microsoft Defender para Nuvem no Campo: Microsoft Defender para contêineres.
Disponibilidade de plano do Microsoft Defender para contêineres
| Aspecto | Detalhes |
|---|---|
| Estado da versão: | Disponibilidade Geral (GA) Alguns recursos estão em versão prévia. Para obter uma lista completa, confira a Matriz de suporte de contêineres no Microsoft Defender para Nuvem |
| Disponibilidade de recursos | Consulte a matriz de suporte de contêineres no Defender para Nuvem para obter informações adicionais sobre o estado de lançamento e a disponibilidade de recursos |
| Preço: | O Microsoft Defender para Contêineres é cobrado conforme mostrado na página de preço. |
| Funções e permissões necessárias: | * Para implantar os componentes necessários, consulte as permissões para cada um dos componentes * Administrador de segurança pode ignorar alertas * Leitor de segurança pode visualizar conclusões da avaliação de vulnerabilidades Confira também Funções para correção e Funções e permissões do Registro de Contêiner do Azure |
| Nuvens: | Exiba a matriz de suporte de contêineres no Defender para Nuvem para ver a disponibilidade na nuvem |
Gerenciamento da postura de segurança
Funcionalidades sem agente
Descoberta sem agente para o Kubernetes: fornece descoberta baseada em API, sem volume de memória, dos clusters, configurações e implantações do Kubernetes.
Avaliação de vulnerabilidade sem agente: fornece avaliação de vulnerabilidades para nós do cluster e para todas as imagens de contêiner, incluindo recomendações para registro e runtime, verificações rápidas de novas imagens, atualização diária dos resultados, informações de explorabilidade e muito mais. As informações de vulnerabilidade são adicionadas ao grafo de segurança para avaliação contextual de riscos e cálculo de caminhos de ataque, além de recursos de busca.
Capacidades abrangentes de inventário: permite explorar recursos, pods, serviços, repositórios, imagens e configurações por meio do gerenciador de segurança para monitorar e gerenciar facilmente seus ativos.
A busca aprimorada de riscos: permite que os administradores de segurança busquem ativamente problemas de postura em seus ativos em contêineres por meio de consultas (personalizadas e internas) e insights de segurança no gerenciador de segurança
Proteção do plano de controle: avalia continuamente as configurações de seus clusters e as compara com as iniciativas aplicadas às suas assinaturas. Quando encontrar as configurações incorretas, o Defender para Nuvem gerará as recomendações de segurança que estarão disponíveis na página Recomendações do Defender para Nuvem. As recomendações permitem investigar e corrigir os problemas.
É possível usar o filtro de recursos para revisar as recomendações pendentes dos recursos relacionados ao contêiner, seja no inventário de ativos ou na página de recomendações:
Para obter os detalhes incluídos nessa funcionalidade, revise recomendações de contêineres e procure recomendações com o tipo "Plano de controle"
Capacidades baseadas em sensores
Detecção de descompasso de binário – o Defender para Contêineres fornece uma funcionalidade baseada em sensor que alerta você sobre possíveis ameaças à segurança detectando processos externos não autorizados nos contêineres. Você pode definir políticas de descompasso para especificar as condições sob as quais os alertas devem ser gerados, ajudando a distinguir entre atividades legítimas e possíveis ameaças. Para obter mais informações, confira Proteção contra descompasso de binário (versão prévia).
Proteção do plano de dados do Kubernetes: para proteger as cargas de trabalho dos seus contêineres do Kubernetes com recomendações de melhores práticas, você pode instalar a Azure Policy para Kubernetes. Saiba mais sobre como monitorar componentes do Defender para Nuvem.
Com as políticas definidas para o cluster do Kubernetes, todas as solicitações ao servidor de API do Kubernetes são monitoradas em relação ao conjunto predefinido de práticas recomendadas antes de serem persistidas no cluster. Em seguida, você poderá configurá-lo para impor as melhores práticas e exigir o uso em cargas de trabalho futuras.
