你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Defender CSPM 中的无代理容器态势

Defender for Cloud 中的 Defender for Cloud 安全状况管理 (CSPM) 计划为 Azure、AWS 和 GCP 提供容器状态功能。 有关要求和支持,请参阅 Defender for Cloud 中的容器支持矩阵

无代理容器态势提供对 Kubernetes 资产和安全态势的轻松无缝可见性,上下文风险分析使安全团队能够基于安全问题背后的实际风险确定修正的优先级,并主动搜寻状态势问题。

功能

无代理容器态势提供了以下功能:

  • Kubernetes 的无代理发现 - 为 Kubernetes 群集及其配置和部署提供零占用空间、基于 API 的发现。
  • 全面的库存功能 - 支持你通过安全资源管理器浏览 Kubernetes 资源:群集、工作负载、网络、节点池、容器注册表、容器映像软件、K8s 配置和安全见解,以轻松监视和管理资产。
  • 无代理漏洞评估 - 提供对 Kubernetes 节点池和容器映像的漏洞评估,包括针对注册表和运行时的建议、对新映像的近实时扫描、每日结果刷新、可利用性见解等。 漏洞信息会添加到安全图中,以对攻击路径和搜寻功能进行上下文风险评估和计算。
  • 攻击路径分析 - 上下文风险评估公开攻击者可能用于破坏环境的可利用路径并报告为攻击路径,从而帮助确定环境中最重要的态势问题的优先级。
  • 增强的风险搜寻 - 使安全管理员能够通过查询(内置和自定义)以及安全资源管理器中的安全见解主动搜寻容器化资产中的状况问题。
  • 控制平面强化 - Defender for Cloud 持续评估群集的配置,并将其与应用于订阅的计划进行比较。 当发现错误配置时,Defender for Cloud 会生成安全建议,可以在 Defender for Cloud 的建议页上查看这些建议。 可以根据这些建议调查并修正问题。 有关此功能附带的建议的详细信息,请查看控制平面类型的容器建议
  • 关键资产保护 - 支持安全管理员自动标记对其组织至关重要的“核心”资源,允许 Defender for Cloud 为其提供最高级别的保护,并优先处理有关这些资产的安全问题。

后续步骤