Microsoft Defender pour conteneurs fournit une protection contre les menaces, une évaluation des vulnérabilités et une gestion de la posture de sécurité pour les clusters Kubernetes dans les environnements cloud via Microsoft Defender for Cloud.
Defender pour conteneurs est activé et déployé différemment en fonction de l’environnement Kubernetes. Azure Kubernetes Service (AKS) utilise des intégrations natives Azure, tandis qu’Amazon Elastic Kubernetes Service (EKS) et Google Kubernetes Engine (GKE) s’appuient sur des connecteurs multiclouds, des composants Kubernetes Azure Arc compatibles avec l’environnement.
Microsoft Defender pour conteneurs étend la surveillance et la protection de la sécurité aux clusters Azure Kubernetes Service (AKS) via Microsoft Defender for Cloud. Elle permet aux équipes de sécurité et DevOps de bénéficier d’une visibilité sur les vulnérabilités des images conteneur, l’activité d’exécution et les risques de configuration Kubernetes dans les environnements Azure.
Intégration avec Azure
Defender pour conteneurs s’intègre en mode natif aux services Azure pour protéger les clusters AKS. Lorsqu’elle est activée sur un abonnement Azure, la solution :
- Découvre les clusters AKS dans l’abonnement
- Déploie Defender pour les composants conteneurs à l’aide d’intégrations gérées par Azure
- Évalue les images conteneur stockées dans Azure Container Registry (ACR) pour les vulnérabilités
- Collecte les signaux de sécurité du runtime à partir de clusters AKS
- Génère des recommandations de sécurité basées sur la configuration et la posture observées
- Alertes Surfaces qui s’intègrent à des outils de sécurité Microsoft
L'intégration est conçue pour fonctionner à l'aide de fonctionnalités natives Azure et ne nécessite pas de connectivité entrante aux clusters AKS.
Note
Les journaux d’audit du plan de contrôle AKS sont collectés via l’intégration du plan de contrôle géré par Azure. Defender pour les conteneurs ne s’appuie pas sur les pipelines de journaux d’audit natifs Kubernetes ni ne vous contraint à activer la journalisation d’audit dans le cluster.
Fonctionnalités clés
Defender pour conteneurs fournit les fonctionnalités suivantes pour les environnements AKS :
-
Évaluation des vulnérabilités des images de conteneurs pour les images stockées dans Azure Container Registry (ACR)
-
Détection des menaces et alertes basées sur les signaux d’exécution collectés à partir de nœuds AKS, de charges de travail et de journaux d’audit Kubernetes
-
Informations sur la posture de sécurité pour les clusters et charges de travail Kubernetes, alignées sur les meilleures pratiques de sécurité Kubernetes et Azure.
Note
Les signaux et détections disponibles dépendent de la configuration du cluster et des composants activés.
Microsoft Defender pour conteneurs étend la surveillance et la protection de la sécurité aux clusters EKS (Amazon Elastic Kubernetes Service) pour fournir une visibilité sur les vulnérabilités d’image conteneur, l’activité d’exécution et les risques de configuration de cluster via Microsoft Defender for Cloud.
Intégration à AWS
Defender for Containers s’intègre à AWS via un connecteur sécurisé qui connecte votre compte AWS à Microsoft Defender for Cloud. Une fois connecté, la solution :
- Découvre les clusters EKS dans votre compte AWS
- Déploie des capteurs de sécurité légers pour collecter les signaux d’exécution
- S’intègre à Amazon ECR pour évaluer les images de conteneur afin de détecter des vulnérabilités.
- Génère des recommandations de sécurité basées sur la configuration et la posture observées
- Alertes Surfaces pour les activités suspectes liées aux charges de travail EKS
L’intégration est conçue pour fonctionner avec les services de sécurité AWS existants, tels que AWS GuardDuty et AWS Security Hub.
Fonctionnalités clés
Defender pour conteneurs fournit les fonctionnalités suivantes pour les environnements Amazon EKS :
-
Évaluation des vulnérabilités d’image conteneur pour les images stockées dans Amazon ERC
-
Détection des menaces, alertes et réponse basées sur les signaux d’exécution
-
Aperçus de la posture sécuritaire alignés sur les bonnes pratiques de sécurité
Note
Les signaux et détections disponibles dépendent de la configuration du cluster et des sources de données activées.
