Containersäkerhet i Microsoft Defender för containrar

  • 5 minuter

Microsoft Defender för containrar är en molnbaserad lösning för att förbättra, övervaka och upprätthålla säkerheten för dina containerbaserade tillgångar (Kubernetes-kluster, Kubernetes-noder, Kubernetes-arbetsbelastningar, containerregister, containeravbildningar med mera) och deras program i miljöer med flera moln och lokalt.

Defender for Containers hjälper dig med fyra kärndomäner för containersäkerhet:

  • Hantering av säkerhetsstatus – utför kontinuerlig övervakning av moln-API:er, Kubernetes-API:er och Kubernetes-arbetsbelastningar för att identifiera molnresurser, tillhandahålla omfattande inventeringsfunktioner, identifiera felkonfigurationer och tillhandahålla riktlinjer för att minimera dem, tillhandahålla kontextuell riskbedömning och ge användarna möjlighet att utföra förbättrade riskjaktfunktioner via Defender for Cloud Security Explorer.
  • Sårbarhetsbedömning – ger agentlös sårbarhetsbedömning för Azure, AWS och GCP med riktlinjer för reparation, noll konfiguration, dagliga genomsökningar, täckning för OS- och språkpaket och insikter om sårbarhet.
  • Skydd mot körningshot – en omfattande svit för hotidentifiering för Kubernetes-kluster, noder och arbetsbelastningar, som drivs av Microsofts ledande hotinformation, tillhandahåller mappning till MITRE ATT&CK-ramverket för enkel förståelse av risker och relevant kontext, automatiserat svar och SIEM(Security Information and Event Management)/XDR-integrering (Extended Detection and Response).
  • Distribution & övervakning – Övervakar dina Kubernetes-kluster för saknade agenter och möjliggör en friktionsfri distribution i stor skala av agentbaserade funktioner, stöd för standardövervakningsverktyg för Kubernetes och hantering av resurser utan övervakning.

Tillgänglighet för Microsoft Defender for Containers-plan

Aspekt Detaljer
Versionstillstånd: Allmän tillgänglighet (GA)
Vissa funktioner är i förhandsversion. En fullständig lista finns i Stödmatrisen för containrar i Defender för molnet
Tillgänglighet av funktioner Mer information om funktionsversionstillstånd och tillgänglighet finns i stödmatrisen Containrar i Defender för molnet.
Prissättning: Microsoft Defender för containrar faktureras enligt prissidan
Nödvändiga roller och behörigheter: • Information om hur du distribuerar nödvändiga komponenter finns i behörigheterna för var och en av komponenterna
• Säkerhetsadministratören kan stänga aviseringar
• Säkerhetsläsaren kan visa sårbarhetsbedömningsresultat
Se även Roller för åtgärder och Azure Container Registry-roller och behörigheter
Moln: Visa stödmatrisen Containrar i Defender för molnet för att se molntillgänglighet.

Säkerhetslägehantering

Agentlösa funktioner

  • Agentlös identifiering för Kubernetes – ger noll fotavtryck, API-baserad identifiering av dina Kubernetes-kluster, deras konfigurationer och distributioner.
  • Utvärdering av agentlös sårbarhet – ger sårbarhetsbedömning för alla containeravbildningar, inklusive rekommendationer för register och körning, snabbsökningar av nya avbildningar, daglig uppdatering av resultat, insikter om sårbarhet med mera. Sårbarhetsinformation läggs till i säkerhetsdiagrammet för kontextuell riskbedömning och beräkning av attackvägar och jaktfunktioner.
  • Omfattande inventeringsfunktioner – gör att du kan utforska resurser, poddar, tjänster, lagringsplatser, avbildningar och konfigurationer via säkerhetsutforskaren för att enkelt övervaka och hantera dina tillgångar.
  • Förbättrad riskjakt – gör det möjligt för säkerhetsadministratörer att aktivt söka efter hållningsproblem i sina containerbaserade tillgångar via frågor (inbyggda och anpassade) och säkerhetsinsikter i säkerhetsutforskaren
  • Härdning av kontrollplan – utvärderar kontinuerligt konfigurationerna för dina kluster och jämför dem med de initiativ som tillämpas på dina prenumerationer. När den hittar felkonfigurationer genererar Defender för molnet säkerhetsrekommendationer som är tillgängliga på sidan Rekommendationer för Defender för molnet. Med rekommendationerna kan du undersöka och åtgärda problem.

