Segurança de contêineres no Microsoft Defender para contêineres
O Microsoft Defender para contêineres é uma solução nativa da nuvem para melhorar, monitorar e manter a segurança de seus ativos conteinerizados (clusters do Kubernetes, nós do Kubernetes, cargas de trabalho do Kubernetes, registros de contêineres, imagens de contêineres e muito mais) e seus aplicativos, em ambientes multinuvem e locais.
O Microsoft Defender para contêineres auxilia você nos quatro principais domínios da segurança de contêineres:
- Gerenciamento da postura de segurança - realiza o monitoramento contínuo de APIs de nuvem, APIs do Kubernetes e cargas de trabalho do Kubernetes para descobrir recursos de nuvem, fornecer recursos abrangentes de inventário, detectar configurações incorretas e fornecer diretrizes para atenuá-las, fornecer avaliação contextual de riscos e capacitar os usuários a executar recursos aprimorados de busca de riscos por meio do explorador de segurança do Microsoft Defender para Nuvem.
- Avaliação de vulnerabilidades - fornece uma avaliação de vulnerabilidades sem agente para o Azure, AWS e GCP com diretrizes de correção, configuração zero, novas verificações diárias, cobertura para pacote de idiomas e de SO e insights de explorabilidade.
- Proteção contra ameaças em tempo real: um pacote avançado de detecção de ameaças para clusters, nós e cargas de trabalho do Kubernetes, fornecido pela inteligência contra ameaças líder da Microsoft, fornece mapeamento para a estrutura MITRE ATT&CK. Facilita o entendimento do risco e do contexto relevante, a resposta automatizada e a integração do SIEM (gerenciamento de eventos e informações de segurança)/XDR (detecção e resposta estendida).
- Implantação e monitoramento: monitora seus clusters do Kubernetes em busca de agentes ausentes e fornece implantação sem atrito em escala para recursos baseados em agentes, suporte para ferramentas padrão de monitoramento do Kubernetes e gerenciamento de recursos não monitorados.
Disponibilidade de plano do Microsoft Defender para contêineres
| Aspecto | Detalhes |
|---|---|
| Estado da versão: | Disponibilidade Geral (GA) Alguns recursos estão em versão prévia. Para obter uma lista completa, confira a Matriz de suporte de contêineres no Microsoft Defender para Nuvem |
| Disponibilidade de recursos | Consulte a Matriz de suporte de contêineres no Microsoft Defender para Nuvem para obter informações adicionais sobre o estado e a disponibilidade da versão do recurso. |
| Preço: | O Microsoft Defender para Contêineres é cobrado conforme mostrado na página de preço. |
| Funções e permissões necessárias: | • Para implantar os componentes necessários, confira as permissões para cada um dos componentes • Administrador de segurança pode ignorar alertas • Leitor de segurança pode visualizar conclusões da avaliação de vulnerabilidades Confira também Funções para correção e Funções e permissões do Registro de Contêiner do Azure |
| Nuvens: | Exiba a Matriz de suporte de contêineres no Defender para Nuvem para ver a disponibilidade da nuvem. |
Gerenciamento da postura de segurança
Funcionalidades sem agente
- A descoberta sem agente para o Kubernetes: fornece descoberta baseada em API, sem volume de memória, de seus clusters do Kubernetes, suas configurações e implantações.
- Avaliação de vulnerabilidade sem agente - oferece avaliação de vulnerabilidade para todas as imagens de contêiner, incluindo recomendações para registro e runtime, verificações rápidas de novas imagens, atualização diária de resultados, insights de exploração e muito mais. As informações de vulnerabilidade são adicionadas ao grafo de segurança para avaliação contextual de riscos e cálculo de caminhos de ataque, além de recursos de busca.
- Funcionalidades abrangentes do inventário: permite que você explore recursos, pods, serviços, repositórios, imagens e configurações por meio do gerenciador de segurança para monitorar e gerenciar facilmente seus ativos.
