Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Microsoft Defender для контейнеров — это облачное решение, которое улучшает, отслеживает и поддерживает безопасность контейнерных ресурсов. К этим ресурсам относятся кластеры Kubernetes, узлы, рабочие нагрузки, реестры, образы и многое другое. Она защищает приложения в нескольких облаках и локальных средах.
Defender для контейнеров помогает вам с пятью основными доменами безопасности контейнеров:
Управление безопасностью выполняет непрерывный мониторинг облачных API, API Kubernetes и рабочих нагрузок Kubernetes. Он обнаруживает облачные ресурсы, предоставляет комплексные возможности инвентаризации, обнаруживает неправильные конфигурации с рекомендациями по устранению рисков, предоставляет контекстную оценку рисков и позволяет пользователям выполнять расширенные возможности охоты на риски с помощью Обозревателя безопасности Defender для cloud security explorer.
Оценка уязвимостей — выполняет оценку уязвимостей без агента образов реестра контейнеров, запущенных контейнеров и поддерживаемых узлов Kubernetes с рекомендациями по исправлению, нулевой конфигурацией, ежедневной повторной проверкой, охватом пакетов ОС и языковых пакетов и аналитикой эксплойтации. Артефакт результатов уязвимостей подписан сертификатом Майкрософт для целостности и подлинности и связан с образом контейнера в реестре для проверки.
Защита от угроз во время выполнения — широкий набор средств обнаружения угроз для кластеров Kubernetes, узлов и рабочих нагрузок, работающих под управлением ведущих аналитиков угроз Майкрософт, обеспечивает сопоставление с платформой MITRE ATT&CK для упрощения понимания риска и соответствующего контекста, а также автоматического реагирования. Операторы безопасности также могут исследовать и реагировать на угрозы службам Kubernetes с помощью портала XDR в Microsoft Defender.
Защита цепочки поставок программного обеспечения для контейнеров — укрепляет вашу цепочку поставок программного обеспечения, внедряя проверки безопасности от сборки до развертывания. К ним относится Microsoft Defender для Cloud CLI, который позволяет разработчикам сканировать образы контейнеров для уязвимостей и неправильных конфигураций непосредственно в конвейерах CI/CD (например, GitHub Actions или Azure Pipelines) или локальных средах разработки. Переместив безопасность влево, результаты отображаются рано, что позволяет устранить проблему перед отправкой изображений в реестр. Решение также подписывает артефакты уязвимостей с помощью сертификатов Майкрософт для обеспечения целостности и подлинности, связывания их с изображениями для проверки. Вы можете применить политики безопасности организации, создав правила, которые блокируют рискованные изображения и оценивают развертывания в соответствии с этими правилами, предотвращая внедрение уязвимостей в ваши среды. Дополнительные сведения см. в разделе "Поэтапное развертывание для образов контейнеров Kubernetes".
Развертывание и мониторинг - Отслеживает кластеры Kubernetes для отсутствующих датчиков и обеспечивает беспрепятственное развертывание в масштабе для возможностей на основе датчиков, поддержку стандартных средств мониторинга Kubernetes и управление неотслеживаемыми ресурсами.
Вы можете узнать больше, посмотрев это видео из серии Defender for Cloud in the Field: Microsoft Defender for Containers.
Управление состоянием безопасности
Возможности без агента
Безагентное обнаружение для Kubernetes — обеспечивает обнаружение кластеров, конфигураций и развертываний Kubernetes на основе API без создания нагрузки.
Оценка уязвимостей без агента — предоставляет оценку уязвимостей для узлов кластера и для всех образов контейнеров, включая рекомендации по реестру и среде выполнения, быстрые проверки новых образов, ежедневное обновление результатов, аналитику эксплойтов и многое другое. Сведения об уязвимостях добавляются в граф безопасности для контекстной оценки рисков и вычисления путей атаки и возможностей охоты.
Комплексные возможности инвентаризации — позволяет исследовать ресурсы, pods, службы, репозитории, образы и конфигурации с помощью обозревателя безопасности для легкого мониторинга и управления вашими активами.
Улучшенная охота за рисками — позволяет администраторам безопасности активно искать проблемы состояния безопасности в своих контейнеризованных ресурсах с помощью запросов (встроенных и настраиваемых) и сведений о безопасности в исследователе безопасности
Усиление уровня управления — непрерывно оценивает конфигурации кластеров и сравнивает их с инициативами, применяемыми к подпискам. При обнаружении неправильных настроек Defender для облака создает рекомендации по безопасности, доступные на странице рекомендаций Defender для облака. Рекомендации позволяют исследовать и устранять проблемы.
Вы можете использовать фильтр ресурсов для просмотра необработанных рекомендаций для ресурсов, связанных с контейнерами, на странице инвентаризации ресурсов или рекомендаций:
Для получения дополнительных сведений об этой функции, просмотрите рекомендации по контейнерам и найдите рекомендации с типом "контрольная плоскость".
Возможности на основе датчиков
Защита от вредоносных программ — Defender для контейнеров предоставляет возможность на основе датчиков, которая обнаруживает и предупреждает вас о вредоносных действиях в контейнерах. Это помогает выявлять и смягчить потенциальные угрозы безопасности заранее. Дополнительные сведения см. в разделе "Защита от вредоносных программ( предварительная версия)".
Обнаружение двоичного смещения . Defender для контейнеров предоставляет возможность на основе датчиков, которая предупреждает вас о потенциальных угрозах безопасности путем обнаружения несанкционированных внешних процессов в контейнерах. Вы можете определить политики смещения, чтобы указать условия, в которых должны создаваться оповещения, помогая различать допустимые действия и потенциальные угрозы. Дополнительные сведения см. в разделе "Защита от двоичного дрейфа".
Блокировка двоичного смещения — Defender для контейнеров предоставляет возможность на основе датчиков, которая блокирует несанкционированные внешние процессы в контейнерах. Вы можете определить политики смещения, чтобы указать условия, в которых должны быть заблокированы процессы, помогая предотвратить потенциальные угрозы безопасности. Для получения дополнительной информации см. Защита от двоичного дрейфа.
Укрепление плоскости данных Kubernetes - Чтобы защитить рабочие нагрузки контейнеров Kubernetes, следуя рекомендациям по лучшим практикам, можно установить Azure Policy для Kubernetes. Дополнительные сведения о компонентах мониторинга для Defender для облака.
С помощью политик, определенных для кластера Kubernetes, каждый запрос к серверу API Kubernetes отслеживается в соответствии с предопределенным набором рекомендаций, прежде чем сохраняться в кластере. Вы можете настроить его так, чтобы принудительно применять лучшие практики для будущих рабочих нагрузок.
Например, вы можете запретить, чтобы привилегированные контейнеры не создавались, и любые будущие запросы на их создание блокируются.
Дополнительные сведения об усилении защиты плоскости данных Kubernetes.
Оценка уязвимостей
Defender для контейнеров сканирует ОС узла кластера и программное обеспечение приложений, образы контейнеров в Реестре контейнеров Azure (ACR), Реестре эластичных контейнеров Amazon AWS (ECR), Реестре артефактов Google (GAR), Реестре контейнеров Google (GCR) и поддерживаемых внешних реестрах образов для проведения безагентной оценки уязвимостей.
Теперь для публичного предварительного просмотра в среде AKS система защиты для контейнеров Defender также осуществляет ежедневное сканирование всех запущенных контейнеров, чтобы обеспечить обновленную оценку уязвимостей, независимо от реестра образов контейнера.
Сведения об уязвимостях, предоставляемые Управление уязвимостями Microsoft Defender, добавляются в граф облачной безопасности для контекстного риска, вычисления путей атаки и возможностей охоты.
Дополнительные сведения об оценках уязвимостей для поддерживаемых сред Defender для контейнеров, включая оценку уязвимостей для узлов кластера.
Защита узлов и кластеров Kubernetes во время выполнения
Defender для контейнеров обеспечивает защиту от угроз в режиме реального времени для поддерживаемых контейнерных сред и создает оповещения о подозрительных действиях. Эти сведения можно использовать для быстрого устранения проблем безопасности и повышения безопасности контейнеров.
Защита от угроз предоставляется для Kubernetes на уровне кластера, узла и рабочей нагрузки. Для обнаружения угроз используются как охват на основе датчиков, которые требуют датчика Defender, так и безагентный охват на основе анализа журналов аудита Kubernetes. Оповещения системы безопасности активируются только для действий и развертываний, возникающих после включения Defender для контейнеров в подписке.
Примеры событий безопасности, которые отслеживает Microsoft Defender для контейнеров, включают:
- открытые панели мониторинга Kubernetes
- создание ролей с высоким уровнем привилегий;
- Создание чувствительных креплений
Дополнительные сведения об оповещениях, обнаруженных Defender для контейнеров, включая средство моделирования оповещений, см. в оповещениях для кластеров Kubernetes.
Defender для контейнеров включает обнаружение угроз с более чем 60 аналитикой Kubernetes, ИИ и обнаружения аномалий на основе рабочей нагрузки среды выполнения.
Defender для Cloud отслеживает поверхность атак многооблачных развертываний Kubernetes на основе матрицы MITRE ATT&CK® для контейнеров, платформы, созданной Центром информированной угрозами обороны в тесном партнерстве с Microsoft.
Defender для облака интегрирован с Microsoft Defender XDR. Если включен Защитник для контейнеров, операторы безопасности могут использовать XDR Defender для изучения и реагирования на проблемы безопасности в поддерживаемых службах Kubernetes.
Подробнее
Дополнительные сведения о Defender для контейнеров см. в таких блогах:
Следующие шаги
В этой обзорной статье вы получили сведения об основных элементах безопасности контейнеров, которые предоставляет Microsoft Defender для облака. Чтобы активировать план, обратитесь к следующей инструкции:
- Включение Defender для контейнеров
- Ознакомьтесь с общими вопросами о Defender для контейнеров.