O Microsoft Defender for Containers fornece proteção contra ameaças, avaliação de vulnerabilidades e gestão da postura de segurança para clusters Kubernetes em ambientes cloud através do Microsoft Defender para a Cloud.
O Defender for Containers está ativado e implementado de forma diferente consoante o ambiente Kubernetes. O Azure Kubernetes Service (AKS) utiliza integrações nativas do Azure, enquanto o Amazon Elastic Kubernetes Service (EKS) e o Google Kubernetes Engine (GKE) dependem de conectores multicloud, Kubernetes com Azure Arc e componentes específicos do ambiente.
O Microsoft Defender for Containers estende a monitorização e proteção de segurança a clusters Azure Kubernetes Service (AKS) através do Microsoft Defender para a Cloud. Ajuda as equipas de segurança e DevOps a obter visibilidade sobre vulnerabilidades de imagens de contentores, atividade em tempo de execução e riscos de configuração do Kubernetes em ambientes Azure.
Integração com o Azure
O Defender for Containers integra-se nativamente com os serviços do Azure para proteger clusters AKS. Quando ativado numa subscrição do Azure, a solução:
- Descobre os clusters AKS na assinatura
- Implementa componentes do Defender for Containers utilizando integrações geridas pelo Azure
- Avalia imagens de container armazenadas em Azure Container Registry (ACR) para vulnerabilidades
- Recolhe sinais de segurança durante a execução de clusters AKS
- Gera recomendações de segurança com base na configuração e postura observadas
- Alertas Surface que se integram com as ferramentas de segurança da Microsoft
A integração foi concebida para operar com capacidades nativas do Azure e não requer conectividade de entrada a clusters AKS.
Observação
Os registos de auditoria do plano de controlo do AKS são recolhidos através da integração do plano de controlo gerido pelo Azure. O Defender for Containers não depende de pipelines nativos de registo de auditoria do Kubernetes nem exige que ative o registo de auditoria no cluster.
Capacidades chave
O Defender for Containers oferece as seguintes capacidades para ambientes AKS:
-
Avaliação da vulnerabilidade da imagem do contentor para imagens armazenadas em Azure Container Registry (ACR)
-
Deteção e alerta de ameaças baseados em sinais de execução recolhidos de nós AKS, cargas de trabalho e registos de auditoria Kubernetes
-
Informações sobre postura de segurança para clusters e cargas de trabalho Kubernetes, alinhados com Kubernetes e as melhores práticas de segurança da Azure
Observação
Os sinais e deteções disponíveis dependem da configuração do cluster e dos componentes ativados.
O Microsoft Defender for Containers estende a monitorização e proteção de segurança aos clusters Amazon Elastic Kubernetes Service (EKS) para fornecer visibilidade sobre vulnerabilidades nas imagens dos contentores, atividade em tempo de execução e riscos de configuração do cluster através do Microsoft Defender para a Cloud.
Integração com a AWS
O Defender for Containers integra-se com a AWS através de um conector seguro que liga a sua conta AWS ao Microsoft Defender para a Cloud. Uma vez ligado, a solução:
- Descobre clusters EKS na sua conta AWS
- Implementa sensores de segurança leves para recolher sinais durante o tempo de execução
- Integra-se com o Amazon ECR para avaliar imagens de contentores quanto a vulnerabilidades
- Gera recomendações de segurança com base na configuração e postura observadas
- Alertas de Surface para atividades suspeitas relacionadas com cargas de trabalho do EKS
A integração foi concebida para funcionar em conjunto com os serviços de segurança AWS existentes, como AWS GuardDuty e AWS Security Hub.
Capacidades chave
O Defender for Containers oferece as seguintes funcionalidades para ambientes Amazon EKS:
-
Avaliação da vulnerabilidade de imagens de contentores para imagens armazenadas no Amazon ECR
-
Deteção, alerta e resposta de ameaças com base em sinais de execução
-
Insights sobre postura de segurança alinhadas com as melhores práticas de segurança
Observação
Os sinais e deteções disponíveis dependem da configuração do cluster e das fontes de dados habilitadas.
