Segurança de contêineres no Microsoft Defender for Containers
O Microsoft Defender for Containers é uma solução nativa da nuvem para melhorar, monitorar e manter a segurança de seus ativos em contêineres (clusters Kubernetes, nós Kubernetes, cargas de trabalho Kubernetes, registros de contêineres, imagens de contêiner e muito mais) e seus aplicativos, em ambientes multicloud e locais.
O Defender for Containers ajuda você com quatro domínios principais de segurança de contêineres:
- Gerenciamento de postura de segurança - realiza monitoramento contínuo de APIs de nuvem, APIs do Kubernetes e cargas de trabalho do Kubernetes para descobrir recursos de nuvem, fornecer recursos de inventário abrangentes, detetar configurações incorretas e fornecer diretrizes para mitigá-las, fornecer avaliação de risco contextual e capacitar os usuários a executar recursos aprimorados de caça ao risco por meio do explorador de segurança do Defender for Cloud.
- Avaliação de vulnerabilidades - fornece avaliação de vulnerabilidade sem agente para Azure, AWS e GCP com diretrizes de correção, configuração zero, verificações diárias, cobertura para pacotes de SO e idiomas e insights de exploração.
- Proteção contra ameaças em tempo de execução - um pacote avançado de deteção de ameaças para clusters, nós e cargas de trabalho do Kubernetes, alimentado pela inteligência de ameaças líder da Microsoft, fornece mapeamento para a estrutura MITRE ATT&CK para facilitar a compreensão do risco e do contexto relevante, resposta automatizada e integração de Gerenciamento de Informações e Eventos de Segurança (SIEM)/XDR (Extended Detection and Response).
- Implantação & monitoramento- Monitora seus clusters Kubernetes em busca de agentes ausentes e fornece implantação em escala sem atrito para recursos baseados em agente, suporte para ferramentas de monitoramento padrão do Kubernetes e gerenciamento de recursos não monitorados.
Disponibilidade do plano do Microsoft Defender para contentores
| Aspeto | Detalhes |
|---|---|
| Estado de lançamento: | Disponibilidade geral (GA) Alguns recursos estão em visualização. Para obter uma lista completa, consulte a matriz de suporte de contêineres no Defender for Cloud |
| Disponibilidade de caraterísticas | Consulte a matriz de suporte de contêineres no Defender for Cloud para obter informações adicionais sobre o estado e a disponibilidade da liberação do recurso. |
| Preços: | O Microsoft Defender for Containers é cobrado conforme mostrado na página de preços |
| Funções e permissões necessárias: | • Para implantar os componentes necessários, consulte as permissões para cada um dos componentes • O administrador de segurança pode ignorar alertas • O leitor de segurança pode visualizar os resultados da avaliação de vulnerabilidades Consulte também Funções para correção e funções e permissões do Registro de Contêiner do Azure |
| Nuvens: | Veja a matriz de suporte de contêineres no Defender for Cloud para ver a disponibilidade da nuvem. |
Gestão da postura de segurança
Recursos sem agente
- Descoberta sem agente para Kubernetes - fornece descoberta baseada em API de zero pegada de seus clusters Kubernetes, suas configurações e implantações.
- Avaliação de vulnerabilidade sem agente - fornece avaliação de vulnerabilidade para todas as imagens de contêiner, incluindo recomendações para registro e tempo de execução, verificações rápidas de novas imagens, atualização diária de resultados, insights de exploração e muito mais. As informações de vulnerabilidade são adicionadas ao gráfico de segurança para avaliação contextual de risco e cálculo de caminhos de ataque e recursos de caça.
- Recursos abrangentes de inventário - permite que você explore recursos, pods, serviços, repositórios, imagens e configurações através do security explorer para monitorar e gerenciar facilmente seus ativos.
