Proteger e monitorar o Serviço de Kubernetes do Azure

  • 7 minutos

O Microsoft Defender para contêineres é uma solução nativa da nuvem para melhorar, monitorar e manter a segurança de seus ativos conteinerizados (clusters do Kubernetes, nós do Kubernetes, cargas de trabalho do Kubernetes, registros de contêineres, imagens de contêineres e muito mais) e seus aplicativos, em ambientes multinuvem e locais.

O Microsoft Defender para contêineres auxilia você nos quatro principais domínios da segurança de contêineres:

  • Gerenciamento da postura de segurança - realiza o monitoramento contínuo de APIs de nuvem, APIs do Kubernetes e cargas de trabalho do Kubernetes para descobrir recursos de nuvem, fornecer recursos abrangentes de inventário, detectar configurações incorretas e fornecer diretrizes para atenuá-las, fornecer avaliação contextual de riscos e capacitar os usuários a executar recursos aprimorados de busca de riscos por meio do explorador de segurança do Microsoft Defender para Nuvem.
  • Avaliação de vulnerabilidades - fornece uma avaliação de vulnerabilidades sem agente para o Azure, AWS e GCP com diretrizes de correção, configuração zero, novas verificações diárias, cobertura para pacote de idiomas e de SO e insights de explorabilidade.
  • Proteção contra ameaças em tempo real: um pacote avançado de detecção de ameaças para clusters, nós e cargas de trabalho do Kubernetes, fornecido pela inteligência contra ameaças líder da Microsoft, fornece mapeamento para a estrutura MITRE ATT&CK. Isso facilita o entendimento do risco e do contexto relevante, a resposta automatizada e a integração do gerenciamento de eventos e informações de segurança e detecção e resposta estendida.
  • Implantação e monitoramento: monitora seus clusters do Kubernetes em busca de agentes ausentes e fornece implantação sem atrito em escala para recursos baseados em agentes, suporte para ferramentas padrão de monitoramento do Kubernetes e gerenciamento de recursos não monitorados.

Gerenciamento da postura de segurança

Funcionalidades sem agente

  • A descoberta sem agente para o Kubernetes: fornece descoberta baseada em API, sem volume de memória, de seus clusters do Kubernetes, suas configurações e implantações.
  • Avaliação de vulnerabilidade sem agente - oferece avaliação de vulnerabilidade para todas as imagens de contêiner, incluindo recomendações para registro e runtime, verificações rápidas de novas imagens, atualização diária de resultados, insights de exploração e muito mais. As informações de vulnerabilidade são adicionadas ao grafo de segurança para avaliação contextual de riscos e cálculo de caminhos de ataque, além de recursos de busca.
  • Funcionalidades abrangentes do inventário: permite que você explore recursos, pods, serviços, repositórios, imagens e configurações por meio do gerenciador de segurança para monitorar e gerenciar facilmente seus ativos.
  • A busca aprimorada de riscos: permite que os administradores de segurança busquem ativamente problemas de postura em seus ativos em contêineres por meio de consultas (personalizadas e internas) e insights de segurança no gerenciador de segurança
  • Proteção do plano de controle: avalia continuamente as configurações de seus clusters e as compara com as iniciativas aplicadas às suas assinaturas. Quando encontrar as configurações incorretas, o Defender para Nuvem gerará as recomendações de segurança que estarão disponíveis na página Recomendações do Defender para Nuvem. As recomendações permitem investigar e corrigir os problemas.

É possível usar o filtro de recursos para revisar as recomendações pendentes dos recursos relacionados ao contêiner, seja no inventário de ativos ou na página de recomendações:

Captura de tela mostrando como usar o filtro de recurso para analisar as recomendações pendentes.

Funcionalidades baseadas em agentes

Proteção do plano de dados do Kubernetes: para proteger as cargas de trabalho dos seus contêineres Kubernetes com recomendações baseadas em melhores práticas, você pode instalar a Azure Policy para Kubernetes.

Com o complemento no seu cluster do Kubernetes, cada solicitação ao servidor da API do Kubernetes é monitorada em relação ao conjunto predefinido de melhores práticas antes de serem persistidas no cluster. Em seguida, você poderá configurá-lo para impor as melhores práticas e exigir o uso em cargas de trabalho futuras.

Por exemplo, você pode determinar que os contêineres com privilégios não sejam criados e que todas as solicitações futuras sejam bloqueadas.

Avaliação de vulnerabilidade

O Defender para Contêineres examina as imagens de contêiner no Registro de Contêiner do Azure (ACR) e no Registro de Contêiner Elástico (ECR) do Amazon AWS para fornecer relatórios de vulnerabilidade para suas imagens de contêiner, fornecendo detalhes para cada vulnerabilidade detectada, diretrizes de correção, insights de exploração do mundo real e muito mais.

Há duas soluções para avaliação de vulnerabilidades no Azure, uma da plataforma de gerenciamento de vulnerabilidades do Microsoft Defender e outra da Qualys.

Proteção em tempo de execução para nós e clusters do Kubernetes

O Defender para contêineres fornece proteção contra ameaças em tempo real para ambientes em contêineres com suporte e gera alertas sobre atividades suspeitas. É possível usar essas informações para corrigir os problemas rapidamente e aumentar a segurança de seus contêineres.

A proteção contra ameaças no nível do cluster é fornecida pelo agente do Defender e pela análise dos logs de auditoria do Kubernetes. Isso significa que os alertas de segurança são disparados apenas para ações e implantações que ocorrem após você ter habilitado o Defender para Contêineres na sua assinatura.

Exemplos de eventos de segurança que o Microsoft Defender para Contêineres monitora incluem:

  • Dashboards do Kubernetes expostos
  • Criação de funções com altos privilégios
  • Criação de montagens confidenciais

Você pode ver alertas de segurança selecionando o bloco de alertas intitulado Segurança na parte superior da página de visão geral do Defender para Nuvem ou o link na barra lateral.

Captura de tela mostrando como exibir alertas de segurança no Defender para Nuvem.

A página de alertas de segurança é aberta:

Captura de tela mostrando alertas de segurança para carga de trabalho de runtime nos clusters.

Alertas de segurança para carga de trabalho de runtime nos clusters podem ser reconhecidos pelo prefixo K8S.NODE_ do tipo de alerta.

O Defender para Contêineres também inclui a detecção de ameaças no nível do host com mais de 60 análises com reconhecimento do Kubernetes, IA e detecções de anomalias com base na carga de trabalho de runtime.

O Defender para Nuvem monitora a superfície de ataque de implantações de Kubernetes em multinuvem com base na matriz MITRE ATT&CK para contêineres, uma estrutura desenvolvida pelo Center for Threat-Informed Defense em estreita parceria com a Microsoft.