Microsoft Defender per i contenitori fornisce la protezione dalle minacce, la valutazione delle vulnerabilità e la gestione del comportamento di sicurezza per i cluster Kubernetes in ambienti cloud tramite Microsoft Defender per il cloud.
Defender per contenitori è abilitato e distribuito in modo diverso a seconda dell'ambiente Kubernetes. Servizio Azure Kubernetes (AKS) usa integrazioni native di Azure, mentre Amazon Elastic Kubernetes Service (EKS) e Google Kubernetes Engine (GKE) si basano su connettori multicloud, kubernetes abilitati per Azure Arc e componenti specifici dell'ambiente.
Microsoft Defender per contenitori estende il monitoraggio e la protezione della sicurezza ai cluster Servizio Azure Kubernetes (AKS) tramite Microsoft Defender per il cloud. Consente ai team di sicurezza e DevOps di ottenere visibilità sulle vulnerabilità dell'immagine del contenitore, sulle attività di runtime e i rischi di configurazione di Kubernetes negli ambienti Azure.
Integrazione con Azure
Defender for Containers si integra in modo nativo con i servizi di Azure per proteggere i cluster AKS. Se abilitata in una sottoscrizione Azure, la soluzione:
- Individua i cluster AKS nella sottoscrizione
- Distribuisce Defender per i componenti dei contenitori usando integrazioni gestite da Azure
- Valuta le immagini del contenitore archiviate in Registro Azure Container (ACR) per individuare le vulnerabilità
- Raccoglie i segnali di sicurezza del runtime dai cluster AKS
- Genera raccomandazioni sulla sicurezza in base alla configurazione e al comportamento osservati
- Visualizza gli avvisi che si integrano con Microsoft strumenti di sicurezza
L'integrazione è progettata per funzionare utilizzando capacità native di Azure e non richiede la connettività in entrata ai cluster AKS.
Annotazioni
I log del piano di controllo di AKS vengono raccolti tramite l'integrazione del piano di controllo gestito da Azure. Defender per contenitori non si basa su pipeline di log di controllo native di Kubernetes o richiede l'abilitazione della registrazione di controllo nel cluster.
Funzionalità principali
Defender per contenitori offre le seguenti funzionalità per gli ambienti AKS:
- Valutazione della vulnerabilità delle immagini dei container per le immagini archiviate in Registro Azure Container (ACR)
-
Rilevamento e avviso delle minacce basati su segnali di runtime raccolti da nodi AKS, workloads e log di controllo di Kubernetes
-
Approfondimenti sulla postura di sicurezza per i cluster e i carichi di lavoro Kubernetes, allineati alle procedure consigliate per la sicurezza di Kubernetes e Azure
Annotazioni
I segnali e i rilevamenti disponibili dipendono dalla configurazione del cluster e dai componenti abilitati.
Microsoft Defender per i contenitori estende il monitoraggio e la protezione della sicurezza ai cluster del servizio Elastic Kubernetes di Amazon per offrire visibilità sulle vulnerabilità dell'immagine del contenitore, sulle attività di runtime e sui rischi di configurazione del cluster tramite Microsoft Defender per il cloud.
Integrazione con AWS
Defender per contenitori si integra con AWS tramite un connettore sicuro che connette l'account AWS a Microsoft Defender per il cloud. Dopo la connessione, la soluzione:
- Rileva i cluster EKS nel tuo account AWS
- Distribuisce sensori di sicurezza leggeri per raccogliere i segnali di runtime
- Si integra con Amazon ECR per valutare le immagini dei contenitori per individuare le vulnerabilità
- Genera raccomandazioni sulla sicurezza in base alla configurazione e al comportamento osservati
- Visualizza avvisi per attività sospette correlate ai carichi di lavoro del servizio Amazon EKS
L'integrazione è progettata per lavorare insieme ai servizi di sicurezza AWS esistenti, ad esempio AWS GuardDuty e AWS Security Hub.
Funzionalità principali
Defender per contenitori offre le funzionalità seguenti per gli ambienti Amazon EKS:
-
Valutazione della vulnerabilità dell'immagine del contenitore per le immagini archiviate in Amazon ECR
-
Rilevamento, avviso e risposta delle minacce in base ai segnali di runtime
-
Informazioni dettagliate sul comportamento di sicurezza allineate alle procedure consigliate per la sicurezza
Annotazioni
I segnali e i rilevamenti disponibili dipendono dalla configurazione del cluster e dalle origini dati abilitate.
