Безопасность контейнеров в Microsoft Defender для контейнеров

  • 3 мин

Microsoft Defender для контейнеров — это облачное решение для улучшения, мониторинга и поддержания безопасности контейнерных ресурсов (кластеры Kubernetes, узлы Kubernetes, рабочие нагрузки Kubernetes, реестры контейнеров, образы контейнеров и многое другое), а также их приложения в многооблачных и локальных средах.

Defender для контейнеров помогает вам использовать четыре основных домена безопасности контейнеров:

  • Управление безопасностью — выполняет непрерывный мониторинг облачных API, API Kubernetes и рабочих нагрузок Kubernetes для обнаружения облачных ресурсов, предоставления комплексных возможностей инвентаризации, обнаружения неправильных конфигураций и предоставления рекомендаций по их устранению, предоставления контекстной оценки рисков и предоставления пользователям возможностей расширенного поиска рисков с помощью обозревателя Cloud Security Defender для Cloud Security.
  • Оценка уязвимостей — предоставляет оценку уязвимостей без агента для Azure, AWS и GCP с рекомендациями по исправлению, нулевым настройкам, ежедневным сканированием, охватом пакетов ОС и языковых пакетов, а также аналитическими сведениями об эксплойтации.
  • Защита от угроз во время выполнения — широкий набор средств обнаружения угроз для кластеров Kubernetes, узлов и рабочих нагрузок, работающих под управлением ведущих аналитиков угроз Майкрософт, обеспечивает сопоставление с платформой MITRE ATT&CK для упрощения понимания рисков и соответствующих контекстов, автоматического реагирования и управления сведениями о безопасности и событиях (SIEM)/Расширенное обнаружение и реагирование (XDR).
  • Мониторинг развертывания & контролирует ваши кластеры Kubernetes на предмет отсутствующих агентов и обеспечивает беспроблемное массовое развертывание возможностей на основе агентов, поддержку стандартных инструментов мониторинга Kubernetes и управление неотслеживаемыми ресурсами.

Доступность плана Microsoft Defender для контейнеров

Аспект Сведения
Статус выпуска Общедоступность (GA)
Некоторые функции доступны в предварительной версии. Полный список см. в матрице поддержки контейнеров в Defender для облака
Доступность функций Дополнительные сведения о состоянии выпуска компонентов и доступности см. в матрице поддержки контейнеров в Defender для облака.
Ценообразование: Плата за Microsoft Defender для контейнеров взимается, как показано на странице цен
Обязательные роли и разрешения: • Чтобы развернуть необходимые компоненты, ознакомьтесь с разрешениями для каждого компонента.
• Администратор безопасности может закрыть оповещения
• Система безопасности может просматривать результаты оценки уязвимостей
См. также роли для исправления и роли и разрешения в реестре контейнеров Azure
Облака: Просмотрите матрицу поддержки контейнеров в Defender для облака, чтобы просмотреть доступность облака.

Управление состоянием безопасности

Возможности без агента

  • Безагентное обнаружение для Kubernetes — обеспечивает обнаружение кластеров Kubernetes с использованием API, без необходимости в установке, их конфигураций и развертываний.
  • Безагентная оценка уязвимостей — предоставляет оценку уязвимостей всех образов контейнеров, включая рекомендации по использованию реестра и среды выполнения, быстрые проверки новых образов, ежедневное обновление результатов, аналитические сведения об эксплойтируемости и многое другое. Сведения об уязвимостях добавляются в граф безопасности для контекстной оценки рисков и вычисления путей атаки и возможностей охоты.
  • Комплексные возможности инвентаризации — позволяют исследовать такие ресурсы, как поды, службы, репозитории, образы и конфигурации, через обозреватель безопасности, чтобы легко отслеживать ваши активы и управлять ими.
  • улучшенное выявление рисков — позволяет администраторам безопасности активно выявлять проблемы безопасности в контейнерных ресурсах с помощью запросов (встроенных и настраиваемых) и рекомендаций по безопасности в обозревателе безопасности.
  • Укрепление плоскости управления — выполняет непрерывную оценку конфигураций ваших кластеров и сравнивает их с инициативами, применяемыми к подпискам. При обнаружении неправильной настройки Defender для облака создает рекомендации по безопасности, доступные на странице рекомендаций Defender для облака. Рекомендации позволяют исследовать и устранять проблемы.

