Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Microsoft Defender для контейнеров — это облачное решение, которое улучшает, отслеживает и поддерживает безопасность контейнерных ресурсов. К этим ресурсам относятся кластеры Kubernetes, узлы, рабочие нагрузки, реестры, образы и многое другое. Она защищает приложения в нескольких облаках и локальных средах.
Defender для контейнеров помогает вам с пятью основными доменами безопасности контейнеров:
Управление безопасностью: выполняет непрерывный мониторинг облачных API, API Kubernetes и рабочих нагрузок Kubernetes. Он обнаруживает облачные ресурсы, предоставляет комплексные возможности инвентаризации, обнаруживает неправильные конфигурации с рекомендациями по устранению рисков, предоставляет контекстную оценку рисков и позволяет пользователям выполнять расширенные возможности охоты на риски с помощью Обозревателя безопасности Defender для cloud security explorer.
Оценка уязвимостей. Выполняет оценку уязвимостей без агента образов реестра контейнеров, запущенных контейнеров и поддерживаемых узлов Kubernetes с рекомендациями по исправлению, нулевой конфигурации, ежедневной повторной проверки, охвата пакетов ОС и языковых пакетов и аналитических сведений об эксплойтации. Артефакт результатов уязвимостей подписан сертификатом Майкрософт для целостности и подлинности и связан с образом контейнера в реестре для проверки.
: широкий набор средств обнаружения угроз для кластеров Kubernetes, узлов и рабочих нагрузок на базе передовой аналитики угроз Microsoft обеспечивает сопоставление с платформой MITRE ATT&CK для упрощения понимания рисков и соответствующего контекста, а также автоматизированного реагирования. Операторы безопасности также могут исследовать и реагировать на угрозы службам Kubernetes с помощью портала XDR в Microsoft Defender.Защита от угроз во время выполнения Защита цепочки поставок программного обеспечения: помогает снизить риск развертывания уязвимых образов контейнеров путем сканирования образов, связывания результатов уязвимостей с образами в реестре и использования этих результатов для поддержки воротного развертывания для Kubernetes. Вы можете использовать правила контроля развертывания для аудита или блокировки развертываний, если образы не соответствуют политике вашей организации в отношении уязвимостей.
Развертывание и мониторинг: отслеживает отсутствие датчиков в ваших кластерах Kubernetes и обеспечивает беспроблемное масштабное развертывание возможностей на основе датчиков, поддержку стандартных инструментов мониторинга Kubernetes и управление немониторируемыми ресурсами.
Вы можете узнать больше, посмотрев это видео из серии Defender для облака in the Field: Microsoft Defender for Containers.
Defender для контейнеров предоставляет следующие основные возможности:
Управление состоянием безопасности: непрерывный мониторинг облачных API, API Kubernetes и нагрузок Kubernetes для обнаружения ресурсов, выявления ошибочных конфигураций и предоставления рекомендаций по безопасности с указаниями по их устранению. Данные о позе доступны с помощью представлений инвентаризации, рекомендаций и обозревателя безопасности для исследования рисков и охоты.
Оценка уязвимостей. Выполняет оценку уязвимостей без агента образов реестра контейнеров, запущенных контейнеров и поддерживаемых узлов Kubernetes. Результаты включают руководство по исправлению, аналитику эксплойтации и интеграцию с графом облачной безопасности для контекстного анализа рисков.
Защита от угроз на этапе выполнения: Обнаруживает подозрительную активность в кластерах Kubernetes, узлах и рабочих нагрузках с помощью аналитики с учетом специфики Kubernetes и данных аналитики угроз. Оповещения сопоставляются с фреймворком MITRE ATT&CK® для контейнеров и могут быть исследованы с помощью
Microsoft Defender XDR .Защита цепочки поставок программного обеспечения: помогает снизить риск развертывания уязвимых образов путем сканирования образов контейнеров и связывания результатов оценки уязвимостей с изображениями в реестре. Эти результаты могут быть использованы возможностями Defender для контейнеров, такими как контролируемые развертывания для Kubernetes.
Развертывание и мониторинг: Поддерживает развертывание в масштабах всей среды и мониторинг компонентов Defender, обеспечивая видимость кластеров Kubernetes, в которых отсутствуют датчики или которые защищены не в полной мере.
Управление состоянием безопасности
Возможности без агента
Безагентное обнаружение для Kubernetes: обеспечивает обнаружение кластеров, конфигураций и развертываний Kubernetes на основе API без установки агентов.
Оценка уязвимостей без агента. Предоставляет оценку уязвимостей для узлов кластера и для всех образов контейнеров, включая рекомендации по реестру и среде выполнения, быстрые проверки новых образов, ежедневное обновление результатов, аналитические сведения о эксплойтируемости и многое другое. Сведения об уязвимостях добавляются в граф безопасности для контекстной оценки рисков и вычисления путей атаки и возможностей охоты.
