Microsoft Defender para contenedores proporciona protección contra amenazas, evaluación de vulnerabilidades y administración de la posición de seguridad para los clústeres de Kubernetes en entornos en la nube a través de Microsoft Defender para la nube.
Defender para contenedores está habilitado e implementado de forma diferente en función del entorno de Kubernetes. Azure Kubernetes Service (AKS) usa integraciones nativas de Azure, mientras que Amazon Elastic Kubernetes Service (EKS) y Google Kubernetes Engine (GKE) se basan en conectores multinube, kubernetes habilitados para Azure Arc y componentes específicos del entorno.
Microsoft Defender para contenedores amplía la supervisión y protección de seguridad a los clústeres de Azure Kubernetes Service (AKS) a través de Microsoft Defender para la nube. Ayuda a los equipos de seguridad y DevOps a obtener visibilidad de las vulnerabilidades de la imagen de contenedor, la actividad en tiempo de ejecución y los riesgos de configuración de Kubernetes en entornos de Azure.
Integración con Azure
Defender for Containers se integra de forma nativa con los servicios de Azure para proteger los clústeres de AKS. Cuando se habilita en una suscripción de Azure, la solución:
- Detecta clústeres de AKS en la suscripción
- Implementa Defender para componentes de contenedores mediante integraciones administradas por Azure
- Evalúa las imágenes de contenedor almacenadas en Azure Container Registry (ACR) para detectar vulnerabilidades
- Recopila señales de seguridad en tiempo de ejecución de clústeres de AKS
- Genera recomendaciones de seguridad basadas en la configuración y posición observadas.
- Muestra alertas que se integran con herramientas de seguridad de Microsoft
La integración está diseñada para funcionar con funcionalidades nativas de Azure y no requiere conectividad entrante a clústeres de AKS.
Nota:
Los registros de auditoría del plano de control de AKS se recopilan a través de la integración del plano de control administrado por Azure. Defender para contenedores no se basa en canalizaciones de registro de auditoría nativas de Kubernetes ni requiere habilitar el registro de auditoría en el clúster.
Principales funcionalidades
Defender para contenedores proporciona las siguientes funcionalidades para entornos de AKS:
-
Evaluación de vulnerabilidades de imágenes de contenedor para las imágenes almacenadas en Azure Container Registry (ACR)
-
Detección de amenazas y alertas basadas en señales en tiempo de ejecución recopiladas de nodos de AKS, cargas de trabajo y registros de auditoría de Kubernetes
-
Información sobre la postura de seguridad para clústeres y cargas de trabajo de Kubernetes, alineadas con las mejores prácticas de seguridad de Kubernetes y Azure.
Nota:
Las señales y detecciones disponibles dependen de la configuración del clúster y de los componentes habilitados.
Microsoft Defender for Containers amplía la supervisión y protección de la seguridad a los clústeres de Amazon Elastic Kubernetes Service (EKS) para proporcionar visibilidad de las vulnerabilidades de la imagen de contenedor, la actividad en tiempo de ejecución y los riesgos de configuración del clúster a través de Microsoft Defender para la nube.
Integración con AWS
Defender for Containers se integra con AWS a través de un conector seguro que conecta su cuenta de AWS a Microsoft Defender para la nube. Una vez conectado, la solución:
- Detecta clústeres de EKS en su cuenta de AWS
- Implementa sensores de seguridad ligeros para recopilar señales en tiempo de ejecución.
- Se integra con Amazon ECR para evaluar imágenes de contenedor para detectar vulnerabilidades
- Genera recomendaciones de seguridad basadas en la configuración y posición observadas.
- Expone alertas para actividades sospechosas relacionadas con cargas de trabajo de EKS
La integración está diseñada para funcionar junto con los servicios de seguridad de AWS existentes, como AWS GuardDuty y AWS Security Hub.
Principales funcionalidades
Defender para contenedores proporciona las siguientes funcionalidades para entornos de Amazon EKS:
-
Evaluación de vulnerabilidades de imágenes de contenedor para imágenes almacenadas en Amazon ECR
-
Detección de amenazas, alertas y respuesta en función de las señales en tiempo de ejecución
-
Información sobre la postura de seguridad alineada con las mejores prácticas de seguridad
Nota:
Las señales y detecciones disponibles dependen de la configuración del clúster y de los orígenes de datos habilitados.
