Microsoft Defender para contêineres fornece proteção contra ameaças, avaliação de vulnerabilidade e gerenciamento de postura de segurança para clusters do Kubernetes em ambientes de nuvem por meio de Microsoft Defender para Nuvem.
Defender para contêineres é habilitado e implantado de forma diferente dependendo do ambiente do Kubernetes. AKS (Serviço de Kubernetes do Azure) usa integrações nativas Azure, enquanto o Amazon Elastic Kubernetes Service (EKS) e o Mecanismo de Kubernetes do Google (GKE) dependem de conectores multinuvem, kubernetes habilitados para Azure Arc e componentes específicos do ambiente.
Microsoft Defender para Contêineres estende o monitoramento e a proteção de segurança para AKS (Serviço de Kubernetes do Azure) clusters por meio de Microsoft Defender para Nuvem. Ele ajuda as equipes de segurança e DevOps a obter visibilidade sobre vulnerabilidades de imagem de contêiner, atividade de runtime e riscos de configuração do Kubernetes em ambientes Azure.
Integração com o Azure
Defender para Contêineres integra-se nativamente com serviços de Azure para proteger clusters do AKS. Quando habilitada em uma assinatura Azure, a solução:
- Descobre clusters do AKS na assinatura
- Implanta Defender para componentes de contêineres usando integrações gerenciadas por Azure
- Avalia as imagens de contêiner armazenadas no ACR (Registro de Contêiner do Azure) para vulnerabilidades
- Coleta sinais de segurança de runtime de clusters do AKS
- Gera recomendações de segurança com base na configuração e postura observadas
- Alertas do Surfaces que se integram às ferramentas de segurança do Microsoft
A integração foi projetada para operar usando recursos nativos de Azure e não requer conectividade de entrada com clusters do AKS.
Observação
Os logs de auditoria do plano de controle do AKS são coletados por meio da integração do plano de controle gerenciado pelo Azure. Defender para Contêineres não depende de pipelines de log de auditoria nativos do Kubernetes nem requer habilitação de logs de auditoria no cluster.
Principais funcionalidades
Defender para Contêineres fornece os seguintes recursos para ambientes do AKS:
-
Avaliação de vulnerabilidades de imagens de contêiner para imagens armazenadas no Registro de Contêiner do Azure (ACR)
-
Detecção e alerta de ameaças com base em sinais de runtime coletados de nós do AKS, cargas de trabalho e logs de auditoria do Kubernetes
- insights de postura de segurança para clusters e cargas de trabalho do Kubernetes, alinhados com o Kubernetes e as práticas recomendadas de segurança do Azure
Observação
Os sinais e detecções disponíveis dependem da configuração do cluster e dos componentes habilitados.
Microsoft Defender para Contêineres estende o monitoramento e a proteção de segurança para clusters do Amazon Elastic Kubernetes Service (EKS) para fornecer visibilidade sobre vulnerabilidades de imagem de contêiner, atividade de runtime e riscos de configuração de cluster por meio de Microsoft Defender para Nuvem.
Integração com a AWS
Defender para contêineres se integra ao AWS por meio de um conector seguro que conecta sua conta do AWS ao Microsoft Defender para Nuvem. Uma vez conectada, a solução:
- Descobre clusters EKS em sua conta do AWS
- Implanta sensores de segurança leves para coletar sinais de runtime
- Integra-se ao Amazon ECR para avaliar imagens de contêiner para vulnerabilidades
- Gera recomendações de segurança com base na configuração e postura observadas
- Alertas do Surfaces para atividades suspeitas relacionadas a cargas de trabalho do EKS
A integração foi projetada para funcionar junto com os serviços de segurança existentes do AWS, como o AWS GuardDuty e o Hub de Segurança do AWS.
Principais funcionalidades
Defender para contêineres fornece os seguintes recursos para ambientes do Amazon EKS:
-
Avaliação de vulnerabilidade de imagem de contêiner para imagens armazenadas no Amazon ECR
-
Detecção, alertas e resposta de ameaças com base em sinais de runtime
-
Insights sobre postura de segurança alinhados com as melhores práticas de segurança
Observação
Os sinais e detecções disponíveis dependem da configuração do cluster e das fontes de dados habilitadas.
