Обзор защиты контейнеров в Defender для облака
Microsoft Defender для контейнеров — это облачное решение для улучшения, мониторинга и поддержания безопасности контейнерных ресурсов (кластеры Kubernetes, узлы Kubernetes, рабочие нагрузки Kubernetes, реестры контейнеров, образы контейнеров и многое другое), а также их приложения в многооблачных и локальных средах.
Defender для контейнеров помогает вам использовать четыре основных домена безопасности контейнеров:
Управление безопасностью — выполняет непрерывный мониторинг облачных API, API Kubernetes и рабочих нагрузок Kubernetes для обнаружения облачных ресурсов, предоставления комплексных возможностей инвентаризации, обнаружения неправильных конфигураций и предоставления рекомендаций по их устранению, предоставления контекстной оценки рисков и предоставления пользователям возможности расширенного поиска рисков через обозреватель безопасности Defender для облака.
Оценка уязвимостей — предоставляет оценку уязвимостей без агента для Azure, AWS и GCP с рекомендациями по исправлению, нулевым настройкам, ежедневным сканированием, охватом пакетов ОС и языковых пакетов, а также аналитическими сведениями об эксплойтации.
Защита от угроз во время выполнения — широкий набор средств обнаружения угроз для кластеров Kubernetes, узлов и рабочих нагрузок, работающих под управлением ведущих аналитиков угроз Майкрософт, обеспечивает сопоставление с платформой MITRE ATT&CK для простоты понимания рисков и соответствующих контекстов, автоматизированного реагирования и интеграции SIEM/XDR.
Развертывание и мониторинг. Отслеживает кластеры Kubernetes для отсутствующих датчиков и обеспечивает бесполезное развертывание для возможностей на основе датчиков, поддержку стандартных средств мониторинга Kubernetes и управление неизвредимыми ресурсами.
Вы можете узнать больше, посмотрев это видео из серии Defender для облака в Поле: Microsoft Defender для контейнеров.
Доступность плана Microsoft Defender для контейнеров
| Аспект | Сведения |
|---|---|
| Состояние выпуска: | Общедоступная версия Некоторые функции доступны в предварительной версии. Полный список см. в таблице поддержки контейнеров в Defender для облака |
| Доступность функций | Дополнительные сведения о состоянии выпуска компонентов и доступности см. в матрице поддержки контейнеров в Defender для облака. |
| Цены. | Плата за использование Microsoft Defender для контейнеров начисляется по тарифам, приведенным на странице с ценами. |
| Требуемые роли и разрешения | • Чтобы развернуть необходимые компоненты, ознакомьтесь с разрешениями для каждого компонента. • Администратор безопасности может отклонять предупреждения. • Читатель сведений о безопасности может просматривать результаты оценки уязвимостей. См. также роли для исправления и Реестр контейнеров Azure ролей и разрешений |
| Облако. | Просмотрите матрицу поддержки контейнеров в Defender для облака, чтобы увидеть доступность облака. |
Управление состоянием безопасности
Возможности без агента
Обнаружение без агента для Kubernetes — обеспечивает нулевой объем, обнаружение кластеров Kubernetes на основе API, их конфигурации и развертывания.
Оценка уязвимостей без агента — предоставляет оценку уязвимостей для всех образов контейнеров, включая рекомендации по реестру и среде выполнения, быстрые проверки новых образов, ежедневное обновление результатов, аналитику эксплойтов и многое другое. Сведения об уязвимостях добавляются в граф безопасности для контекстной оценки рисков и вычисления путей атаки и возможностей охоты.
Комплексные возможности инвентаризации— позволяет изучать ресурсы, модули pod, службы, репозитории, образы и конфигурации с помощью обозревателя безопасности, чтобы легко отслеживать ресурсы и управлять ими.
Улучшенная охота на риски— позволяет администраторам безопасности активно охотиться на проблемы с состоянием в своих контейнерных ресурсах с помощью запросов (встроенных и настраиваемых) и аналитических сведений о безопасности в обозревателе безопасности
Усиление уровня управления — непрерывно оценивает конфигурации кластеров и сравнивает их с инициативами, применяемыми к подпискам. При обнаружении неправильных настроек Defender для облака создает рекомендации по безопасности, доступные на странице рекомендаций Defender для облака. Рекомендации позволяют исследовать и устранять проблемы.
