Безопасность контейнеров в Microsoft Defender для контейнеров

  • 3 мин

Microsoft Defender для контейнеров — это облачное решение для улучшения, мониторинга и поддержания безопасности контейнерных ресурсов (кластеры Kubernetes, узлы Kubernetes, рабочие нагрузки Kubernetes, реестры контейнеров, образы контейнеров и многое другое), а также их приложения в многооблачных и локальных средах.

Defender для контейнеров помогает вам использовать четыре основных домена безопасности контейнеров:

  • Управление безопасностью — выполняет непрерывный мониторинг облачных API, API Kubernetes и рабочих нагрузок Kubernetes для обнаружения облачных ресурсов, предоставления комплексных возможностей инвентаризации, обнаружения неправильных конфигураций и предоставления рекомендаций по их устранению, предоставления контекстной оценки рисков и предоставления пользователям возможности расширенного поиска рисков через обозреватель безопасности Defender для облака.
  • Оценка уязвимостей — предоставляет оценку уязвимостей без агента для Azure, AWS и GCP с рекомендациями по исправлению, нулевым настройкам, ежедневным сканированием, охватом пакетов ОС и языковых пакетов, а также аналитическими сведениями об эксплойтации.
  • Защита от угроз во время выполнения — широкий набор средств обнаружения угроз для кластеров Kubernetes, узлов и рабочих нагрузок, работающих под управлением ведущих аналитиков угроз Майкрософт, обеспечивает сопоставление с платформой MITRE ATT&CK для упрощения понимания рисков и соответствующих контекстов, автоматического реагирования и управления сведениями о безопасности и событиях (SIEM)/Расширенное обнаружение и реагирование (XDR).
  • Развертывание и мониторинг. Отслеживает кластеры Kubernetes для отсутствующих агентов и обеспечивает беспробленное развертывание для возможностей на основе агентов, поддержку стандартных средств мониторинга Kubernetes и управление неизвредными ресурсами.

Доступность плана Microsoft Defender для контейнеров

Аспект Сведения
Состояние выпуска: Общедоступная версия
Некоторые функции доступны в предварительной версии. Полный список см. в таблице поддержки контейнеров в Defender для облака
Доступность функций Дополнительные сведения о состоянии выпуска компонентов и доступности см. в матрице поддержки контейнеров в Defender для облака.
Цены. Плата за использование Microsoft Defender для контейнеров начисляется по тарифам, приведенным на странице с ценами.
Требуемые роли и разрешения • Чтобы развернуть необходимые компоненты, ознакомьтесь с разрешениями для каждого компонента.
• Администратор безопасности может отклонять предупреждения.
• Читатель сведений о безопасности может просматривать результаты оценки уязвимостей.
См. также роли для исправления и Реестр контейнеров Azure ролей и разрешений
Облако. Просмотрите матрицу поддержки контейнеров в Defender для облака, чтобы увидеть доступность облака.

Управление состоянием безопасности

Возможности без агента

  • Обнаружение без агента для Kubernetes — обеспечивает нулевой объем, обнаружение кластеров Kubernetes на основе API, их конфигурации и развертывания.
  • Оценка уязвимостей без агента — предоставляет оценку уязвимостей для всех образов контейнеров, включая рекомендации по реестру и среде выполнения, быстрые проверки новых образов, ежедневное обновление результатов, аналитику эксплойтов и многое другое. Сведения об уязвимостях добавляются в граф безопасности для контекстной оценки рисков и вычисления путей атаки и возможностей охоты.
  • Комплексные возможности инвентаризации— позволяет изучать ресурсы, модули pod, службы, репозитории, образы и конфигурации с помощью обозревателя безопасности, чтобы легко отслеживать ресурсы и управлять ими.
  • Улучшенная охота на риски— позволяет администраторам безопасности активно охотиться на проблемы с состоянием в своих контейнерных ресурсах с помощью запросов (встроенных и настраиваемых) и аналитических сведений о безопасности в обозревателе безопасности
  • Усиление уровня управления — непрерывно оценивает конфигурации кластеров и сравнивает их с инициативами, применяемыми к подпискам. При обнаружении неправильных настроек Defender для облака создает рекомендации по безопасности, доступные на странице рекомендаций Defender для облака. Рекомендации позволяют исследовать и устранять проблемы.

