Förstå Microsoft Defender för containrar

  • 7 minuter

Microsoft Defender för containrar är den molnbaserade lösningen för att skydda dina containrar.

Funktioner i Defender för containrar

  • Miljöhärdning – Defender for Containers skyddar dina Kubernetes-kluster oavsett om de körs på Azure Kubernetes Service, Kubernetes lokalt/IaaS eller Amazon EKS. Genom att kontinuerligt utvärdera kluster ger Defender for Containers insyn i felkonfigurationer och riktlinjer för att minimera identifierade hot.

  • Sårbarhetsbedömning – Verktyg för sårbarhetsbedömning och hantering av avbildningar som lagras i ACR-register och körs i Azure Kubernetes Service.

  • Skydd mot körningshot för noder och kluster – Hotskydd för kluster och Linux-noder genererar säkerhetsaviseringar för misstänkta aktiviteter.

Arkitektur

Arkitekturen för de element som behövs för alla skydd som tillhandahålls av Defender för containrar varierar beroende på var dina Kubernetes-kluster finns.

Defender for Containers skyddar dina kluster oavsett om de körs i

  • Azure Kubernetes Service (AKS) – Microsofts hanterade tjänst för att utveckla, distribuera och hantera containerbaserade program.

  • Amazon Elastic Kubernetes Service (EKS) på ett anslutet AWS-konto (Amazon Web Services) – Amazons hanterade tjänst för att köra Kubernetes på AWS utan att behöva installera, använda och underhålla ett eget Kubernetes-kontrollplan eller -noder.

  • En ohanterad Kubernetes-distribution (med Azure Arc-aktiverade Kubernetes) – CNCF-certifierade Kubernetes-kluster (Cloud Native Computing Foundation) som finns lokalt eller på IaaS.

Defender för molnet utvärderar kontinuerligt konfigurationerna för dina kluster och jämför dem med de initiativ som tillämpas på dina prenumerationer. När den hittar felkonfigurationer genererar Defender för molnet säkerhetsrekommendationer. Använd Defender för molnet rekommendationer för att visa rekommendationer och åtgärda problem.

För Kubernetes-kluster på EKS måste du ansluta ditt AWS-konto till Microsoft Defender för molnet via sidan miljöinställningar (enligt beskrivningen i Anslut dina AWS-konton för att Microsoft Defender för molnet). Kontrollera sedan att du har aktiverat CSPM-planen.

Miljöhärdning

Om du vill få ett paket med rekommendationer för att skydda arbetsbelastningarna för dina Kubernetes-containrar installerar du Azure Policy for Kubernetes. Som standard aktiveras automatisk etablering när du aktiverar Defender för containrar.

Med tillägget i AKS-klustret övervakas varje begäran till Kubernetes API-servern mot den fördefinierade uppsättningen metodtips innan de sparas i klustret. Du kan sedan konfigurera för att framtvinga bästa praxis och ge dem mandat för framtida arbetsbelastningar.

Du kan till exempel kräva att privilegierade containrar inte ska skapas och eventuella framtida begäranden om detta blockeras.

Visa sårbarheter för att köra avbildningar

Defender for Containers utökar funktionerna för registergenomsökning i defender for containerregistries-planen genom att introducera förhandsversionen av körningssynlighet för sårbarheter som drivs av Defender-profilen eller ett tillägg.

Den nya rekommendationen "att köra containeravbildningar bör ha sårbarhetsresultat lösta" visar bara sårbarheter för att köra avbildningar. Rekommendationen förlitar sig på Defender-säkerhetsprofilen eller tillägget för att identifiera vilka avbildningar som körs för närvarande. Den här rekommendationen grupperar körning av avbildningar som har säkerhetsrisker och innehåller information om de problem som identifieras och hur du åtgärdar dem. Defender-profilen eller tillägget används för att få insyn i sårbara containrar som är aktiva.

Den här rekommendationen visar hur du kör bilder och deras sårbarheter baserat på ACR-avbildningar. Avbildningar som distribueras från ett icke-ACR-register genomsöks inte och visas under fliken Ej tillämpligt.

Körningsskydd för Kubernetes-noder och -kluster

Defender för molnet ger skydd mot hot i realtid för dina containerbaserade miljöer och genererar aviseringar för misstänkta aktiviteter. Du kan använda den här informationen för att snabbt åtgärda säkerhetsproblem och förbättra säkerheten för dina containrar.

Hotskydd på klusternivå tillhandahålls av Defender-profilen och analysen av Kubernetes-granskningsloggarna. Exempel på händelser på den här nivån är exponerade Kubernetes-instrumentpaneler, skapande av högprivilegierade roller och skapandet av känsliga monteringar.

Dessutom går vår hotidentifiering utöver Kubernetes-hanteringsskiktet. Defender for Containers innehåller hotidentifiering på värdnivå med över 60 Kubernetes-medvetna analys-, AI- och avvikelseidentifieringar baserat på din körningsarbetsbelastning. Vårt globala team av säkerhetsforskare övervakar ständigt hotlandskapet. De lägger till containerspecifika aviseringar och sårbarheter när de identifieras. Tillsammans övervakar den här lösningen den växande attackytan för Kubernetes-distributioner i flera moln och spårar MITRE ATT&CK-matrisen® för containrar. Ett ramverk som utvecklades av Center for Threat-Informed Defense i nära samarbete med Microsoft och andra partner.