Комплексные возможности инвентаризации: позволяет просматривать ресурсы, модули pod, службы, репозитории, образы и конфигурации с помощью обозревателя безопасности для легкого мониторинга ресурсов и управления ими.
Расширенный поиск рисков: позволяет администраторам безопасности активно выявлять проблемы в конфигурации безопасности своих контейнеризированных ресурсов с помощью запросов (встроенных и настраиваемых) и сведений о безопасности в проводнике безопасности
Усиление уровня управления. Непрерывно оценивает конфигурации кластеров и сравнивает их с инициативами, применяемыми к подпискам. При обнаружении неправильных конфигураций Defender для облака создает рекомендации по безопасности, доступные на странице рекомендаций Defender для облака. Рекомендации позволяют расследовать и устранять проблемы.
Фильтр ресурсов можно использовать для просмотра невыполненных рекомендаций для ресурсов, связанных с контейнером, будь то в инвентаризации активов или на странице рекомендаций:
Для получения дополнительных сведений об этой функции, просмотрите рекомендации по контейнерам и найдите рекомендации с типом "контрольная плоскость".
Возможности на основе датчиков
Антивредоносная программа: Defender для контейнеров предоставляет возможность на основе датчика, которая обнаруживает и уведомляет вас о вредоносных действиях в контейнерах. Это помогает выявлять и смягчить потенциальные угрозы безопасности заранее. Дополнительные сведения см. в разделе защиты от вредоносных программ.
Обнаружение DNS: Defender for Containers предоставляет функцию на базе датчиков, которая обнаруживает подозрительную DNS-активность в рабочих нагрузках контейнеров, что помогает выявлять сетевые угрозы. Сведения о доступности защиты среды выполнения в облаке см. в разделе "Функции защиты среды выполнения".
Обнаружение дрейфа двоичных файлов: Defender for Containers предоставляет функцию на основе датчиков, которая оповещает о потенциальных угрозах безопасности, обнаруживая несанкционированные внешние процессы в контейнерах. Вы можете определить политики смещения, чтобы указать условия, в которых должны создаваться оповещения, помогая различать допустимые действия и потенциальные угрозы. Дополнительные сведения см. в разделе "Защита от двоичного дрейфа".
Блокировка дрейфа двоичных файлов: Defender for Containers предоставляет основанную на датчиках функцию, которая блокирует несанкционированный запуск внешних процессов в контейнерах. Вы можете определить политики смещения, чтобы указать условия, в которых должны быть заблокированы процессы, помогая предотвратить потенциальные угрозы безопасности. Дополнительные сведения см. в разделе "Защита от двоичного дрейфа".
Усиление защиты плоскости данных Kubernetes: Чтобы защитить рабочие нагрузки в контейнерах Kubernetes в соответствии с рекомендациями по передовым методикам, можно установить Политика Azure for Kubernetes. Дополнительные сведения о компонентах мониторинга для Defender для облака.
С помощью политик, определенных для кластера Kubernetes, каждый запрос к серверу API Kubernetes отслеживается в соответствии с предопределенным набором рекомендаций, прежде чем сохраняться в кластере. Затем её можно настроить, чтобы применять лучшие практики и требовать их соблюдение для будущих рабочих нагрузок.
Например, вы можете запретить, чтобы привилегированные контейнеры не создавались, и любые будущие запросы на их создание блокируются.
Дополнительные сведения об усилении защиты плоскости данных Kubernetes.
Оценка уязвимостей
Defender для контейнеров сканирует ОС узла кластера и программное обеспечение приложений, образы контейнеров в Реестре контейнеров Azure (ACR), Реестре эластичных контейнеров Amazon AWS (ECR), Реестре артефактов Google (GAR), Реестре контейнеров Google (GCR) и поддерживаемых внешних реестрах образов для проведения безагентной оценки уязвимостей.
Теперь в общедоступной предварительной версии для многооблачных сред Defender for Containers также выполняет ежедневное сканирование всех запущенных контейнеров, чтобы предоставлять обновлённую оценку уязвимостей независимо от реестра образов контейнеров.
Сведения об уязвимостях, предоставляемые Управление уязвимостями Microsoft Defender, добавляются в граф облачной безопасности для контекстного риска, вычисления путей атаки и возможностей охоты.
Дополнительные сведения об оценках уязвимостей для поддерживаемых сред Defender для контейнеров, включая оценку уязвимостей для узлов кластера.
Защита узлов и кластеров Kubernetes во время выполнения
Defender для контейнеров обеспечивает защиту от угроз в режиме реального времени для поддерживаемых контейнерных сред и создает оповещения о подозрительных действиях. Эти сведения можно использовать для быстрого устранения проблем безопасности и повышения безопасности контейнеров.
