Preguntas comunes sobre la protección de contenedores

Puede usar Azure Policy Configure Microsoft Defender for Containers to be enabled para habilitar Defender para contenedores a escala. También puede ver todas las opciones disponibles para habilitar Microsoft Defender para contenedores.

Sí.

No. Solo se admiten los clústeres de Azure Kubernetes Service (AKS) que usan Virtual Machine Scale Sets para los nodos.

No, AKS es un servicio administrado y no se admite la manipulación de los recursos de IaaS. La extensión de máquina virtual de Log Analytics no es necesaria y puede generar cargos adicionales.

No se recomienda la eliminación del área de trabajo predeterminada. Defender para contenedores utiliza las áreas de trabajo predeterminadas para recopilar los datos de seguridad de los clústeres. Defender para contenedores no puede recopilar datos y algunas recomendaciones de seguridad y alertas no estarán disponibles si elimina el área de trabajo predeterminada.

Para recuperar el área de trabajo predeterminado, debe quitar el sensor de Defender y reinstalarlo. Al volver a instalar el sensor Defender se crea un nuevo área de trabajo predeterminado.

En función de la región, el área de trabajo predeterminada de Log Analytics puede encontrarse en varias ubicaciones. Para comprobar la región, consulte ¿Dónde se crea el área de trabajo Log Analytics predeterminada?

El sensor de Defender usa el área de trabajo de Log Analytics para enviar datos de los clústeres de Kubernetes a Defender for Cloud. El Defender for Cloud agrega el área de trabajo de Log Analytics y el grupo de recursos como parámetros para que el sensor los use.

Sin embargo, si la organización tiene una directiva que requiere una etiqueta específica en los recursos, podría hacer que se produzca un error en la instalación del sensor durante la creación del grupo de recursos o del área de trabajo predeterminada. Si se produce un error, puede llevar a cabo alguna de las siguientes acciones:

• Asignar un área de trabajo personalizada y agregar cualquier etiqueta que requiera su organización.

  o

• Si su empresa requiere que etiquete su recurso, debería ir a esa política y excluir los siguientes recursos:

  1. El grupo de recursos DefaultResourceGroup-<RegionShortCode>
  2. El área de trabajo DefaultWorkspace-<sub-id>-<RegionShortCode>

  RegionShortCode es una cadena de entre 2 y 4 letras.

Defender for Containers extrae la imagen del registro y la ejecuta en un espacio aislado con Administración de vulnerabilidades de Microsoft Defender para entornos multi-nube. El detector extrae una lista de vulnerabilidades conocidas.

Defender para la nube filtra y clasifica los hallazgos del escáner. Cuando una imagen está saludable, Defender para la Nube la marca como tal. Defender para nube solo genera recomendaciones de seguridad para las imágenes que tienen incidencias sin resolver. Al enviar notificaciones solo cuando hay problemas, Defender para nube reduce las alertas informativas no deseadas.

Para identificar los eventos de extracción realizados por el escáner, siga estos pasos:

1. Busque eventos de extracción de datos con el agente de usuario de MDCContainersSecurity/1.0.
2. Extraiga la identidad asociada a este evento.
3. Use la identidad extraída para identificar los eventos de extracción del escáner.

• Los recursos no aplicables son recursos para los que la recomendación no puede dar una respuesta definitiva. La pestaña no aplicable incluye los motivos de cada recurso que no se pudo evaluar.
• Los recursos no comprobados están programados para evaluarse, pero aún no se han evaluado.

Algunas imágenes pueden reutilizar etiquetas de una imagen que ya se ha examinado. Por ejemplo, puede reasignar la etiqueta "Más reciente" cada vez que agrega una imagen a un resumen. En tales casos, la imagen "antigua" sigue existiendo en el registro y es posible que su resumen lo extraiga. Si la imagen tiene resultados de seguridad y se extrae, puede exponer vulnerabilidades de seguridad.

Actualmente, Defender for Containers pueden examinar imágenes en Azure Container Registry (ACR), AWS Elastic Container Registry (ECR), Google Container Registry (GCR), Google Archive Registry (GAR) y solo registros externos admitidos. Microsoft Artifact Registry/Microsoft Container Registry y el registro de imágenes de contenedor integrado de Microsoft Red Hat OpenShift en Azure (ARO) no son compatibles.

Defender for Cloud realiza un análisis sin agente de máquinas virtuales. Las instantáneas de discos de máquina virtual se toman cada 24 horas para realizar análisis fuera de banda, sin afectar al rendimiento.

Los contenedores del plano de datos que residen en instantáneas de disco de máquinas virtuales, independientemente del registro de imágenes de contenedor del que se obtuvieron, se evalúan para detectar vulnerabilidades mediante Administración de vulnerabilidades de Microsoft Defender (MDVM). MDVM genera recomendaciones de seguridad para cualquier imagen de contenedor vulnerable.

Sí. Los resultados se encuentran en la API de REST de valoración secundaria. Asimismo, puede usar Azure Resource Graph (ARG), la API similar a Kusto para todos los recursos: una consulta puede recuperar un análisis específico.

Para comprobar un tipo de imagen, debe usar una herramienta que pueda comprobar el manifiesto de imagen sin procesar, como skopeo, e inspeccionar el formato de imagen sin procesar.