Фильтр ресурсов можно использовать для просмотра невыполненных рекомендаций для ресурсов, связанных с контейнером, будь то в инвентаризации активов или на странице рекомендаций:

снимок экрана, показывающий пример использования фильтра ресурсов для просмотра невыполненных рекомендаций.

Примечание.

Чтобы ознакомиться с дополнительными сведениями, связанными с этой возможностью, загляните в раздел контейнеров справочной таблицы рекомендаций и найдите рекомендации с типом "Контрольная плоскость".

Возможности агентно-ориентированные

Укрепление плоскости данных Kubernetes - Чтобы защитить рабочие нагрузки ваших контейнеров Kubernetes в соответствии с рекомендациями лучших практик, вы можете установить политику Azure для Kubernetes. Дополнительные сведения о компонентах мониторинга для Defender для Облака.

При установке дополнения в вашем кластере Kubernetes каждый запрос к серверу API Kubernetes проверяется на соответствие предварительно определенному набору лучших практик перед сохранением в кластере. Затем ее можно настроить для применения лучших практик и сделать их обязательными для будущих рабочих нагрузок.

Например, вы можете установить правило, что привилегированные контейнеры не должны создаваться, и любые будущие запросы на их создание блокируются.

Оценка уязвимостей

Defender для контейнеров сканирует образы контейнеров в Реестре контейнеров Azure (ACR), Amazon AWS Elastic Container Registry (ECR), Google Artifact Registry (GAR) и Google Container Registry (GCR), чтобы предоставить безагентную оценку уязвимостей для ваших образов контейнеров. Это включает рекомендации по реестру и среде выполнения, руководство по исправлению, быстрые проверки новых образов, информацию о реальных уязвимостях, аналитику эксплойатов и многое другое.

Сведения об уязвимостях, предоставляемые Службой управления уязвимостями Microsoft Defender, добавляются в граф облачной безопасности для контекстного риска, вычисления путей атаки и возможностей охоты.

Существует два решения для оценки уязвимостей в Azure, одна на базе управления уязвимостями Microsoft Defender и одна на базе Qualys.

Защита во время выполнения для узлов и кластеров Kubernetes

Defender для контейнеров обеспечивает защиту от угроз в режиме реального времени для поддерживаемых контейнерных сред и создает оповещения о подозрительных действиях. Эти сведения можно использовать для быстрого устранения проблем безопасности и повышения безопасности контейнеров.

Защита от угроз предоставляется для Kubernetes на уровне кластера, узла и рабочей нагрузки и включает в себя защиту, требующую агента Defender, а также защиту без агента, основанную на анализе журналов аудита Kubernetes. Оповещения системы безопасности активируются только для действий и развертываний, возникающих после включения Defender для контейнеров в подписке.

  • Ниже приведены примеры событий безопасности, которые отслеживает Microsoft Defender для контейнеров:
  • Открытые панели мониторинга Kubernetes
  • Создание ролей с высоким уровнем привилегий

Создание чувствительных креплений

Вы можете просмотреть оповещения системы безопасности, выбрав плитку "Оповещения системы безопасности" в верхней части страницы обзора Defender для облака или ссылку с боковой панели.

снимок экрана, показывающий пример просмотра оповещений системы безопасности на странице обзора Defender для облака.

Откроется страница оповещений системы безопасности:

снимок экрана, показывающий пример просмотра оповещений безопасности для нагрузки в среде выполнения в кластерах.

Оповещения системы безопасности для рабочей нагрузки среды выполнения в кластерах можно распознать kubernetes K8S. NODE_ префикс типа оповещения.

Defender для контейнеров также включает обнаружение угроз на уровне узла с использованием более 60 средств аналитики, учитывающих Kubernetes, ИИ и обнаружения аномалий, работающих на основе выполняемой рабочей нагрузки.