- Caça ao risco aprimorada - permite que os administradores de segurança procurem ativamente problemas de postura em seus ativos em contêineres por meio de consultas (internas e personalizadas) e informações de segurança no security explorer
- Endurecimento do plano de controle - avalia continuamente as configurações de seus clusters e as compara com as iniciativas aplicadas às suas assinaturas. Quando encontra configurações incorretas, o Defender for Cloud gera recomendações de segurança que estão disponíveis na página Recomendações do Defender for Cloud. As recomendações permitem-lhe investigar e corrigir problemas.
Você pode usar o filtro de recursos para revisar as recomendações pendentes para seus recursos relacionados ao contêiner, seja no inventário de ativos ou na página de recomendações:
Nota
Para obter detalhes incluídos com esse recurso, confira a seção de contêineres da tabela de referência de recomendações e procure recomendações com o tipo "Plano de controle"
Recursos baseados em agente
Proteção do plano de dados do Kubernetes - Para proteger as cargas de trabalho de seus contêineres do Kubernetes com recomendações de práticas recomendadas, você pode instalar a Política do Azure para Kubernetes. Saiba mais sobre o monitoramento de componentes do Defender for Cloud.
Com o complemento em seu cluster Kubernetes, cada solicitação para o servidor de API do Kubernetes é monitorada em relação ao conjunto predefinido de práticas recomendadas antes de ser persistida no cluster. Em seguida, você pode configurá-lo para aplicar as práticas recomendadas e impô-las para cargas de trabalho futuras.
Por exemplo, você pode exigir que contêineres privilegiados não sejam criados e quaisquer solicitações futuras para fazer isso sejam bloqueadas.
Avaliação de vulnerabilidades
O Defender for Containers verifica as imagens de contêiner no Azure Container Registry (ACR), no Amazon AWS Elastic Container Registry (ECR), no Google Artifact Registry (GAR) e no Google Container Registry (GCR) para fornecer uma avaliação de vulnerabilidade sem agente para suas imagens de contêiner, incluindo recomendações de registro e tempo de execução, orientação de correção, varreduras rápidas de novas imagens, insights de exploração do mundo real, insights de exploração e muito mais.
As informações de vulnerabilidade fornecidas pelo Microsoft Defender Vulnerability Management são adicionadas ao gráfico de segurança na nuvem para risco contextual, cálculo de caminhos de ataque e recursos de caça.
Existem duas soluções para avaliação de vulnerabilidades no Azure, uma com tecnologia Microsoft Defender Vulnerability Management e outra com tecnologia Qualys.
Proteção em tempo de execução para nós e clusters do Kubernetes
O Defender for Containers fornece proteção contra ameaças em tempo real para ambientes em contêineres suportados e gera alertas para atividades suspeitas. Pode utilizar estas informações para remediar rapidamente problemas de segurança e aumentar a segurança dos contentores.
A proteção contra ameaças é fornecida para o Kubernetes no nível do cluster, no nível do nó e no nível da carga de trabalho e inclui a cobertura baseada no agente que requer o agente do Defender e a cobertura sem agente que é baseada na análise dos logs de auditoria do Kubernetes. Os alertas de segurança só são acionados para ações e implantações que ocorrem depois que você ativou o Defender for Containers em sua assinatura.
- Exemplos de eventos de segurança que o Microsoft Defenders for Containers monitora incluem:
- Painéis do Kubernetes expostos
- Criação de papéis altamente privilegiados
Criação de suportes sensíveis
Você pode visualizar alertas de segurança selecionando o bloco Alertas de segurança na parte superior da página de visão geral do Defender for Cloud ou o link na barra lateral.
A página de alertas de segurança abre:
Os alertas de segurança para carga de trabalho em tempo de execução nos clusters podem ser reconhecidos pelo Kubernetes K8S. NODE_ prefixo do tipo de alerta.
O Defender for Containers também inclui deteção de ameaças no nível do host com mais de 60 análises com reconhecimento de Kubernetes, IA e deteções de anomalias com base em sua carga de trabalho de tempo de execução.