Microsoft Defender pour conteneurs étend la surveillance et la protection de la sécurité aux clusters Google Kubernetes Engine (GKE) en s’intégrant à Microsoft Defender for Cloud.
Intégration avec GCP
Defender pour conteneurs s’intègre à Google Cloud via un connecteur GCP sécurisé qui connecte vos projets GCP à Microsoft Defender for Cloud. Une fois connecté, la solution :
- Découvre les clusters GKE dans les projets GCP connectés
- Connecte les clusters sélectionnés à Azure Arc
- Déploie un capteur Defender
- S’intègre à Google Container Registry et Artifact Registry
- Génère des recommandations de sécurité
- Signale des alertes pour activité suspecte
L’intégration est conçue pour fonctionner en même temps que les fonctionnalités de sécurité GCP natives et ne nécessite pas de connectivité entrante.
Fonctionnalités clés
Defender pour conteneurs fournit les fonctionnalités suivantes pour les environnements GKE :
-
Évaluation des vulnérabilités des images de conteneur pour GCR et Artifact Registry
-
Détection des menaces et alertes basées sur les signaux d’exécution
-
Aperçus de la posture de sécurité conformes aux bonnes pratiques de Kubernetes et GKE
Note
Les signaux et détections disponibles dépendent de la configuration du cluster et des sources de données activées.
Microsoft Defender pour conteneurs fournit une surveillance et une protection de sécurité pour les clusters Kubernetes connectés à Azure via Azure Arc. Cela inclut les clusters Kubernetes s’exécutant localement, en périphérie ou dans d’autres environnements non Azure.
Defender for Containers sur Arc-enabled Kubernetes est géré via Microsoft Defender for Cloud et s’appuie sur Azure Arc-enabled Kubernetes pour la connectivité de cluster et le déploiement de composants.
Intégration à Azure Arc
Defender pour conteneurs s’intègre aux clusters Kubernetes activés par Arc en utilisant Azure Arc comme plan de contrôle. Une fois qu’un cluster est connecté à Azure Arc et que le plan Conteneurs est activé, Defender pour conteneurs :
- Découvre les clusters Kubernetes avec Arc dans l’abonnement
- Déploie des composants Defender à l’aide d’extensions Azure Arc
- Collecte les signaux de sécurité du runtime à partir de nœuds et de charges de travail Kubernetes
- Évalue les configurations de cluster et de charge de travail
- Génère des recommandations et des alertes de sécurité dans Defender for Cloud
L’intégration ne nécessite pas de connectivité entrante au cluster Kubernetes. La communication est lancée du cluster vers Azure via les agents Azure Arc.
Note
Kubernetes avec fonctions Arc est nécessaire pour déployer les composants de Defender pour les conteneurs sur des clusters Kubernetes qui ne s'exécutent pas dans Azure.
Fonctionnalités clés
Defender pour conteneurs fournit les fonctionnalités suivantes pour les environnements Kubernetes avec Arc :
-
Détection des menaces et alertes basées sur les signaux d’exécution collectés à partir de nœuds Kubernetes, de charges de travail et de journaux d’audit
-
Aperçus sur la posture de sécurité des clusters et des charges de travail Kubernetes
-
Évaluation de configuration basée sur des règles à l'aide d'Azure Policy pour Kubernetes
Note
Les signaux, détections et évaluations de posture disponibles dépendent des composants activés et de la configuration du cluster.
Afficher votre couverture actuelle
Defender pour Cloud permet l'accès aux classeurs via les classeurs Azure. Les livrets sont des rapports personnalisables qui vous aident à comprendre votre posture de sécurité.
Le classeur coverage indique quels Defender for Cloud plans et composants sont activés dans vos abonnements et environnements connectés.
Pricing
Defender pour conteneurs est facturé dans le cadre de Microsoft Defender for Cloud. La tarification dépend des composants activés et du nombre de ressources protégées.
Pour plus d’informations sur la tarification, consultez Microsoft Defender for Cloud tarification.
Contenu connexe