Por exemplo, você pode determinar que os contêineres com privilégios não sejam criados e que todas as solicitações futuras sejam bloqueadas.
Saiba mais sobre a proteção do plano de dados do Kubernetes.
Avaliação de vulnerabilidade
O Microsoft Defender para Contêineres verifica o sistema operacional e o software de aplicativo do nó do cluster, as imagens de contêiner no Registro de Contêiner do Azure (ACR), no Registro de Contêineres Elásticos da Amazon AWS (ECR), no Registro de Artefatos do Google (GAR), no Registro de Contêiner do Google (GCR) e em registros de imagens externas com suporte para fornecer avaliação de vulnerabilidade sem agente.
As informações de vulnerabilidade geradas pelo Gerenciamento de Vulnerabilidades do Microsoft Defender são adicionadas ao grafo de segurança da nuvem para riscos contextuais, cálculo de caminhos de ataque e funcionalidades de busca.
Saiba mais sobre a avaliação de vulnerabilidade para:
Registros de contêiner -
- Avaliação de vulnerabilidades para Azure através da plataforma Gerenciamento de Vulnerabilidades do Microsoft Defender
- Avaliações de vulnerabilidade para a AWS com o Gerenciamento de Vulnerabilidades do Microsoft Defender
- Avaliações de vulnerabilidade para GCP com o Gerenciamento de Vulnerabilidades do Microsoft Defender
Nós do cluster -
Proteção em tempo de execução para nós e clusters do Kubernetes
O Defender para contêineres fornece proteção contra ameaças em tempo real para ambientes em contêineres com suporte e gera alertas sobre atividades suspeitas. É possível usar essas informações para corrigir os problemas rapidamente e aumentar a segurança de seus contêineres.
A proteção contra ameaças é fornecida para Kubernetes nos níveis de cluster, nó e carga de trabalho. Tanto a cobertura baseada em sensor, que requer o sensor do Defender, quanto a cobertura sem agente, que é baseada na análise dos logs de auditoria do Kubernetes, são usadas para detectar ameaças. Os alertas de segurança são disparados apenas para ações e implantações que ocorreram após você ter habilitado o Microsoft Defender para contêineres na sua assinatura.
Exemplos de eventos de segurança que o Microsoft Defender para Contêineres monitora incluem:
- Dashboards do Kubernetes expostos
- Criação de funções com altos privilégios
- Criação de montagens confidenciais
Você pode ver alertas de segurança selecionando o bloco de alertas intitulado Segurança na parte superior da página de visão geral do Defender para Nuvem ou o link na barra lateral.
Os alertas de segurança para carga de trabalho em runtime nos clusters têm o prefixo do tipo de alerta K8S.NODE_. Para obter uma lista completa dos alertas no nível do cluster, confira a tabela de referência de alertas.
O Microsoft Defender para Contêineres inclui detecção de ameaças com mais de 60 análises, IA e detecções de anomalias compatíveis com Kubernetes com base na carga de trabalho em runtime.
O Defender para Nuvem monitora a superfície de ataque de implantações do Kubernetes multinuvem com base na matriz MITRE ATT&CK® para contêineres, uma estrutura desenvolvida pelo Centro de Defesa Informada sobre Ameaças em estreita parceria com a Microsoft.
O Microsoft Defender para Nuvem é integrado ao Microsoft Defender XDR. Quando o Microsoft Defender para Contêineres está habilitado, os operadores de segurança podem usar o Defender XDR para investigar e responder a problemas de segurança em serviços do Kubernetes com suporte.
Saiba mais
Saiba mais sobre o Defender para contêineres nos seguintes blogs:
Próximas etapas
Nesta visão geral, você aprendeu sobre os principais elementos da segurança de contêineres no Microsoft Defender para Nuvem. Para habilitar o plano, consulte:
- Habilitar o Defender para Contêineres
- Confira as perguntas comuns sobre o Defender para contêineres.