Proteção de contêiner no Defender for Cloud
O Microsoft Defender for Containers é uma solução nativa da nuvem para melhorar, monitorar e manter a segurança de seus ativos em contêineres (clusters Kubernetes, nós Kubernetes, cargas de trabalho Kubernetes, registros de contêineres, imagens de contêiner e muito mais) e seus aplicativos, em ambientes multicloud e locais.
O Defender for Containers ajuda você com quatro domínios principais de segurança de contêineres:
O gerenciamento de postura de segurança executa o monitoramento contínuo de APIs de nuvem, APIs do Kubernetes e cargas de trabalho do Kubernetes para descobrir recursos de nuvem, fornecer recursos de inventário abrangentes, detetar configurações incorretas com diretrizes de mitigação, fornecer avaliação de risco contextual e capacitar os usuários a executar recursos aprimorados de caça ao risco por meio do explorador de segurança do Defender for Cloud.
Avaliação de vulnerabilidade - realiza uma avaliação de vulnerabilidade sem agente de nós K8s suportados e registros de contêiner com diretrizes de correção, configuração zero, novas varreduras diárias, cobertura para SO e pacotes de idiomas e insights de exploração.
Proteção contra ameaças em tempo de execução - um pacote avançado de deteção de ameaças para clusters, nós e cargas de trabalho do Kubernetes, alimentado pela inteligência de ameaças líder da Microsoft, fornece mapeamento para a estrutura MITRE ATT&CK para fácil compreensão do risco e do contexto relevante, além de resposta automatizada. Os operadores de segurança também podem investigar e responder a ameaças aos serviços do Kubernetes através do portal Microsoft Defender XDR.
Implantação e monitoramento- Monitora seus clusters Kubernetes em busca de sensores ausentes e fornece implantação em escala sem atrito para recursos baseados em sensores, suporte para ferramentas de monitoramento padrão do Kubernetes e gerenciamento de recursos não monitorados.
Para saber mais, assista a este vídeo da série de vídeos Defender for Cloud in the Field: Microsoft Defender for Containers.
Disponibilidade do plano do Microsoft Defender para contentores
| Aspeto | Detalhes |
|---|---|
| Estado de lançamento: | Disponibilidade geral (GA) Alguns recursos estão em visualização. Para obter uma lista completa, consulte a matriz de suporte de contêineres no Defender for Cloud |
| Disponibilidade de caraterísticas | Consulte a matriz de suporte de contêineres no Defender for Cloud para obter informações adicionais sobre o estado e a disponibilidade da liberação de recursos |
| Preços: | O Microsoft Defender for Containers é cobrado conforme mostrado na página de preços |
| Funções e permissões necessárias: | * Para implantar os componentes necessários, consulte as permissões para cada um dos componentes * O administrador de segurança pode descartar alertas * O leitor de segurança pode visualizar os resultados da avaliação de vulnerabilidades Consulte também Funções para correção e funções e permissões do Registro de Contêiner do Azure |
| Nuvens: | Veja a matriz de suporte de contêineres no Defender for Cloud para ver a disponibilidade da nuvem |
Gestão da postura de segurança
Recursos sem agente
Descoberta sem agente para Kubernetes - fornece descoberta baseada em API de zero pegada de seus clusters, configurações e implantações do Kubernetes.
Avaliação de vulnerabilidade sem agente - fornece avaliação de vulnerabilidade para nós de cluster e para todas as imagens de contêiner, incluindo recomendações para registro e tempo de execução, verificações rápidas de novas imagens, atualização diária de resultados, insights de exploração e muito mais. As informações de vulnerabilidade são adicionadas ao gráfico de segurança para avaliação contextual de risco e cálculo de caminhos de ataque e recursos de caça.
Recursos abrangentes de inventário - permite que você explore recursos, pods, serviços, repositórios, imagens e configurações por meio do security explorer para monitorar e gerenciar facilmente seus ativos.
Caça ao risco aprimorada - permite que os administradores de segurança procurem ativamente problemas de postura em seus ativos em contêineres por meio de consultas (internas e personalizadas) e informações de segurança no security explorer
Endurecimento do plano de controle - avalia continuamente as configurações de seus clusters e as compara com as iniciativas aplicadas às suas assinaturas. Quando encontra configurações incorretas, o Defender for Cloud gera recomendações de segurança que estão disponíveis na página Recomendações do Defender for Cloud. As recomendações permitem-lhe investigar e corrigir problemas.