Вы можете использовать фильтр ресурсов для просмотра необработанных рекомендаций для ресурсов, связанных с контейнерами, на странице инвентаризации ресурсов или рекомендаций:

Снимок экрана: пример использования фильтра ресурсов для просмотра невыполненных рекомендаций.

Примечание.

Дополнительные сведения, включенные в эту возможность, ознакомьтесь с разделом контейнеров в справочной таблице рекомендаций и найдите рекомендации с типом "Плоскость управления"

Возможности на основе агента

Защита плоскости данных Kubernetes . Чтобы защитить рабочие нагрузки контейнеров Kubernetes с рекомендациями, можно установить Политика Azure для Kubernetes. Дополнительные сведения о компонентах мониторинга для Defender для облака.

При использовании надстройки в кластере Kubernetes каждый запрос к серверу API Kubernetes отслеживается в предварительно определенном наборе рекомендаций перед сохранением в кластере. Вы можете настроить его так, чтобы принудительно применять рекомендации для всех будущих рабочих нагрузок.

Например, вы можете наказать, что привилегированные контейнеры не должны быть созданы, и любые будущие запросы для этого блокируются.

Оценка уязвимостей

Defender для контейнеров сканирует образы контейнеров в Реестр контейнеров Azure (ACR), Amazon AWS Elastic Container Registry (ECR), Google Artifact Registry (GAR) и Google Container Registry (GCR), чтобы обеспечить оценку уязвимостей без агента для образов контейнеров, включая рекомендации по реестру и среде выполнения, рекомендации по исправлению, быстрые проверки новых образов, аналитики эксплойтов в реальном мире, аналитики эксплойтов и многое другое.

Сведения об уязвимостях, предоставляемые Управление уязвимостями Microsoft Defender, добавляются в граф облачной безопасности для контекстного риска, вычисления путей атаки и возможностей охоты.

Существует два решения для оценки уязвимостей в Azure, одна на базе Управление уязвимостями Microsoft Defender и одна на базе Qualys.

Защита узлов и кластеров Kubernetes во время выполнения

Defender для контейнеров обеспечивает защиту от угроз в режиме реального времени для поддерживаемых контейнерных сред и создает оповещения о подозрительных действиях. Эти сведения можно использовать для быстрого устранения проблем безопасности и повышения безопасности контейнеров.

Защита от угроз предоставляется для Kubernetes на уровне кластера, уровне узла и на уровне рабочей нагрузки, а также включает в себя покрытие на основе агента Defender, которое требует агента Defender и покрытия без агента, основанного на анализе журналов аудита Kubernetes. Оповещения системы безопасности активируются только для действий и развертываний, возникающих после включения Defender для контейнеров в подписке.

  • Ниже приведены примеры событий безопасности, которые мониторы Microsoft Defenders для контейнеров:
  • доступные панели мониторинга Kubernetes;
  • создание ролей с высоким уровнем привилегий;

Создание конфиденциальных подключений

Вы можете просмотреть оповещения системы безопасности, выбрав плитку "Оповещения системы безопасности" в верхней части страницы обзора Defender для облака или ссылку с боковой панели.

Снимок экрана: пример просмотра оповещений системы безопасности на странице обзора Defender для облака.

Откроется страница оповещений системы безопасности:

Снимок экрана: пример просмотра оповещений системы безопасности для рабочей нагрузки среды выполнения в кластерах.

Оповещения системы безопасности для рабочей нагрузки среды выполнения в кластерах можно распознать kubernetes K8S. NODE_ префикс типа оповещения.

Defender для контейнеров также включает обнаружение угроз на уровне узла с более чем 60 аналитикой Kubernetes, ИИ и обнаружения аномалий на основе рабочей нагрузки среды выполнения.