Compreender o Microsoft Defender for Containers
O Microsoft Defender for Containers é a solução nativa da nuvem para proteger seus contêineres.
Recursos do Defender for Containers
Proteção de ambiente - O Defender for Containers protege seus clusters Kubernetes, sejam eles executados no Serviço Kubernetes do Azure, Kubernetes local/IaaS ou Amazon EKS. Ao avaliar continuamente os clusters, o Defender for Containers fornece visibilidade sobre configurações incorretas e diretrizes para ajudar a mitigar as ameaças identificadas.
Avaliação de vulnerabilidades - Ferramentas de avaliação e gerenciamento de vulnerabilidades para imagens armazenadas em registros ACR e executadas no Serviço Kubernetes do Azure.
Proteção contra ameaças em tempo de execução para nós e clusters - A proteção contra ameaças para clusters e nós Linux gera alertas de segurança para atividades suspeitas.
Arquitetura
A arquitetura dos elementos necessários para a gama completa de proteções fornecidas pelo Defender for Containers, varia dependendo de onde seus clusters Kubernetes estão hospedados.
O Defender para contentores protege os clusters, quer estejam a ser executados:
Azure Kubernetes Service (AKS) - o serviço gerenciado da Microsoft para desenvolver, implantar e gerenciar aplicativos em contêineres.
Amazon Elastic Kubernetes Service (EKS) em uma conta conectada da Amazon Web Services (AWS) - o serviço gerenciado da Amazon para executar o Kubernetes na AWS sem a necessidade de instalar, operar e manter seu próprio plano ou nós de controle do Kubernetes.
Uma distribuição Kubernetes não gerenciada (usando o Kubernetes habilitado para Azure Arc) - clusters Kubernetes certificados pela Cloud Native Computing Foundation (CNCF) hospedados no local ou em IaaS.
O Defender for Cloud avalia continuamente as configurações dos seus clusters e compara-as com as iniciativas aplicadas às suas subscrições. Quando encontra configurações incorretas, o Defender for Cloud gera recomendações de segurança. Use a página de recomendações do Defender for Cloud para visualizar recomendações e corrigir problemas.
Para clusters Kubernetes no EKS, você precisará conectar sua conta da AWS ao Microsoft Defender for Cloud por meio da página de configurações de ambiente (conforme descrito em Conectar suas contas da AWS ao Microsoft Defender for Cloud). Em seguida, certifique-se de ter ativado o plano CSPM.
Endurecimento do ambiente
Para receber um pacote de recomendações para proteger as cargas de trabalho de seus contêineres do Kubernetes, instale a Política do Azure para Kubernetes. Por padrão, o provisionamento automático é habilitado quando você habilita o Defender for Containers.
Com o complemento em seu cluster AKS, cada solicitação para o servidor de API do Kubernetes será monitorada em relação ao conjunto predefinido de práticas recomendadas antes de ser persistida para o cluster. Em seguida, você pode configurar para impor as práticas recomendadas e obrigá-las para cargas de trabalho futuras.
Por exemplo, você pode exigir que contêineres privilegiados não sejam criados, e quaisquer solicitações futuras para fazer isso serão bloqueadas.
Ver vulnerabilidades para executar imagens
O Defender for Containers expande os recursos de verificação de registro do plano Defender for container registrys, introduzindo o recurso de visualização de visibilidade em tempo de execução de vulnerabilidades alimentadas pelo perfil do Defender ou uma extensão.
A nova recomendação, "a execução de imagens de contêiner deve ter as descobertas de vulnerabilidade resolvidas", mostra apenas vulnerabilidades para a execução de imagens. A recomendação depende do perfil de segurança do Defender ou da extensão para descobrir quais imagens estão em execução no momento. Esta recomendação agrupa imagens em execução com vulnerabilidades e fornece detalhes sobre os problemas descobertos e como corrigi-los. O perfil ou extensão do Defender é usado para obter visibilidade em contêineres vulneráveis que estão ativos.
Esta recomendação mostra imagens em execução e suas vulnerabilidades com base em imagens ACR. As imagens implantadas a partir de um registro não ACR não serão verificadas e aparecerão na guia Não aplicável.
Proteção em tempo de execução para nós e clusters do Kubernetes
O Defender for Cloud fornece proteção contra ameaças em tempo real para seus ambientes em contêineres e gera alertas para atividades suspeitas. Pode utilizar estas informações para remediar rapidamente problemas de segurança e aumentar a segurança dos contentores.
A proteção contra ameaças no nível do cluster é fornecida pelo perfil do Defender e pela análise dos logs de auditoria do Kubernetes. Exemplos de eventos nesse nível incluem painéis do Kubernetes expostos, criação de funções com privilégios elevados e criação de montagens confidenciais.
Além disso, nossa deteção de ameaças vai além da camada de gerenciamento do Kubernetes. O Defender for Containers inclui deteção de ameaças no nível do host com mais de 60 análises com reconhecimento de Kubernetes, IA e deteções de anomalias com base em sua carga de trabalho de tempo de execução. Nossa equipe global de pesquisadores de segurança monitora constantemente o cenário de ameaças. Eles adicionam alertas e vulnerabilidades específicos do contêiner à medida que são descobertos. Juntas, essas soluções monitoram a crescente superfície de ataque de implantações de Kubernetes em várias nuvens e rastreiam a matriz MITRE ATT&CK® para contêineres. Uma estrutura que foi desenvolvida pelo Center for Threat-Informed Defense em estreita parceria com a Microsoft e outros parceiros.