Вы можете использовать фильтр ресурсов для просмотра необработанных рекомендаций для ресурсов, связанных с контейнерами, на странице инвентаризации ресурсов или рекомендаций:
Дополнительные сведения, включенные в эту возможность, просмотрите рекомендации по контейнерам и найдите рекомендации с типом "Плоскость управления"
Возможности на основе датчиков
Обнаружение двоичного смещения . Defender для контейнеров предоставляет возможность на основе датчиков, которая предупреждает вас о потенциальных угрозах безопасности путем обнаружения несанкционированных внешних процессов в контейнерах. Вы можете определить политики смещения, чтобы указать условия, в которых должны создаваться оповещения, помогая различать допустимые действия и потенциальные угрозы. Дополнительные сведения см. в разделе "Защита от см. в двоичном режиме (предварительная версия)".
Защита плоскости данных Kubernetes . Чтобы защитить рабочие нагрузки контейнеров Kubernetes с рекомендациями, можно установить Политика Azure для Kubernetes. Дополнительные сведения о компонентах мониторинга для Defender для облака.
При использовании надстройки в кластере Kubernetes каждый запрос к серверу API Kubernetes отслеживается в предварительно определенном наборе рекомендаций перед сохранением в кластере. Вы можете настроить его так, чтобы принудительно применять рекомендации для всех будущих рабочих нагрузок.
Например, вы можете наказать, что привилегированные контейнеры не должны быть созданы, и любые будущие запросы для этого блокируются.
Дополнительные сведения об усилении защиты плоскости данных Kubernetes.
Оценка уязвимостей
Defender для контейнеров сканирует образы контейнеров в Реестр контейнеров Azure (ACR), Amazon AWS Elastic Container Registry (ECR), Google Artifact Registry (GAR) и Google Container Registry (GCR), чтобы обеспечить оценку уязвимостей без агента для образов контейнеров, включая рекомендации по реестру и среде выполнения, рекомендации по исправлению, быстрые проверки новых образов, аналитики эксплойтов в реальном мире, аналитики эксплойтов и многое другое.
Сведения об уязвимостях, предоставляемые Управление уязвимостями Microsoft Defender, добавляются в граф облачной безопасности для контекстного риска, вычисления путей атаки и возможностей охоты.
См. также:
- Оценки уязвимостей для Azure с Управление уязвимостями Microsoft Defender
- Оценки уязвимостей для AWS с Управление уязвимостями Microsoft Defender
- Оценки уязвимостей для GCP с Управление уязвимостями Microsoft Defender
Защита узлов и кластеров Kubernetes во время выполнения
Defender для контейнеров обеспечивает защиту от угроз в режиме реального времени для поддерживаемых контейнерных сред и создает оповещения о подозрительных действиях. Эти сведения можно использовать для быстрого устранения проблем безопасности и повышения безопасности контейнеров.
Защита от угроз предоставляется для Kubernetes на уровне кластера, уровне узла и на уровне рабочей нагрузки, а также включает в себя покрытие на основе датчиков на основе датчика Defender и покрытия без агента, основанного на анализе журналов аудита Kubernetes. Оповещения системы безопасности активируются только для действий и развертываний, возникающих после включения Defender для контейнеров в подписке.
Ниже приведены примеры событий безопасности, которые мониторы Microsoft Defenders для контейнеров:
- доступные панели мониторинга Kubernetes;
- создание ролей с высоким уровнем привилегий;
- Создание конфиденциальных подключений
Вы можете просмотреть оповещения системы безопасности, выбрав плитку "Оповещения системы безопасности" в верхней части страницы обзора Defender для облака или ссылку с боковой панели.
Откроется страница оповещений системы безопасности:
Оповещения системы безопасности для рабочей нагрузки среды выполнения в кластерах можно распознать по префиксу K8S.NODE_ типа оповещения. Полный список оповещений на уровне кластера см. в справочной таблице оповещений.
Defender для контейнеров также включает обнаружение угроз на уровне узла с более чем 60 аналитикой Kubernetes, ИИ и обнаружения аномалий на основе рабочей нагрузки среды выполнения.
Defender для облака отслеживает область атак многооблачных развертываний Kubernetes на основеМатрица MITRE ATT&CK® для контейнеров, разработанная Центром защиты от угроз в тесном партнерстве с Корпорацией Майкрософт.
Подробнее
Дополнительные сведения о Defender для контейнеров см. в таких блогах:
Следующие шаги
В этой обзорной статье вы получили сведения об основных элементах безопасности контейнеров, которые предоставляет Microsoft Defender для облака. Сведения о включении плана см. в следующих статьях:
- Включение Defender для контейнеров
- Ознакомьтесь с общими вопросами о Defender для контейнеров.