Защита от угроз предоставляется для Kubernetes на уровне кластера, узла и рабочей нагрузки. Для обнаружения угроз используются как охват на основе датчиков, которые требуют датчика Defender, так и безагентный охват на основе анализа журналов аудита Kubernetes. Оповещения системы безопасности активируются только для действий и развертываний, возникающих после включения Defender для контейнеров в подписке.
Примеры обнаружения среды выполнения
Ниже приведены примеры событий безопасности, которые мониторит Microsoft Defender для контейнеров:
- открытые панели мониторинга Kubernetes
- Обнаружена публично доступная служба Kubernetes (когда служба Kubernetes типа
LoadBalancerсоздаётся или обновляется и делает рабочие нагрузки общедоступными) - Создание ролей с высоким уровнем привилегий
- Создание чувствительных креплений
Отдавайте приоритет оповещениям о внешней доступности, если доступ из интернета не предполагался или если доступная извне служба использует слабую аутентификацию или не требует её.
Дополнительные сведения об оповещениях, обнаруженных Defender для контейнеров, включая средство моделирования оповещений, см. в оповещениях для кластеров Kubernetes.
Defender для контейнеров включает обнаружение угроз с более чем 60 аналитикой Kubernetes, ИИ и обнаружения аномалий на основе рабочей нагрузки среды выполнения.
Defender для Cloud отслеживает поверхность атак многооблачных развертываний Kubernetes на основе матрицы MITRE ATT&CK® для контейнеров, платформы, созданной Центром информированной угрозами обороны в тесном партнерстве с Microsoft.
Defender для облака интегрирован с Microsoft Defender XDR. Если включен Защитник для контейнеров, операторы безопасности могут использовать XDR Defender для изучения и реагирования на проблемы безопасности в поддерживаемых службах Kubernetes.
Образы контейнеров, поддерживаемые корпорацией Майкрософт
Defender для контейнеров развертывает образы контейнеров, которые поддерживаются и обновляются корпорацией Майкрософт в рамках компонентов защиты среды выполнения. Эти образы публикуются в Реестре контейнеров Майкрософт (MCR).
Клиенты не изменяют и не исправляют эти изображения напрямую. Корпорация Майкрософт поддерживает и обновляет их в рамках процесса выпуска Defender для контейнеров.
Следующие образы используются компонентами системы защиты среды выполнения Defender для контейнеров:
| Image | Purpose | Путь MCR |
|---|---|---|
security-publisher |
Публикует результаты безопасности, собранные из сред Kubernetes | mcr.microsoft.com/azuredefender/stable/security-publisher |
low-level-collector |
Собирает низкоуровневую телеметрию среды выполнения из узлов Kubernetes | mcr.microsoft.com/azuredefender/stable/low-level-collector |
pod-collector |
Собирает данные среды выполнения pod Kubernetes, используемые для обнаружения угроз | mcr.microsoft.com/azuredefender/stable/pod-collector |
anti-malware-collector |
Собирает сигналы обнаружения вредоносных программ для контейнерных рабочих нагрузок | mcr.microsoft.com/azuredefender/stable/anti-malware-collector |
old-file-cleaner |
Очистка временных и устаревших файлов в рамках рабочих процессов инициализации | mcr.microsoft.com/azuredefender/stable/old-file-cleaner |
audit-logs-enabler |
Включает сбор журналов аудита для поддерживаемых сред (например, локальных кластеров) | mcr.microsoft.com/azuredefender/stable/audit-logs-enabler |
defender-admission-controller |
Обеспечивает выполнение политик контроля выполнения для рабочих нагрузок Kubernetes | mcr.microsoft.com/mdc/prd/defender-admission-controller |
Обновления доставляются через механизм развертывания, используемый вашей средой. Рассмотрим пример.
- При развертывании с помощью надстройки AKS обновления доставляются через жизненный цикл выпуска AKS.
- При развертывании с помощью Helm обновления выпускаются в течение 30 дней через обновленные версии чартов.
Если вы обнаружите уязвимость в поддерживаемом Microsoft образе Defender, подайте запрос в службу поддержки Azure и укажите имя образа, тег и идентификатор CVE.
Связанные материалы
Дополнительные сведения о Defender для контейнеров см. в таких блогах:
Дальнейшие действия
В этой обзорной статье вы получили сведения об основных элементах безопасности контейнеров, которые предоставляет Microsoft Defender для облака. Чтобы активировать план, обратитесь к следующей инструкции:
обзор развертывания Defender для контейнеров
Включить Defender для контейнеров в Microsoft Defender для облака
Deploy Defender для компонентов контейнеров с помощью Azure CLI
Ознакомьтесь с общими вопросами о Defender для контейнеров.