Обзор Microsoft Defender для контейнеров
Microsoft Defender для контейнеров — это решение для защиты контейнеров, ориентированное на облако.
Функции Defender для контейнеров
Усиление среды. Defender для контейнеров защищает кластеры Kubernetes независимо от того, работают ли они в службе Kubernetes Azure, Kubernetes в локальной среде, IaaS или Amazon EKS. Постоянно оценивая кластеры, Defender для контейнеров предоставляет информацию об ошибках конфигураций и рекомендациях по устранению выявленных угроз.
Оценка уязвимостей. Средства оценки уязвимостей и управления для образов, хранящихся в реестрах контейнеров Azure и выполняемых в службе Kubernetes Azure.
Защита от угроз во время выполнения для узлов и кластеров. Защита от угроз для кластеров и узлов Linux создает оповещения системы безопасности для подозрительных действий.
Архитектура
Архитектура элементов, необходимых для обеспечения полной защиты, которая предоставляется Defender для контейнеров, зависит от места размещения кластеров Kubernetes.
Defender для контейнеров защищает кластеры независимо от того, запущены ли они в:
Служба Azure Kubernetes (AKS). Это управляемая служба Майкрософт для разработки и развертывания контейнерных приложений, а также управления ими.
Служба Amazon Elastic Kubernetes (EKS) в подключенной учетной записи Amazon Web Services (AWS) — это управляемая служба Amazon для запуска Kubernetes на AWS без установки, обработки и обслуживания собственного уровня управления и узлов Kubernetes.
Неуправляемое распределение Kubernetes (с использованием Kubernetes с поддержкой Azure Arc) — это сертифицированные кластеры Kubernetes Cloud Native Computing Foundation (CNCF), которые размещены в локальной среде или в IaaS.
Защитник для облака постоянно оценивает конфигурации кластеров и сравнивает их с инициативами, применяемыми для ваших подписок. При обнаружении ошибок в конфигурации Defender для облака создает рекомендации по безопасности. На странице рекомендаций Defender для облака вы можете просмотреть эти рекомендации и устранить проблемы.
Для кластеров Kubernetes в EKS необходимо подключить учетную запись AWS к Microsoft Defender для облака с помощью страницы настроек среды, как описано в статье "Подключение учетных записей AWS к Microsoft Defender для облака". Затем убедитесь, что вы включили план CSPM.
Усиление защиты среды
Чтобы получить набор рекомендаций по защите рабочих нагрузок контейнеров Kubernetes, установите Политику Azure для Kubernetes. По умолчанию автоматическая подготовка включается при включении Defender для контейнеров.
При использовании надстройки для кластера AKS каждый запрос к серверу API Kubernetes будет отслеживаться и сопоставляться с заранее установленным набором рекомендаций, прежде чем попадет в кластер. Вы можете настроить принудительное применение таких рекомендаций для всех будущих рабочих нагрузок.
Например, можно запретить создание привилегированных контейнеров, и тогда любой запрос такого типа будет блокироваться.
Просмотр уязвимостей для запущенных образов
Defender для контейнеров расширяет функциональные возможности сканирования реестра Defender для контейнера, предоставляя предварительную версию функции визуализации уязвимостей, которая обеспечивается за счет профиля Defender (расширения).
Новая рекомендация "Для запущенных образов контейнеров нужно устранить уязвимости" показывает только уязвимости для запущенных образов. Эта рекомендация использует профиль безопасности Defender (расширение) для обнаружения запущенных в настоящий момент образов. Эта рекомендация группирует запущенные образы, имеющие уязвимости, предоставляет подробные сведения о выявленных проблемах и способах их устранения. Профиль Defender или расширение используются для визуализации уязвимых активных контейнеров.
В этой рекомендации показаны запущенные образы и их уязвимости на основе образов реестра контейнеров Azure. Образы, развернутые из реестра, отличного от реестра контейнеров Azure, не будут проверяться и будут отображаться на вкладке «Неприменимо».
Защита узлов и кластеров Kubernetes во время выполнения
Defender для облака обеспечивает защиту контейнерных сред от угроз в реальном времени и создает оповещения о подозрительных действиях. Эти сведения можно использовать для быстрого устранения проблем безопасности и повышения безопасности контейнеров.
Защита от угроз на уровне кластера обеспечивается профилем Defender и анализом журналов аудита Kubernetes. Примерами событий на этом уровне могут служить представление панелей мониторинга Kubernetes, создание ролей с высоким уровнем привилегий и создание конфиденциальных подключений.
Кроме того, обнаружение угроз выходит за пределы уровня управления Kubernetes. Defender для контейнеров включает обнаружение угроз на уровне узла при помощи более чем 60 инструментов аналитики ИИ и обнаружения аномалий с поддержкой Kubernetes, учитывающих рабочую нагрузку среды выполнения. Наша международная команда специалистов по безопасности постоянно отслеживает ландшафт угроз. Они добавляют оповещение и уязвимости для конкретных контейнеров по мере их обнаружения. Вместе это решение отслеживает растущую область атак нескольких облачных развертываний Kubernetes и отслеживает матрицу MITRE ATT&CK® для контейнеров. Платформа, разработанная организацией Center for Threat-Informed Defense в тесном сотрудничестве с Майкрософт и другими партнерами.