Безопасность контейнеров в Microsoft Defender для контейнеров
Microsoft Defender для контейнеров — это облачное решение для улучшения, мониторинга и поддержания безопасности контейнерных ресурсов (кластеры Kubernetes, узлы Kubernetes, рабочие нагрузки Kubernetes, реестры контейнеров, образы контейнеров и многое другое), а также их приложения в многооблачных и локальных средах.
Defender для контейнеров помогает вам использовать четыре основных домена безопасности контейнеров:
- Управление безопасностью — выполняет непрерывный мониторинг облачных API, API Kubernetes и рабочих нагрузок Kubernetes для обнаружения облачных ресурсов, предоставления комплексных возможностей инвентаризации, обнаружения неправильных конфигураций и предоставления рекомендаций по их устранению, предоставления контекстной оценки рисков и предоставления пользователям возможности расширенного поиска рисков через обозреватель безопасности Defender для облака.
- Оценка уязвимостей — предоставляет оценку уязвимостей без агента для Azure, AWS и GCP с рекомендациями по исправлению, нулевым настройкам, ежедневным сканированием, охватом пакетов ОС и языковых пакетов, а также аналитическими сведениями об эксплойтации.
- Защита от угроз во время выполнения — широкий набор средств обнаружения угроз для кластеров Kubernetes, узлов и рабочих нагрузок, работающих под управлением ведущих аналитиков угроз Майкрософт, обеспечивает сопоставление с платформой MITRE ATT&CK для упрощения понимания рисков и соответствующих контекстов, автоматического реагирования и управления сведениями о безопасности и событиях (SIEM)/Расширенное обнаружение и реагирование (XDR).
- Развертывание и мониторинг. Отслеживает кластеры Kubernetes для отсутствующих агентов и обеспечивает беспробленное развертывание для возможностей на основе агентов, поддержку стандартных средств мониторинга Kubernetes и управление неизвредными ресурсами.
Доступность плана Microsoft Defender для контейнеров
Аспект | Сведения |
---|---|
Состояние выпуска: | Общедоступная версия Некоторые функции доступны в предварительной версии. Полный список см. в таблице поддержки контейнеров в Defender для облака |
Доступность функций | Дополнительные сведения о состоянии выпуска компонентов и доступности см. в матрице поддержки контейнеров в Defender для облака. |
Цены. | Плата за использование Microsoft Defender для контейнеров начисляется по тарифам, приведенным на странице с ценами. |
Требуемые роли и разрешения | • Чтобы развернуть необходимые компоненты, ознакомьтесь с разрешениями для каждого компонента. • Администратор безопасности может отклонять предупреждения. • Читатель сведений о безопасности может просматривать результаты оценки уязвимостей. См. также роли для исправления и Реестр контейнеров Azure ролей и разрешений |
Облако. | Просмотрите матрицу поддержки контейнеров в Defender для облака, чтобы увидеть доступность облака. |
Управление состоянием безопасности
Возможности без агента
- Обнаружение без агента для Kubernetes — обеспечивает нулевой объем, обнаружение кластеров Kubernetes на основе API, их конфигурации и развертывания.
- Оценка уязвимостей без агента — предоставляет оценку уязвимостей для всех образов контейнеров, включая рекомендации по реестру и среде выполнения, быстрые проверки новых образов, ежедневное обновление результатов, аналитику эксплойтов и многое другое. Сведения об уязвимостях добавляются в граф безопасности для контекстной оценки рисков и вычисления путей атаки и возможностей охоты.
- Комплексные возможности инвентаризации— позволяет изучать ресурсы, модули pod, службы, репозитории, образы и конфигурации с помощью обозревателя безопасности, чтобы легко отслеживать ресурсы и управлять ими.
- Улучшенная охота на риски— позволяет администраторам безопасности активно охотиться на проблемы с состоянием в своих контейнерных ресурсах с помощью запросов (встроенных и настраиваемых) и аналитических сведений о безопасности в обозревателе безопасности
-
Усиление уровня управления — непрерывно оценивает конфигурации кластеров и сравнивает их с инициативами, применяемыми к подпискам. При обнаружении неправильных настроек Defender для облака создает рекомендации по безопасности, доступные на странице рекомендаций Defender для облака. Рекомендации позволяют исследовать и устранять проблемы.
Вы можете использовать фильтр ресурсов для просмотра необработанных рекомендаций для ресурсов, связанных с контейнерами, на странице инвентаризации ресурсов или рекомендаций:
Примечание.
Дополнительные сведения, включенные в эту возможность, ознакомьтесь с разделом контейнеров в справочной таблице рекомендаций и найдите рекомендации с типом "Плоскость управления"
Возможности на основе агента
Защита плоскости данных Kubernetes . Чтобы защитить рабочие нагрузки контейнеров Kubernetes с рекомендациями, можно установить Политика Azure для Kubernetes. Дополнительные сведения о компонентах мониторинга для Defender для облака.
При использовании надстройки в кластере Kubernetes каждый запрос к серверу API Kubernetes отслеживается в предварительно определенном наборе рекомендаций перед сохранением в кластере. Вы можете настроить его так, чтобы принудительно применять рекомендации для всех будущих рабочих нагрузок.
Например, вы можете наказать, что привилегированные контейнеры не должны быть созданы, и любые будущие запросы для этого блокируются.
Оценка уязвимостей
Defender для контейнеров сканирует образы контейнеров в Реестр контейнеров Azure (ACR), Amazon AWS Elastic Container Registry (ECR), Google Artifact Registry (GAR) и Google Container Registry (GCR), чтобы обеспечить оценку уязвимостей без агента для образов контейнеров, включая рекомендации по реестру и среде выполнения, рекомендации по исправлению, быстрые проверки новых образов, аналитики эксплойтов в реальном мире, аналитики эксплойтов и многое другое.
Сведения об уязвимостях, предоставляемые Управление уязвимостями Microsoft Defender, добавляются в граф облачной безопасности для контекстного риска, вычисления путей атаки и возможностей охоты.
Существует два решения для оценки уязвимостей в Azure, одна на базе Управление уязвимостями Microsoft Defender и одна на базе Qualys.
Защита узлов и кластеров Kubernetes во время выполнения
Defender для контейнеров обеспечивает защиту от угроз в режиме реального времени для поддерживаемых контейнерных сред и создает оповещения о подозрительных действиях. Эти сведения можно использовать для быстрого устранения проблем безопасности и повышения безопасности контейнеров.
Защита от угроз предоставляется для Kubernetes на уровне кластера, уровне узла и на уровне рабочей нагрузки, а также включает в себя покрытие на основе агента Defender, которое требует агента Defender и покрытия без агента, основанного на анализе журналов аудита Kubernetes. Оповещения системы безопасности активируются только для действий и развертываний, возникающих после включения Defender для контейнеров в подписке.
- Ниже приведены примеры событий безопасности, которые мониторы Microsoft Defenders для контейнеров:
- доступные панели мониторинга Kubernetes;
- создание ролей с высоким уровнем привилегий;
Создание конфиденциальных подключений
Вы можете просмотреть оповещения системы безопасности, выбрав плитку "Оповещения системы безопасности" в верхней части страницы обзора Defender для облака или ссылку с боковой панели.
Откроется страница оповещений системы безопасности:
Оповещения системы безопасности для рабочей нагрузки среды выполнения в кластерах можно распознать kubernetes K8S. NODE_ префикс типа оповещения.
Defender для контейнеров также включает обнаружение угроз на уровне узла с более чем 60 аналитикой Kubernetes, ИИ и обнаружения аномалий на основе рабочей нагрузки среды выполнения.