Microsoft Defender para contenedores amplía la supervisión y protección de la seguridad a los clústeres de Google Kubernetes Engine (GKE) mediante la integración con Microsoft Defender para la nube.
Integración con GCP
Defender for Containers se integra con Google Cloud a través de un conector GCP seguro que conecta los proyectos de GCP a Microsoft Defender para la nube. Una vez conectado, la solución:
- Detecta clústeres de GKE en proyectos de GCP conectados
- Conecta los clústeres seleccionados a Azure Arc
- Implementa un sensor de Defender
- Se integra con Google Container Registry y Artifact Registry
- Genera recomendaciones de seguridad
- Surfaces alerts for suspicious activity (Alertas de superficies para actividades sospechosas)
La integración está diseñada para funcionar junto con las características de seguridad nativas de GCP y no requiere conectividad entrante.
Principales funcionalidades
Defender para contenedores proporciona las siguientes funcionalidades para entornos de GKE:
-
Evaluación de vulnerabilidades de la imagen de contenedor para GCR y el Registro de artefactos
-
Detección de amenazas y alertas basadas en señales en tiempo de ejecución
-
Información de posición de seguridad alineada con los procedimientos recomendados de Kubernetes y GKE
Nota:
Las señales y detecciones disponibles dependen de la configuración del clúster y de los orígenes de datos habilitados.
Microsoft Defender para contenedores proporciona supervisión y protección de seguridad para clústeres de Kubernetes que están conectados a Azure a través de Azure Arc. Esto incluye clústeres de Kubernetes que se ejecutan de forma local, en el perímetro o en otros entornos que no son de Azure.
Defender para contenedores en Kubernetes habilitado para Azure Arc se gestiona a través de Microsoft Defender para la nube y depende de Kubernetes habilitado para Azure Arc para la conectividad del clúster y la implementación de componentes.
Integración con Azure Arc
Defender for Containers se integra con clústeres de Kubernetes habilitados para Arc mediante Azure Arc como plano de control. Una vez que un clúster está conectado a Azure Arc y el plan contenedores está habilitado, Defender para Contenedores:
- Detecta clústeres de Kubernetes habilitados para Arc en la suscripción
- Implementa componentes de Defender mediante extensiones de Azure Arc
- Recopila señales de seguridad en tiempo de ejecución de nodos y cargas de trabajo de Kubernetes.
- Evalúa las configuraciones de clúster y carga de trabajo.
- Genera recomendaciones de seguridad y alertas en Defender for Cloud
La integración no requiere conectividad entrante al clúster de Kubernetes. La comunicación se inicia desde el clúster hasta Azure a través de los agentes de Azure Arc.
Nota:
Se requiere Kubernetes habilitado para Arc para implementar Defender para componentes de contenedores en clústeres de Kubernetes que no se ejecutan en Azure.
Principales funcionalidades
Defender para contenedores proporciona las siguientes funcionalidades para entornos de Kubernetes habilitados para Arc:
-
Detección de amenazas y alertas basadas en señales de tiempo de ejecución recopiladas de nodos, cargas de trabajo y registros de auditoría de Kubernetes
-
Información de posición de seguridad para clústeres y cargas de trabajo de Kubernetes
-
Evaluación de configuración basada en directivas a través de Azure Policy para Kubernetes
Nota:
Las señales, detecciones y evaluaciones de posición disponibles dependen de los componentes habilitados y la configuración del clúster.
Visualización de la cobertura actual
Defender for Cloud proporciona acceso a libros de trabajo a través de Azure Workbooks. Los cuadernos de trabajo son informes personalizables que le ayudan a comprender su postura de seguridad.
El libro de trabajo de cobertura muestra qué planes y componentes de Defender for Cloud están habilitados en tus suscripciones y entornos conectados.
Precios
Defender para contenedores se factura como parte de Microsoft Defender para la nube. Los precios dependen de los componentes habilitados y del número de recursos protegidos.
Para obtener más información sobre los precios, consulte precios Microsoft Defender para la nube.
Contenido relacionado