Microsoft Defender para Contêineres estende o monitoramento de segurança e a proteção aos clusters do Mecanismo de Kubernetes do Google (GKE) integrando-se com Microsoft Defender para Nuvem.
Integração com o GCP
Defender para contêineres se integra ao Google Cloud por meio de um conector GCP seguro que conecta seus projetos GCP a Microsoft Defender para Nuvem. Uma vez conectada, a solução:
- Descobre clusters GKE em projetos GCP conectados
- Conecta clusters selecionados a Azure Arc
- Implanta um sensor de Defender
- Integra-se ao Registro de Contêiner do Google e ao Registro de Artefatos
- Gera recomendações de segurança
- Alertas do Surfaces para atividades suspeitas
A integração foi projetada para funcionar junto com os recursos nativos de segurança do GCP e não requer conectividade de entrada.
Principais funcionalidades
Defender para contêineres fornece os seguintes recursos para ambientes GKE:
-
Avaliação de vulnerabilidade de imagem de contêiner para GCR e Registro de Artefato
-
Detecção e alertas de ameaças com base em sinais de runtime
-
Insights sobre a postura de segurança alinhados com as práticas recomendadas do Kubernetes e do GKE
Observação
Os sinais e detecções disponíveis dependem da configuração do cluster e das fontes de dados habilitadas.
Microsoft Defender para Contêineres fornece monitoramento e proteção de segurança para clusters do Kubernetes conectados ao Azure por meio de Azure Arc. Isso inclui clusters do Kubernetes em execução localmente, na borda ou em outros ambientes não-Azure.
Defender para Contêineres em Kubernetes habilitado para Arc é gerenciado através do Microsoft Defender para Nuvem e depende de Kubernetes habilitado para Azure Arc para conectividade de cluster e implantação de componentes.
Integração com Azure Arc
Defender para Contêineres integra-se aos clusters Kubernetes habilitados para Arc usando Azure Arc como o plano de controle. Depois que um cluster estiver conectado ao Azure Arc e o plano de Contêineres estiver habilitado, Microsoft Defender para Contêineres:
- Descobre clusters Kubernetes habilitados com Arc na assinatura
- Implanta componentes Defender usando extensões de Azure Arc
- Coleta sinais de segurança de runtime de nós e cargas de trabalho do Kubernetes
- Avalia configurações de cluster e carga de trabalho
- Gera recomendações e alertas de segurança no Defender para Nuvem
A integração não requer conectividade de entrada com o cluster do Kubernetes. A comunicação é iniciada do cluster para Azure por meio dos agentes de Azure Arc.
Observação
Kubernetes habilitado pelo Arc é necessário para implantar o Defender para Contêineres em clusters do Kubernetes que não estão em execução no Azure.
Principais funcionalidades
Defender para Contêineres fornece os seguintes recursos para ambientes do Kubernetes habilitados para Arc:
-
Detecção e alertas de ameaças com base em sinais de runtime coletados de nós, cargas de trabalho e logs de auditoria do Kubernetes
-
Insights de postura de segurança para clusters e cargas de trabalho do Kubernetes
- Avaliação de configuração baseada em Política por meio da Política do Azure para Kubernetes
Observação
Os sinais disponíveis, as detecções e as avaliações de postura dependem de componentes habilitados e da configuração do cluster.
Exibir sua cobertura atual
O Defender para Nuvem fornece acesso a pastas de trabalho por meio de pastas de trabalho do Azure. As pastas de trabalho são relatórios personalizáveis que ajudam você a entender sua postura de segurança.
A pasta de trabalho coverage mostra quais Defender para Nuvem planos e componentes estão habilitados em suas assinaturas e ambientes conectados.
Pricing
Defender for Containers é cobrado como parte do Microsoft Defender para Nuvem. O preço depende dos componentes habilitados e do número de recursos protegidos.
Para obter detalhes sobre preços, consulte Microsoft Defender para Nuvem preços.
Conteúdo relacionado