• Para el formato Docker v2, el tipo de medio de manifiesto sería application/vnd.docker.distribution.manifest.v1+json o application/vnd.docker.distribution.manifest.v2+json, como se documenta aquí.
• Para el formato de imagen OCI, el tipo de medio de manifiesto sería application/vnd.oci.image.manifest.v1+json, y el tipo de medio de configuración application/vnd.oci.image.config.v1+json, como se documenta aquí.

Hay dos extensiones que proporcionan funcionalidad de CSPM sin agente:

• Evaluaciones de vulnerabilidades de contenedores sin agente: proporciona evaluaciones de vulnerabilidades de contenedores sin agente. Más información sobre Evaluación de vulnerabilidades de contenedores sin agente.
• Detección sin agente para Kubernetes: proporciona detección basada en API de información sobre la arquitectura, los objetos de carga de trabajo y la configuración del clúster de Kubernetes.

Para incorporar varias suscripciones a la vez, puede usar este script.

Si no ve los resultados de los clústeres, consulte las siguientes preguntas:

• ¿Tiene clústeres bloqueados?
• ¿Están bloqueados los grupos de recursos, las suscripciones o los clústeres? Si la respuesta a cualquiera de estas preguntas es sí, consulte las respuestas de las siguientes preguntas.

No admitimos ni cargamos los clústeres detenidos. Para obtener el valor de las funcionalidades sin agente en un clúster detenido, puede volver a ejecutarlo.

Se recomienda desbloquear el grupo de recursos, la suscripción o el clúster bloqueados, realizar las solicitudes pertinentes manualmente y, después, volver a bloquearlos siguiendo este procedimiento:

1. Habilite la bandera de características manualmente a través de la CLI mediante el acceso de confianza.

   “az feature register --namespace "Microsoft.ContainerService" --name "TrustedAccessPreview” 
   

2. Realice la operación de enlace en la CLI:

   az account set -s <SubscriptionId> 
   az extension add --name aks-preview 
   az aks trustedaccess rolebinding create --resource-group <cluster resource group> --cluster-name <cluster name> --name defender-cloudposture --source-resource-id /subscriptions/<SubscriptionId>/providers/Microsoft.Security/pricings/CloudPosture/securityOperators/DefenderCSPMSecurityOperator --roles  "Microsoft.Security/pricings/microsoft-defender-operator" 
   

En el caso de los clústeres bloqueados, también puede realizar uno de los pasos siguientes:

• Elimine el bloqueo.
• Realice la operación de enlace manualmente mediante una solicitud a la API. Obtenga más información sobre los recursos bloqueados.

Obtenga más información sobre las versiones de Kubernetes compatibles en Azure Kubernetes Service (AKS).

Los cambios pueden tardar hasta 24 horas en reflejarse en el grafo de seguridad, las rutas de acceso de ataque y el explorador de seguridad.

En los pasos siguientes se quita la recomendación del registro único con tecnología de Trivy y se agregan las nuevas recomendaciones del registro y el entorno de ejecución que tienen tecnología MDVM.

1. Abra el conector de AWS correspondiente.
2. Abra la página configuración de para Defender for Containers.
3. Habilite la Evaluación de Vulnerabilidades en Contenedores Sin Agente.
4. Complete los pasos del asistente para conectores, incluida la implementación del nuevo script de incorporación en AWS.
5. Elimine manualmente los recursos creados durante la incorporación:
   • Cubo S3 con el prefijo defender-for-containers-va
   • Clúster ECS con el nombre defender-for-containers-va
   • VPC:
     • Etiqueta name con el valor defender-for-containers-va
     • CIDR de subred de IP 10.0.0.0/16
     • Asociado con el grupo de seguridad predeterminado con la etiqueta name y el valor defender-for-containers-va que tiene una regla para todo el tráfico entrante.
     • Subred con la etiqueta name y el valor defender-for-containers-va de la VPC defender-for-containers-va con la subred de IP CIDR 10.0.1.0/24 usada por el clúster ECS defender-for-containers-va
     • Puerta de enlace de Internet con la etiqueta name y el valor defender-for-containers-va
     • Tabla de rutas: tabla de rutas con la etiqueta name y el valor defender-for-containers-va, y con estas rutas:
       • Destino: 0.0.0.0/0; destino: puerta de enlace de Internet con la etiqueta name y el valor defender-for-containers-va
       • Destino: 10.0.0.0/16; objetivo: local

Para obtener evaluaciones de vulnerabilidades para ejecutar imágenes, habilite la detección sin agente para Kubernetes o implemente el sensor Defender en los clústeres de Kubernetes.

Microsoft Defender para Kubernetes ha quedado en desuso y se ha reemplazado por Microsoft Defender para contenedores. Las suscripciones existentes con Defender para Kubernetes habilitado pueden seguir utilizándola, pero las nuevas suscripciones no pueden habilitar este plan en desuso.

Todas las nuevas funcionalidades y mejoras de seguridad de contenedores solo están disponibles en Microsoft Defender para contenedores. Se recomienda actualizar a Microsoft Defender para contenedores para acceder a las características más recientes y a las funcionalidades de protección mejoradas.

Contenido relacionado

Más información sobre Defender para contenedores