- A busca aprimorada de riscos: permite que os administradores de segurança busquem ativamente problemas de postura em seus ativos em contêineres por meio de consultas (personalizadas e internas) e insights de segurança no gerenciador de segurança
- Proteção do plano de controle: avalia continuamente as configurações de seus clusters e as compara com as iniciativas aplicadas às suas assinaturas. Quando encontrar as configurações incorretas, o Defender para Nuvem gerará as recomendações de segurança que estarão disponíveis na página Recomendações do Defender para Nuvem. As recomendações permitem investigar e corrigir os problemas.
É possível usar o filtro de recursos para revisar as recomendações pendentes dos recursos relacionados ao contêiner, seja no inventário de ativos ou na página de recomendações:
Observação
Para obter os detalhes incluídos nessa funcionalidade, confira a seção contêineres da tabela de referência de recomendações e procure recomendações com o tipo "Plano de Controle"
Funcionalidades baseadas em agentes
Proteção do plano de dados do Kubernetes: para proteger as cargas de trabalho dos seus contêineres do Kubernetes com recomendações de melhores práticas, você pode instalar a Azure Policy para Kubernetes. Saiba mais sobre como monitorar componentes do Defender para Nuvem.
Com o complemento no seu cluster do Kubernetes, cada solicitação ao servidor da API do Kubernetes é monitorada em relação ao conjunto predefinido de melhores práticas antes de serem persistidas no cluster. Em seguida, você poderá configurá-lo para impor as melhores práticas e exigir o uso em cargas de trabalho futuras.
Por exemplo, você pode determinar que os contêineres com privilégios não sejam criados e que todas as solicitações futuras sejam bloqueadas.
Avaliação de vulnerabilidade
O Defender para contêineres verifica as imagens de contêiner no Registro de Contêiner do Azure (ACR), Amazon AWS Elastic Container Registry (ECR), Google Artifact Registry (GAR) e Google Container Registry (GCR) para fornecer avaliação de vulnerabilidade sem agente para suas imagens de contêiner, incluindo registro e recomendações de runtime, orientações de correção, verificações rápidas de novas imagens, insights de exploração do mundo real, insights de explorabilidade e muito mais.
As informações de vulnerabilidade geradas pelo Gerenciamento de Vulnerabilidades do Microsoft Defender são adicionadas ao grafo de segurança da nuvem para riscos contextuais, cálculo de caminhos de ataque e funcionalidades de busca.
Há duas soluções para avaliação de vulnerabilidades no Azure, uma da plataforma de gerenciamento de vulnerabilidades do Microsoft Defender e outra da Qualys.
Proteção em tempo de execução para nós e clusters do Kubernetes
O Defender para contêineres fornece proteção contra ameaças em tempo real para ambientes em contêineres com suporte e gera alertas sobre atividades suspeitas. É possível usar essas informações para corrigir os problemas rapidamente e aumentar a segurança de seus contêineres.
A proteção contra ameaças é fornecida para o Kubernetes no nível do cluster, no nível do nó e no nível da carga de trabalho e inclui cobertura baseada em agente que requer o agente do Defender e a cobertura sem agente que é baseada na análise dos logs de auditoria do Kubernetes. Os alertas de segurança são disparados apenas para ações e implantações que ocorreram após você ter habilitado o Microsoft Defender para contêineres na sua assinatura.
- Exemplos de eventos de segurança que o Microsoft Defender para Contêineres monitora incluem:
- Dashboards do Kubernetes expostos
- Criação de funções com altos privilégios
Criação de montagens confidenciais
Você pode ver alertas de segurança selecionando o bloco de alertas intitulado Segurança na parte superior da página de visão geral do Defender para Nuvem ou o link na barra lateral.
A página de alertas de segurança é aberta:
Os alertas de segurança para carga de trabalho de runtime nos clusters podem ser reconhecidos pelo prefixo K8S.NODE_ do tipo de alerta do Kubernetes.
O Defender para Contêineres também inclui a detecção de ameaças no nível do host com mais de 60 análises com reconhecimento do Kubernetes, IA e detecções de anomalias com base na carga de trabalho de runtime.