Containerskydd i Defender för molnet

Microsoft Defender för containrar är en molnbaserad lösning för att förbättra, övervaka och upprätthålla säkerheten för dina containerbaserade tillgångar (Kubernetes-kluster, Kubernetes-noder, Kubernetes-arbetsbelastningar, containerregister, containeravbildningar med mera) och deras program i miljöer med flera moln och lokalt.

Defender for Containers hjälper dig med fyra kärndomäner för containersäkerhet:

• Hantering av säkerhetsstatus kör kontinuerlig övervakning av moln-API:er, Kubernetes-API:er och Kubernetes-arbetsbelastningar för att identifiera molnresurser, tillhandahålla omfattande inventeringsfunktioner, identifiera felkonfigurationer med riktlinjer för minskning, tillhandahålla kontextuell riskbedömning och ge användarna möjlighet att utföra förbättrade riskjaktfunktioner via Defender för molnet säkerhetsutforskaren.

• Sårbarhetsbedömning – utför agentlös sårbarhetsbedömning av K8s-noder och containerregister som stöds med riktlinjer för reparation, noll konfiguration, dagliga genomsökningar, täckning för OS- och språkpaket och insikter om sårbarhet.

• Skydd mot körningshot – en omfattande svit för hotidentifiering för Kubernetes-kluster, noder och arbetsbelastningar, som drivs av Microsofts ledande hotinformation, tillhandahåller mappning till MITRE ATT&CK-ramverket för enkel förståelse av risker och relevant kontext samt automatiserade svar. Säkerhetsoperatörer kan också undersöka och svara på hot mot Kubernetes-tjänster via Microsoft Defender XDR-portalen.

• Distribution och övervakning – Övervakar dina Kubernetes-kluster för saknade sensorer och tillhandahåller friktionsfri distribution i stor skala för sensorbaserade funktioner, stöd för kubernetes-standardövervakningsverktyg och hantering av oövervakade resurser.

Du kan lära dig mer genom att titta på den här videon från Defender för molnet i videoserien Fält: Microsoft Defender för containrar.

Tillgänglighet för Microsoft Defender for Containers

Aspekt	Details
Versionstillstånd:	Allmän tillgänglighet (GA) Vissa funktioner är i förhandsversion. En fullständig lista finns i Stödmatrisen för containrar i Defender för molnet
Funktion tillgänglig	Mer information om funktionsversionstillstånd och tillgänglighet finns i stödmatrisen containrar i Defender för molnet
Prissättning:	Microsoft Defender för containrar faktureras enligt prissidan
Nödvändiga roller och behörigheter:	* Information om hur du distribuerar nödvändiga komponenter finns i behörigheterna för var och en av komponenterna * Säkerhetsadministratören kan stänga aviseringar * Säkerhetsläsaren kan visa sårbarhetsbedömningsresultat Se även Roller för reparations- och Azure Container Registry-roller och -behörigheter
Moln:	Visa stödmatrisen containrar i Defender för molnet för att se molntillgänglighet

Hantering av säkerhetsstatus

Agentlösa funktioner

• Agentlös identifiering för Kubernetes – ger noll fotavtryck, API-baserad identifiering av dina Kubernetes-kluster, konfigurationer och distributioner.

• Utvärdering av agentlös sårbarhet – ger sårbarhetsbedömning för klusternoder och för alla containeravbildningar, inklusive rekommendationer för register och körning, snabbsökningar av nya avbildningar, daglig uppdatering av resultat, insikter om sårbarhet med mera. Sårbarhetsinformation läggs till i säkerhetsdiagrammet för kontextuell riskbedömning och beräkning av attackvägar och jaktfunktioner.

• Omfattande inventeringsfunktioner – gör att du kan utforska resurser, poddar, tjänster, lagringsplatser, bilder och konfigurationer via säkerhetsutforskaren för att enkelt övervaka och hantera dina tillgångar.

• Förbättrad riskjakt – gör det möjligt för säkerhetsadministratörer att aktivt söka efter hållningsproblem i sina containerbaserade tillgångar via frågor (inbyggda och anpassade) och säkerhetsinsikter i säkerhetsutforskaren

• Härdning av kontrollplan – utvärderar kontinuerligt konfigurationerna för dina kluster och jämför dem med de initiativ som tillämpas på dina prenumerationer. När den hittar felkonfigurationer genererar Defender för molnet säkerhetsrekommendationer som är tillgängliga på Defender för molnet sidan Rekommendationer. Med rekommendationerna kan du undersöka och åtgärda problem.