Você pode usar o filtro de recursos para revisar as recomendações pendentes para seus recursos relacionados ao contêiner, seja no inventário de ativos ou na página de recomendações:
Para obter detalhes incluídos com esse recurso, revise as recomendações do contêiner e procure recomendações com o tipo "Plano de controle"
Capacidades baseadas em sensores
Deteção de desvio binário - O Defender for Containers fornece um recurso baseado em sensores que alerta sobre possíveis ameaças à segurança, detetando processos externos não autorizados dentro de contêineres. Você pode definir políticas de desvio para especificar as condições sob as quais os alertas devem ser gerados, ajudando a distinguir entre atividades legítimas e ameaças potenciais. Para obter mais informações, consulte Proteção contra desvio binário (visualização).
Proteção do plano de dados do Kubernetes - Para proteger as cargas de trabalho de seus contêineres do Kubernetes com recomendações de práticas recomendadas, você pode instalar a Política do Azure para Kubernetes. Saiba mais sobre o monitoramento de componentes do Defender for Cloud.
Com as políticas definidas para seu cluster Kubernetes, cada solicitação para o servidor de API do Kubernetes é monitorada em relação ao conjunto predefinido de práticas recomendadas antes de ser persistida no cluster. Em seguida, você pode configurá-lo para aplicar as práticas recomendadas e impô-las para cargas de trabalho futuras.
Por exemplo, você pode exigir que contêineres privilegiados não sejam criados e quaisquer solicitações futuras para fazer isso sejam bloqueadas.
Você pode saber mais sobre a proteção do plano de dados do Kubernetes.
Avaliação de vulnerabilidades
O Defender for Containers verifica o sistema operacional do nó do cluster e o software do aplicativo, imagens de contêiner no Azure Container Registry (ACR), Amazon AWS Elastic Container Registry (ECR), Google Artifact Registry (GAR), Google Container Registry (GCR) e registros de imagens externas compatíveis para fornecer uma avaliação de vulnerabilidade sem agente.
As informações de vulnerabilidade fornecidas pelo Microsoft Defender Vulnerability Management são adicionadas ao gráfico de segurança na nuvem para risco contextual, cálculo de caminhos de ataque e recursos de caça.
Saiba mais sobre a avaliação de vulnerabilidades para:
Registos de contentores -
- Avaliações de vulnerabilidade para o Azure com o Microsoft Defender Vulnerability Management
- Avaliações de vulnerabilidade para a AWS com o Microsoft Defender Vulnerability Management
- Avaliações de vulnerabilidade para GCP com o Microsoft Defender Vulnerability Management
Nós de cluster -
Proteção em tempo de execução para nós e clusters do Kubernetes
O Defender for Containers fornece proteção contra ameaças em tempo real para ambientes em contêineres suportados e gera alertas para atividades suspeitas. Pode utilizar estas informações para remediar rapidamente problemas de segurança e aumentar a segurança dos contentores.
A proteção contra ameaças é fornecida para o Kubernetes nos níveis de cluster, nó e carga de trabalho. Tanto a cobertura baseada em sensor, que requer o sensor Defender, quanto a cobertura sem agente, que é baseada na análise dos logs de auditoria do Kubernetes, são usadas para detetar ameaças. Os alertas de segurança só são acionados para ações e implantações que ocorrem depois que você ativou o Defender for Containers em sua assinatura.
Exemplos de eventos de segurança que o Microsoft Defenders for Containers monitora incluem:
- Painéis do Kubernetes expostos
- Criação de papéis altamente privilegiados
- Criação de suportes sensíveis
Você pode visualizar alertas de segurança selecionando o bloco Alertas de segurança na parte superior da página de visão geral do Defender for Cloud ou o link na barra lateral.
Os alertas de segurança para carga de trabalho em tempo de execução nos clusters têm o prefixo do K8S.NODE_ tipo de alerta. Para obter uma lista completa dos alertas de nível de cluster, consulte a tabela de referência de alertas.
O Defender for Containers inclui deteção de ameaças com mais de 60 análises com reconhecimento de Kubernetes, IA e deteções de anomalias com base em sua carga de trabalho de tempo de execução.
O Defender for Cloud monitora a superfície de ataque de implantações de Kubernetes multicloud com base na matriz MITRE ATT&CK® for Containers, uma estrutura desenvolvida pelo Center for Threat-Informed Defense em estreita parceria com a Microsoft.
O Defender for Cloud está integrado com o Microsoft Defender XDR. Quando o Defender for Containers está habilitado, os operadores de segurança podem usar o Defender XDR para investigar e responder a problemas de segurança nos serviços Kubernetes suportados.
Mais informações
Saiba mais sobre o Defender for Containers nos seguintes blogs:
Próximos passos
Nesta visão geral, você aprendeu sobre os principais elementos da segurança de contêiner no Microsoft Defender for Cloud. Para habilitar o plano, consulte:
- Ativar o Defender para contêineres
- Confira perguntas comuns sobre o Defender for Containers.