Microsoft Defender per i contenitori estende il monitoraggio e la protezione della sicurezza ai cluster GKE (Google Kubernetes Engine) integrandoli con Microsoft Defender per il cloud.
Integrazione con GCP
Defender per contenitori si integra con Google Cloud tramite un connettore GCP sicuro che connette i progetti GCP a Microsoft Defender per il cloud. Dopo la connessione, la soluzione:
- Individua i cluster GKE nei progetti GCP connessi
- Connette i cluster selezionati a Azure Arc
- Distribuisce un sensore Defender
- Si integra con Registro Contenitori Google e registro artefatti
- Genera raccomandazioni sulla sicurezza
- Visualizza avvisi per attività sospette
L'integrazione è progettata per funzionare insieme alle funzionalità di sicurezza GCP native e non richiede la connettività in ingresso.
Funzionalità principali
Defender per contenitori offre le funzionalità seguenti per gli ambienti GKE:
-
Valutazione della vulnerabilità dell'immagine del contenitore per GCR e Registro artefatti
-
Rilevamento delle minacce e avvisi in base ai segnali di runtime
-
Informazioni dettagliate sul comportamento di sicurezza allineate alle procedure consigliate di Kubernetes e GKE
Annotazioni
I segnali e i rilevamenti disponibili dipendono dalla configurazione del cluster e dalle origini dati abilitate.
Microsoft Defender per contenitori fornisce il monitoraggio e la protezione della sicurezza per i cluster Kubernetes connessi a Azure tramite Azure Arc. Sono inclusi i cluster Kubernetes in esecuzione in locale, nella rete perimetrale o in altri ambienti non Azure.
Defender per contenitori in Kubernetes con abilitazione di Arc viene gestito tramite Microsoft Defender per il cloud e si basa su Kubernetes Azure Arc abilitato per la connettività del cluster e la distribuzione dei componenti.
Integrazione con Azure Arc
Defender per contenitori si integra con i cluster Kubernetes abilitati per Arc usando Azure Arc come piano di controllo. Dopo che un cluster è connesso a Azure Arc e il piano Contenitori è abilitato, Defender per i contenitori:
- Individua i cluster Kubernetes abilitati per Arc nella sottoscrizione
- Distribuisce i componenti Defender usando le estensioni di Azure Arc
- Raccoglie i segnali di sicurezza del runtime dai nodi e dai carichi di lavoro kubernetes
- Valuta le configurazioni del cluster e del carico di lavoro
- Genera raccomandazioni e avvisi di sicurezza in Defender per il cloud
L'integrazione non richiede la connettività in ingresso al cluster Kubernetes. La comunicazione viene avviata dal cluster per Azure tramite gli agenti di Azure Arc.
Annotazioni
Per distribuire i componenti di Defender for Containers nei cluster Kubernetes che non sono in esecuzione su Azure, è richiesto Kubernetes abilitato per Arc.
Funzionalità principali
Defender per i contenitori offre le funzionalità seguenti per gli ambienti Kubernetes abilitati per Arc
-
Rilevamento e avviso delle minacce in base ai segnali di runtime raccolti dai nodi, dai carichi di lavoro e dai log di controllo di Kubernetes
-
Informazioni dettagliate sul comportamento di sicurezza per cluster e carichi di lavoro Kubernetes
-
Valutazione della configurazione basata su criteri tramite Criteri di Azure per Kubernetes
Annotazioni
I segnali, i rilevamenti e le valutazioni del comportamento disponibili dipendono dai componenti abilitati e dalla configurazione del cluster.
Visualizzare la copertura corrente
Defender per il cloud consente l'accesso alle cartelle di lavoro tramite cartelle di lavoro di Azure. Le cartelle di lavoro sono report personalizzabili che consentono di comprendere il comportamento di sicurezza.
La cartella di lavoro coverage mostra quali piani e componenti Defender per il cloud sono abilitati nelle sottoscrizioni e negli ambienti connessi.
Pricing
Defender per i Contenitori viene fatturato come parte di Microsoft Defender per il cloud. I prezzi dipendono dai componenti abilitati e dal numero di risorse protette.
Per informazioni dettagliate sui prezzi, vedere Microsoft Defender per il cloud prezzi.
Contenuti correlati