你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

概览-Defender for Cloud 中的容器保护

Microsoft Defender for Containers 是一款原生云解决方案,用于跨多云和本地环境改进、监视和维护容器化资产(Kubernetes 群集、Kubernetes 节点、Kubernetes 工作负载、容器注册表、容器映像等)及其应用程序的安全性。

Defender for Containers 有助于实现容器安全性的四个核心方面:

  • 安全状况管理 - 对云 API、Kubernetes API 和 Kubernetes 工作负载执行持续监视以发现云资源,提供全面的库存功能,检测配置错误,并提供指导准则指导如何进行迁移、提供上下文风险评估,并让用户可通过 Microsoft Defender for Cloud 安全资源管理器来执行增强的风险搜寻功能。

  • 漏洞评估 - 为 Azure、AWS 和 GCP 提供无代理漏洞评估,并提供修正准则、零配置、每日重新扫描、OS 和语言包覆盖范围以及可利用性见解。

  • 运行时威胁防护 - 由 Microsoft 领先的威胁情报提供支持的 Kubernetes 群集、节点和工作负载的丰富威胁检测套件,提供映射到 MITRE ATT&CK 框架,以便轻松了解风险和相关上下文、自动响应和 SIEM/XDR 集成

  • 部署和监视 - 监视 Kubernetes 群集是否缺少传感器并以顺畅的方式大规模部署基于传感器的功能、支持标准 Kubernetes 监视工具以及管理未受监视的资源。

你可观看 Defender for Cloud 的实际应用视频系列中的以下视频来了解详细信息:Microsoft Defender for Containers

Microsoft Defender for Containers 计划可用性

方面 详细信息
发布状态: 正式发布版 (GA)
某些功能现为预览版。 请参阅 Defender for Cloud 中的容器支持矩阵,查看完整列表
功能可用性 请参阅 Defender for Cloud 中的容器支持矩阵,了解有关功能版状态和可用性的其他信息。
定价: 适用于容器的 Microsoft Defender 的计费方式显示在定价页
所需角色和权限: • 若要部署所需的组件,请参阅每个组件的权限
• 安全管理员可以消除警报
• 安全读取者可以查看漏洞评估结果
另请参阅用于修正的角色Azure 容器注册表角色和权限
云: 请查看 Defender for Cloud 中的容器支持矩阵,查看云可用性。

安全态势管理

无代理功能

  • Kubernetes 的无代理发现 - 提供对 Kubernetes 群集及其配置和部署的零占用空间、基于 API 的发现。

  • 无代理漏洞评估 - 为所有容器映像提供漏洞评估,包括注册表和运行时建议、对新映像的快速扫描、每日刷新结果、可利用性见解等。 漏洞信息会添加到安全图中,以对攻击路径和搜寻功能进行上下文风险评估和计算。

  • 综合清单功能 - 使你能够通过安全资源管理器浏览资源、Pod、服务、存储库、映像和配置,从而轻松监视和管理资产。

  • 增强的风险搜寻 - 使安全管理员能够通过查询(内置和自定义)以及安全资源管理器中的安全见解主动搜寻容器化资产中的状况问题

  • 控制平面强化 - 持续评估群集的配置,并将其与应用于订阅的计划进行比较。 当发现错误配置时,Defender for Cloud 会生成安全建议,可以在 Defender for Cloud 的建议页上查看这些建议。 可以根据这些建议调查并修正问题。

    无论是在资产清单中还是在建议页面中,你都可以使用资源筛选器来查看针对容器相关资源的优秀建议:

    屏幕截图显示了资源筛选器的位置。

    有关此功能包含的详细信息,请查看容器建议,并查找类型为“控制平面”的建议

基于传感器的功能

二进制偏移检测 - Defender for Containers 提供基于传感器的功能,通过检测容器中未经授权的外部进程来提醒你潜在的安全威胁。 可以定义偏移策略来指定生成警报的条件,从而帮助你区分合法活动和潜在威胁。 有关详细信息,请参阅二进制偏移保护(预览版)

Kubernetes 数据平面加强 - 若要按照最佳做法建议来保护 Kubernetes 容器的工作负载,可以安装 Azure Policy for Kubernetes。 详细了解 Defender for Cloud 的监视组件

通过 Kubernetes 群集上的加载项,将按照预先定义的一组最佳做法监视对 Kubernetes API 服务器的每个请求,然后再将其保存到群集。 然后,你可以将其配置为强制实施最佳做法,并规定将其用于未来的工作负载。

例如,可以规定不应创建特权容器,并且阻止以后的任何请求。

你可以详细了解 Kubernetes 数据平面强化

漏洞评估

Defender for Containers 会扫描 Azure 容器注册表 (ACR)、Amazon AWS 弹性容器注册表 (ECR) 和 Google Artifact Registry (GAR) 中的容器映像,为容器映像提供无代理漏洞评估,包括注册表和运行时建议、修正指南、对新映像进行快速扫描、实际攻击见解、可利用性见解等。

Microsoft Defender 漏洞管理支持的漏洞信息已添加到上下文风险、攻击路径计算和搜寻功能的云安全图中。

了解有关以下方面的详细信息:

面向 Kubernetes 节点和群集的运行时保护

Defender for Containers 为受支持的容器化环境提供实时威胁防护,并针对可疑活动发出警报。 可以使用此信息快速补救安全问题,并提高容器的安全性。

针对群集级别、节点级别和工作负载级别的 Kubernetes 提供威胁防护,并包括基于传感器的覆盖范围(需要 Defender 传感器)和无代理覆盖范围(基于 Kubernetes 审核日志分析)。 这标识只有在订阅上启用了 Defender for Containers 之后,才会针对发生的操作和部署触发安全警报。

Microsoft Defender for Containers 监视器的安全事件示例包括:

  • 公开的 Kubernetes 仪表板
  • 高特权角色的创建
  • 创建敏感装载

可以通过选择 Defender for Cloud 概述页面顶部的“安全警报”磁贴或边栏中的链接来查看安全警报。

显示如何从 Microsoft Defender for Cloud 的概述页面进入安全警报页面的屏幕截图。

此时将打开安全警报页:

显示在何处查看警报列表的屏幕截图。

可以通过警报类型的 K8S.NODE_ 前缀识别群集中运行时工作负载的安全警报。 如需群集级警报的完整列表,请参阅警报的引用表

Defender for Containers 还包括主机级别的威胁检测,基于运行时工作负载,实现超过 60 项 Kubernetes 感知分析、AI 和异常情况检测功能。

Defender for Cloud 根据容器的 MITRE ATTCK® 矩阵(该矩阵是 Center for Threat-Informed Defense 与 Microsoft 密切合作开发的一种框架)监视多云 Kubernetes 部署的攻击面。

了解详细信息

在以下博客中详细了解 Defender for Containers:

后续步骤

通过此概述性介绍,你了解了 Microsoft Defender for Cloud 容器安全性的核心元素。 若要启用该计划,请参阅: