Поделиться через


Защита контейнеров в Defender для облака

Microsoft Defender для контейнеров — это облачное решение для улучшения, мониторинга и поддержания безопасности контейнерных ресурсов (кластеров Kubernetes, узлов, рабочих нагрузок, реестров, образов и т. д.) и приложений в многооблачных и локальных средах.

Defender для контейнеров помогает вам использовать четыре основных домена безопасности контейнеров:

  • Управление безопасностью выполняет непрерывный мониторинг облачных API, API Kubernetes и рабочих нагрузок Kubernetes для обнаружения облачных ресурсов, предоставления комплексных возможностей инвентаризации, обнаружения неправильных конфигураций с рекомендациями по устранению рисков, предоставления контекстной оценки рисков и предоставления пользователям возможности расширенного поиска рисков через обозреватель безопасности Defender для облака.

  • Оценка уязвимостей — выполняет оценку уязвимостей без агента образов реестра контейнеров, запущенных контейнеров и поддерживаемых узлов K8s с рекомендациями по исправлению, нулевой конфигурацией, ежедневной повторной проверкой, охватом пакетов ОС и языковых пакетов и аналитикой эксплойтации. Артефакт результатов уязвимостей подписан сертификатом Майкрософт для целостности и подлинности и связан с образом контейнера в реестре для проверки.

  • Защита от угроз во время выполнения — широкий набор средств обнаружения угроз для кластеров Kubernetes, узлов и рабочих нагрузок, работающих под управлением ведущих аналитиков угроз Майкрософт, обеспечивает сопоставление с платформой MITRE ATT&CK для упрощения понимания риска и соответствующего контекста, а также автоматического реагирования. Операторы безопасности также могут исследовать и реагировать на угрозы службам Kubernetes с помощью портала XDR в Microsoft Defender.

  • Развертывание и мониторинг - Отслеживает кластеры Kubernetes для отсутствующих датчиков и обеспечивает беспрепятственное развертывание в масштабе для возможностей на основе датчиков, поддержку стандартных средств мониторинга Kubernetes и управление неотслеживаемыми ресурсами.

Вы можете узнать больше, посмотрев это видео из серии Defender для облака в Поле: Microsoft Defender для контейнеров.

Доступность плана Microsoft Defender для контейнеров

Аспект Сведения
Состояние выпуска: Общедоступная версия
Некоторые функции доступны в предварительной версии. Полный список см. в матрице поддержки контейнеров в Defender для облака
Доступность функций Дополнительные сведения о состоянии выпуска компонентов и доступности см. в матрице поддержки контейнеров в Defender для облака.
Цены. Плата за Microsoft Defender для контейнеров взимается, как показано на странице цен. Вы также можете оценить затраты с помощью калькулятора затрат Defender для облака.
Требуемые роли и разрешения * Чтобы развернуть необходимые компоненты, ознакомьтесь с разрешениями для каждого компонента.
* Администратор безопасности может отклонять предупреждения
* Средство чтения безопасности может просматривать результаты оценки уязвимостей
См. также роли для исправления и Реестр контейнеров Azure ролей и разрешений
Облако. Просмотрите матрицу поддержки контейнеров в Defender для облака , чтобы увидеть доступность облака.

Управление состоянием безопасности

Возможности без агента

  • Обнаружение без агента для Kubernetes — обеспечивает нулевой объем, обнаружение кластеров Kubernetes , конфигураций и развертываний на основе API.

  • Оценка уязвимостей без агента — предоставляет оценку уязвимостей для узлов кластера и для всех образов контейнеров, включая рекомендации по реестру и среде выполнения, быстрые проверки новых образов, ежедневное обновление результатов, аналитику эксплойтов и многое другое. Сведения об уязвимостях добавляются в граф безопасности для контекстной оценки рисков и вычисления путей атаки и возможностей охоты.

  • Комплексные возможности инвентаризации— позволяет просматривать ресурсы, модули pod, службы, репозитории, образы и конфигурации с помощью обозревателя безопасности, чтобы легко отслеживать ресурсы и управлять ими.

  • Улучшенная охота на риски— позволяет администраторам безопасности активно охотиться на проблемы с состоянием в своих контейнерных ресурсах с помощью запросов (встроенных и настраиваемых) и аналитических сведений о безопасности в обозревателе безопасности

  • Усиление уровня управления — непрерывно оценивает конфигурации кластеров и сравнивает их с инициативами, применяемыми к подпискам. При обнаружении неправильных настроек Defender для облака создает рекомендации по безопасности, доступные на странице рекомендаций Defender для облака. Рекомендации позволяют исследовать и устранять проблемы.

    Вы можете использовать фильтр ресурсов для просмотра необработанных рекомендаций для ресурсов, связанных с контейнерами, на странице инвентаризации ресурсов или рекомендаций:

    Дополнительные сведения, включенные в эту возможность, просмотрите рекомендации по контейнерам и найдите рекомендации с типом "Плоскость управления"

Возможности на основе датчиков

Обнаружение двоичного смещения . Defender для контейнеров предоставляет возможность на основе датчиков, которая предупреждает вас о потенциальных угрозах безопасности путем обнаружения несанкционированных внешних процессов в контейнерах. Вы можете определить политики смещения, чтобы указать условия, в которых должны создаваться оповещения, помогая различать допустимые действия и потенциальные угрозы. Дополнительные сведения см. в разделе "Защита от см. в двоичном режиме (предварительная версия)".

Защита плоскости данных Kubernetes . Чтобы защитить рабочие нагрузки контейнеров Kubernetes с рекомендациями, можно установить Политика Azure для Kubernetes. Дополнительные сведения о компонентах мониторинга для Defender для облака.

С помощью политик, определенных для кластера Kubernetes, каждый запрос к серверу API Kubernetes отслеживается в соответствии с предопределенным набором рекомендаций, прежде чем сохраняться в кластере. Вы можете настроить его так, чтобы принудительно применять рекомендации для всех будущих рабочих нагрузок.

Например, вы можете наказать, что привилегированные контейнеры не должны быть созданы, и любые будущие запросы для этого блокируются.

Дополнительные сведения об усилении защиты плоскости данных Kubernetes.

Оценка уязвимостей

Defender для контейнеров сканирует ОС узла кластера и программное обеспечение приложений, образы контейнеров в Реестр контейнеров Azure (ACR), Реестр эластичных контейнеров Amazon AWS (ECR), Реестр артефактов Google (GAR), Реестр контейнеров Google (GCR) и поддерживаемые внешние реестры образов для предоставления оценки уязвимостей без агента.

Теперь для публичного предварительного просмотра в среде AKS система защиты для контейнеров Defender также осуществляет ежедневное сканирование всех запущенных контейнеров, чтобы обеспечить обновленную оценку уязвимостей, независимо от реестра образов контейнера.

Сведения об уязвимостях, предоставляемые Управление уязвимостями Microsoft Defender, добавляются в граф облачной безопасности для контекстного риска, вычисления путей атаки и возможностей охоты.

Дополнительные сведения об оценках уязвимостей для поддерживаемых сред Defender для контейнеров, включая оценку уязвимостей для узлов кластера.

Защита узлов и кластеров Kubernetes во время выполнения

Defender для контейнеров обеспечивает защиту от угроз в режиме реального времени для поддерживаемых контейнерных сред и создает оповещения о подозрительных действиях. Эти сведения можно использовать для быстрого устранения проблем безопасности и повышения безопасности контейнеров.

Защита от угроз предоставляется для Kubernetes на уровне кластера, узла и рабочей нагрузки. Для обнаружения угроз используются как охват на основе датчиков, которые требуют датчика Defender, так и безагентный охват на основе анализа журналов аудита Kubernetes. Оповещения системы безопасности активируются только для действий и развертываний, возникающих после включения Defender для контейнеров в подписке.

Ниже приведены примеры событий безопасности, которые мониторы Microsoft Defenders для контейнеров:

  • доступные панели мониторинга Kubernetes;
  • создание ролей с высоким уровнем привилегий;
  • Создание конфиденциальных подключений

Дополнительные сведения об оповещениях, обнаруженных Defender для контейнеров, включая средство моделирования оповещений, см. в оповещениях для кластеров Kubernetes.

Defender для контейнеров включает обнаружение угроз с более чем 60 аналитикой Kubernetes, ИИ и обнаружения аномалий на основе рабочей нагрузки среды выполнения.

Defender для облака отслеживает область атак многооблачных развертываний Kubernetes на основеМатрица MITRE ATT&CK® для контейнеров, разработанная Центром защиты от угроз в тесном партнерстве с Корпорацией Майкрософт.

Defender для облака интегрирован с XDR в Microsoft Defender. Если включен Защитник для контейнеров, операторы безопасности могут использовать XDR Defender для изучения и реагирования на проблемы безопасности в поддерживаемых службах Kubernetes.

Подробнее

Дополнительные сведения о Defender для контейнеров см. в таких блогах:

Следующие шаги

В этой обзорной статье вы получили сведения об основных элементах безопасности контейнеров, которые предоставляет Microsoft Defender для облака. Сведения о включении плана см. в следующих статьях: