Microsoft Defender für Container bietet Bedrohungsschutz, Sicherheitsrisikobewertung und Sicherheitsstatusverwaltung für Kubernetes-Cluster in Cloud-Umgebungen über Microsoft Defender for Cloud.
Defender für Container ist je nach Kubernetes-Umgebung aktiviert und unterschiedlich bereitgestellt. Azure Kubernetes Service (AKS) verwendet Azure native Integrationen, während Amazon Elastic Kubernetes Service (EKS) und Google Kubernetes Engine (GKE) auf Multicloud-Connectors, Azure Arc-fähige Kubernetes und umgebungsspezifische Komponenten basieren.
Microsoft Defender für Container erweitert die Sicherheitsüberwachung und den Schutz auf Azure Kubernetes Service (AKS) Cluster durch Microsoft Defender for Cloud. Es hilft Sicherheits- und DevOps-Teams, Einblicke in Sicherheitslücken von Container-Images, Laufzeitaktivitäten und Risiken bei der Kubernetes-Konfiguration in Azure-Umgebungen zu erhalten.
Integration mit Azure
Defender für Container wird nativ in Azure Dienste integriert, um AKS-Cluster zu schützen. Wenn Sie auf einem Azure-Abonnement aktiviert ist, führt die Lösung Folgendes aus:
- Erkennt AKS-Cluster in Ihrem Abonnement
- Stellt Defender für Container-Komponenten mithilfe von Azure-verwalteten Integrationen bereit.
- Bewertet Containerimages, die in Azure Container Registry (ACR) gespeichert sind, auf Sicherheitsrisiken
- Erfasst Laufzeitsicherheitssignale von AKS-Clustern
- Generiert Sicherheitsempfehlungen basierend auf beobachteter Konfiguration und Haltung
- Surfaces-Warnungen, die in Microsoft Sicherheitstools integriert werden
Die Integration wurde entwickelt, um mit Azure nativen Funktionen zu arbeiten und erfordert keine eingehende Verbindung zu AKS-Clustern.
Hinweis
Überwachungsprotokolle der AKS-Steuerungsebene werden über Azure-verwaltete Steuerungsebenenintegration gesammelt. Defender für Container basiert nicht auf Kubernetes-native Audit-Log-Pipelines oder erfordert, dass Sie das Audit-Logging im Cluster aktivieren.
Wichtige Funktionen
Defender für Container bietet die folgenden Funktionen für AKS-Umgebungen:
-
Container-Sicherheitsrisikobewertung für bilder, die in Azure Container Registry (ACR) gespeichert sind
-
Bedrohungserkennung und Warnung basierend auf Laufzeitsignalen, die von AKS-Knoten, Workloads und Kubernetes-Überwachungsprotokollen gesammelt werden
-
Sicherheitsstatus-Einsichten für Kubernetes-Cluster und -Workloads, im Einklang mit den bewährten Sicherheitspraktiken von Kubernetes und Azure
Hinweis
Verfügbare Signale und Erkennungen hängen von der Clusterkonfiguration und aktivierten Komponenten ab.
Microsoft Defender für Container erweitert die Sicherheitsüberwachung und den Schutz auf Amazon Elastic Kubernetes Service (EKS)-Cluster und bietet durch Microsoft Defender for Cloud Sichtbarkeit hinsichtlich Schwachstellen von Container-Images, Laufzeitaktivitäten und Risiken der Clusterkonfiguration.
Integration in AWS
Defender für Container ist in AWS über einen sicheren Connector integriert, der Ihr AWS-Konto mit Microsoft Defender for Cloud verbindet. Sobald die Verbindung hergestellt ist:
- Entdeckt EKS-Cluster in Ihrem AWS-Konto
- Stellt einfache Sicherheitssensoren bereit, um Laufzeitsignale zu sammeln
- Integriert sich in Amazon ECR, um Container-Images auf Schwachstellen zu überprüfen
- Generiert Sicherheitsempfehlungen basierend auf beobachteter Konfiguration und Haltung
- Surfaces-Warnungen für verdächtige Aktivitäten im Zusammenhang mit EKS-Workloads
Die Integration ist für die Zusammenarbeit mit vorhandenen AWS-Sicherheitsdiensten wie AWS GuardDuty und AWS Security Hub konzipiert.
Wichtige Funktionen
Defender für Container bietet die folgenden Funktionen für Amazon EKS-Umgebungen:
-
Sicherheitsrisikobewertung von Containerimages für in Amazon ECR gespeicherte Images
-
Bedrohungserkennung, Warnung und Reaktion basierend auf Laufzeitsignalen
-
Einblicke im Sicherheitsstatus , die mit bewährten Sicherheitspraktiken abgestimmt sind
Hinweis
Verfügbare Signale und Erkennungen hängen von der Clusterkonfiguration und aktivierten Datenquellen ab.
Microsoft Defender für Container erweitert die Sicherheitsüberwachung und den Schutz auf Google Kubernetes Engine (GKE) Cluster, indem es mit Microsoft Defender for Cloud integriert wird.
Integration mit GCP
Defender für Container ist in Google Cloud über einen sicheren GCP-Connector integriert, der Ihre GCP-Projekte mit Microsoft Defender for Cloud verbindet. Sobald die Verbindung hergestellt ist:
- Entdeckt GKE-Cluster in verbundenen GCP-Projekten
- Verbindet ausgewählte Cluster mit Azure Arc
- Stellt einen Defender Sensor bereit
- Integriert sich mit Google Container Registry und Artifact Registry
- Generiert Sicherheitsempfehlungen
- Surfaces-Warnungen für verdächtige Aktivitäten
Die Integration ist für die Zusammenarbeit mit systemeigenen GCP-Sicherheitsfeatures konzipiert und erfordert keine eingehende Konnektivität.
Wichtige Funktionen
Defender für Container bietet die folgenden Funktionen für GKE-Umgebungen:
-
Bewertung von Sicherheitslücken bei Container-Images für GCR und Artifact Registry
-
Bedrohungserkennung und Warnung basierend auf Laufzeitsignalen
-
Einblicke in den Sicherheitsstatus , die mit Kubernetes und GKE Best Practices abgestimmt sind
Hinweis
Verfügbare Signale und Erkennungen hängen von der Clusterkonfiguration und aktivierten Datenquellen ab.
Microsoft Defender für Container bietet Sicherheitsüberwachung und Schutz für Kubernetes-Cluster, die über Azure Arc mit Azure verbunden sind. Dazu gehören Kubernetes-Cluster, die lokal, am Edge oder in anderen nicht Azure Umgebungen ausgeführt werden.
Defender für Container auf Arc-fähigen Kubernetes wird über Microsoft Defender for Cloud verwaltet und basiert auf Azure Arc-fähigen Kubernetes für die Clusterkonnektivität und Komponentenbereitstellung.
Integration mit Azure Arc
Defender für Container integriert sich in Arc-fähige Kubernetes-Cluster, wobei Azure Arc als Steuerungsebene dient. Nachdem ein Cluster mit Azure Arc verbunden ist und der Containerplan aktiviert wurde, funktioniert Defender für Container wie folgt:
- Erkennt Arc-fähige Kubernetes-Cluster im Abonnement
- Stellt Defender Komponenten mithilfe von Azure Arc Erweiterungen bereit.
- Erfasst Laufzeitsicherheitssignale von Kubernetes-Knoten und -Workloads
- Wertet Cluster- und Workloadkonfigurationen aus.
- Generiert Sicherheitsempfehlungen und Warnungen in Defender for Cloud
Die Integration erfordert keine eingehende Verbindung mit dem Kubernetes-Cluster. Die Kommunikation wird vom Cluster über die Azure Arc Agents an Azure initiiert.
Hinweis
Arc-enabled Kubernetes ist erforderlich, um Komponenten von Defender für Container in Kubernetes-Clustern bereitzustellen, die nicht in Azure ausgeführt werden.
Wichtige Funktionen
Defender für Container bietet die folgenden Funktionen für Arc-fähige Kubernetes-Umgebungen:
-
Bedrohungserkennung und Warnung basierend auf Laufzeitsignalen, die von Kubernetes-Knoten, Workloads und Überwachungsprotokollen gesammelt werden
-
Einblicke im Sicherheitsstatus für Kubernetes-Cluster und -Workloads
-
Richtlinienbasierte Konfigurationsbewertung durch Azure Policy für Kubernetes
Hinweis
Verfügbare Signale, Erkennungen und Haltungsbewertungen hängen von aktivierten Komponenten und Clusterkonfigurationen ab.
Anzeigen Ihrer aktuellen Abdeckung
Defender for Cloud bietet Zugriff auf Arbeitsmappen über Azure-Arbeitsmappen. Arbeitsmappen sind anpassbare Berichte, die Ihnen helfen, Ihren Sicherheitsstatus zu verstehen.
Die Abdeckungsarbeitsmappe zeigt an, welche Defender for Cloud Pläne und Komponenten in Ihren Abonnements und verbundenen Umgebungen aktiviert sind.
Preise
Defender für Container wird als Teil Microsoft Defender for Cloud in Rechnung gestellt. Die Preise hängen von den aktivierten Komponenten und der Anzahl der geschützten Ressourcen ab.
Details zu den Preisen finden Sie unter Microsoft Defender for Cloud pricing.
Verwandte Inhalte