  Du kan använda resursfiltret för att granska de utestående rekommendationerna för dina containerrelaterade resurser, oavsett om de finns i tillgångslager eller på sidan med rekommendationer:

  Mer information om den här funktionen finns i containerrekommendationer och leta efter rekommendationer med typen "Kontrollplan"

Sensorbaserade funktioner

Identifiering av binär avdrift – Defender for Containers ger en sensorbaserad funktion som varnar dig om potentiella säkerhetshot genom att identifiera obehöriga externa processer i containrar. Du kan definiera driftprinciper för att ange villkor under vilka aviseringar ska genereras, vilket hjälper dig att skilja mellan legitima aktiviteter och potentiella hot. Mer information finns i Binärt driftskydd (förhandsversion).

Kubernetes dataplanshärdning – För att skydda arbetsbelastningarna för dina Kubernetes-containrar med rekommenderade metodtips kan du installera Azure Policy for Kubernetes. Läs mer om att övervaka komponenter för Defender för molnet.

Med de principer som definierats för kubernetes-klustret övervakas varje begäran till Kubernetes API-servern mot den fördefinierade uppsättningen metodtips innan den sparas i klustret. Du kan sedan konfigurera den för att tillämpa bästa praxis och ge dem mandat för framtida arbetsbelastningar.

Du kan till exempel kräva att privilegierade containrar inte ska skapas och eventuella framtida begäranden om detta blockeras.

Du kan lära dig mer om Kubernetes dataplanshärdning.

Sårbarhetsbedömning

Defender for Containers söker igenom klusternodens operativsystem och programprogramvara, containeravbildningar i Azure Container Registry (ACR), Amazon AWS Elastic Container Registry (ECR), Google Artifact Registry (GAR), Google Container Registry (GCR) och externa avbildningsregister som stöds för att tillhandahålla en agentlös sårbarhetsbedömning.

Sårbarhetsinformation som drivs av Microsoft Defender – hantering av säkerhetsrisker läggs till i molnsäkerhetsdiagrammet för kontextuell risk, beräkning av attackvägar och jaktfunktioner.

Läs mer om sårbarhetsbedömning för:

Containerregister -

• Sårbarhetsbedömningar för Azure med Microsoft Defender – hantering av säkerhetsrisker
• Sårbarhetsbedömningar för AWS med Microsoft Defender – hantering av säkerhetsrisker
• Sårbarhetsbedömningar för GCP med Microsoft Defender – hantering av säkerhetsrisker

Klusternoder –

• Sårbarhetsbedömning av klusternoder

Körningsskydd för Kubernetes-noder och -kluster

Defender for Containers ger skydd mot hot i realtid för containerbaserade miljöer som stöds och genererar aviseringar för misstänkta aktiviteter. Du kan använda den här informationen för att snabbt åtgärda säkerhetsproblem och förbättra säkerheten för dina containrar.

Hotskydd tillhandahålls för Kubernetes på kluster-, nod- och arbetsbelastningsnivå. Både sensorbaserad täckning som kräver Defender-sensorn och agentlös täckning som baseras på analys av Kubernetes-granskningsloggarna används för att identifiera hot. Säkerhetsaviseringar utlöses endast för åtgärder och distributioner som inträffar när du har aktiverat Defender för containrar i din prenumeration.

Exempel på säkerhetshändelser som Övervakare av Microsoft Defenders for Containers är:

• Exponerade Kubernetes-instrumentpaneler
• Skapa högprivilegierade roller
• Skapande av känsliga monteringar

Du kan visa säkerhetsaviseringar genom att välja panelen Säkerhetsaviseringar överst på Defender för molnet översiktssida eller länken i sidofältet.

Säkerhetsaviseringar för körningsarbetsbelastning i klustren har prefixet aviseringstyp K8S.NODE_ . En fullständig lista över aviseringar på klusternivå finns i referenstabellen med aviseringar.

Defender for Containers innehåller hotidentifiering med över 60 Kubernetes-medvetna analys-, AI- och avvikelseidentifieringar baserat på din körningsarbetsbelastning.

Defender för molnet övervakar attackytan för Kubernetes-distributioner i flera moln baserat på MITRE ATT&CK-matris® för containrar, ett ramverk som utvecklats av Center for Threat-Informed Defense i nära samarbete med Microsoft.

Defender för molnet är integrerat med Microsoft Defender XDR. När Defender för containrar är aktiverat kan säkerhetsoperatorer använda Defender XDR för att undersöka och svara på säkerhetsproblem i Kubernetes-tjänster som stöds.

Läs mer

Läs mer om Defender för containrar i följande bloggar:

• Introduktion till Microsoft Defender för containrar
• Demonstrerar Microsoft Defender för molnet

Nästa steg

I den här översikten har du lärt dig om kärnelementen i containersäkerhet i Microsoft Defender för molnet. Information om hur du aktiverar planen finns i:

• Aktivera Defender för containrar
• Läs vanliga frågor om Defender för containrar.