O Microsoft Defender for Containers estende a monitorização e proteção de segurança aos clusters do Google Kubernetes Engine (GKE) ao integrar-se com o Microsoft Defender para a Cloud.
Integração com GCP
O Defender for Containers integra-se com o Google Cloud através de um conector GCP seguro que liga os seus projetos GCP ao Microsoft Defender para a Cloud. Uma vez ligado, a solução:
- Descobre clusters GKE em projetos GCP ligados
- Liga clusters selecionados ao Azure Arc
- Implanta um sensor Defender
- Integra-se com o Google Container Registry e o Artifact Registry
- Gera recomendações de segurança
- Gera alertas para atividade suspeita
A integração foi concebida para funcionar em conjunto com funcionalidades de segurança nativas do GCP e não requer conectividade de entrada.
Capacidades chave
O Defender for Containers oferece as seguintes capacidades para ambientes GKE:
-
Avaliação da vulnerabilidade da imagem de contentores para GCR e Registo de Artefactos
-
Deteção e alerta de ameaças com base em sinais de execução
-
Insights sobre postura de segurança alinhados com as melhores práticas do Kubernetes e da GKE
Observação
Os sinais e deteções disponíveis dependem da configuração do cluster e das fontes de dados habilitadas.
O Microsoft Defender for Containers fornece monitorização e proteção de segurança para clusters Kubernetes ligados ao Azure através do Azure Arc. Isto inclui clusters Kubernetes a correr on-premises, na edge ou noutros ambientes não Azure.
O Defender for Containers no Kubernetes com Arc é gerido através do Microsoft Defender para a Cloud e depende do Kubernetes com Azure Arc para conectividade do cluster e implementação de componentes.
Integração com Azure Arc
O Defender for Containers integra-se com clusters Kubernetes habilitados por Arc, usando o Azure Arc como plano de controlo. Depois de um cluster estar ligado ao Azure Arc e o plano Containers estar ativado, Defender for Containers:
- Descobre clusters Kubernetes habilitados para Arc na subscrição
- Implementa componentes do Defender utilizando extensões do Azure Arc
- Recolhe sinais de segurança em tempo de execução de nós e cargas de trabalho Kubernetes
- Avalia configurações de cluster e carga de trabalho
- Gera recomendações e alertas de segurança no Defender para a Cloud
A integração não requer conectividade de entrada ao cluster Kubernetes. A comunicação é iniciada do cluster para o Azure através dos agentes do Azure Arc.
Observação
O Kubernetes habilitado para Arc é necessário para implementar componentes do Defender for Containers em clusters Kubernetes que não estejam a correr no Azure.
Capacidades chave
O Defender for Containers oferece as seguintes capacidades para ambientes Kubernetes com Arc:
-
Deteção e alerta de ameaças baseados em sinais de execução recolhidos de nós Kubernetes, cargas de trabalho e registos de auditoria
-
Informações sobre a postura de segurança para clusters e cargas de trabalho do Kubernetes
-
Avaliação de configuração baseada em políticas através do Azure Policy para Kubernetes
Observação
Os sinais disponíveis, deteções e avaliações de postura dependem dos componentes ativados e da configuração do cluster.
Veja a sua cobertura atual
O Defender para a Cloud fornece acesso a pastas de trabalho por meio de pastas de trabalho do Azure. Os cadernos de exercícios são relatórios personalizáveis que o ajudam a compreender a sua postura de segurança.
A pasta de trabalho de cobertura mostra quais os planos e componentes Defender para a Cloud que estão ativados nas suas subscrições e ambientes ligados.
Pricing
O Defender for Containers é apresentado como parte do Microsoft Defender para a Cloud. A fixação de preços depende dos componentes habilitados e do número de recursos protegidos.
Para detalhes de preços, consulte os preços do Microsoft Defender para a Cloud.
Conteúdo relacionado