Du kan använda resursfiltret för att granska de utestående rekommendationerna för dina containerrelaterade resurser, oavsett om de finns i tillgångslager eller på sidan med rekommendationer:

Skärmbild som visar ett exempel på hur du använder resursfiltret för att granska de utestående rekommendationerna.

Anmärkning

Mer information om den här funktionen finns i avsnittet för containrar i rekommendationernas referenstabell, och sök efter rekommendationer av typen "kontrollplanen".

Agentbaserade funktioner

Kubernetes dataplanshärdning – För att skydda arbetsbelastningarna för dina Kubernetes-containrar med rekommenderade metodtips kan du installera Azure Policy for Kubernetes. Läs mer om att övervaka komponenter för Defender för molnet.

Med tillägget i din Kubernetes-kluster kontrolleras varje begäran till Kubernetes API-servern mot en fördefinierad uppsättning av bästa praxis innan den sparas i klustret. Du kan sedan konfigurera den för att tillämpa bästa praxis och ge dem mandat för framtida arbetsbelastningar.

Du kan till exempel kräva att privilegierade containrar inte ska skapas och eventuella framtida begäranden om detta blockeras.

Sårbarhetsbedömning

Defender for Containers söker igenom containeravbildningarna i Azure Container Registry (ACR), Amazon AWS Elastic Container Registry (ECR), Google Artifact Registry (GAR) och Google Container Registry (GCR) för att tillhandahålla agentlös sårbarhetsbedömning för dina containeravbildningar, inklusive register- och körningsrekommendationer, reparationsvägledning, snabbsökningar av nya avbildningar, insikter om verkliga kryphål, insikter om sårbarheter med mera.

Sårbarhetsinformation som drivs av Microsoft Defender Vulnerability Management läggs till i molnsäkerhetsdiagrammet för kontextuell risk, beräkning av attackvägar och jaktfunktioner.

Det finns två lösningar för sårbarhetsbedömning i Azure, en som drivs av Microsoft Defender Vulnerability Management och en som drivs av Qualys.

Körningsskydd för Kubernetes-noder och -kluster

Defender for Containers ger skydd mot hot i realtid för containerbaserade miljöer som stöds och genererar aviseringar för misstänkta aktiviteter. Du kan använda den här informationen för att snabbt åtgärda säkerhetsproblem och förbättra säkerheten för dina containrar.

Hotskydd tillhandahålls för Kubernetes på klusternivå, nodnivå och arbetsbelastningsnivå och omfattar både agentbaserad täckning som kräver Defender-agenten och agentlös täckning som baseras på analys av Kubernetes-granskningsloggarna. Säkerhetsaviseringar utlöses endast för åtgärder och distributioner som inträffar när du har aktiverat Defender för containrar i din prenumeration.

  • Exempel på säkerhetshändelser som Microsoft Defenders for Containers övervakar inkluderar:
  • Exponerade Kubernetes-instrumentpaneler
  • Skapa högprivilegierade roller

Tillverkning av känsliga fästen

Du kan visa säkerhetsaviseringar genom att välja panelen Säkerhetsaviseringar överst på Översiktssidan för Defender för molnet eller länken från sidofältet.

Skärmbild som visar ett exempel på hur du visar säkerhetsaviseringar på översiktssidan för Defender för molnet.

Sidan säkerhetsaviseringar öppnas:

Skärmbild som visar ett exempel på hur du visar säkerhetsaviseringar för arbetsbelastningen vid körning i klustren.

Säkerhetsaviseringar för körningsarbetsbelastning i klustren kan identifieras av Kubernetes K8S. NODE_ prefix för aviseringstypen.

Defender for Containers innehåller även hotidentifiering på värdnivå med över 60 Kubernetes-anpassade analyser, AI och avvikelseupptäckter baserat på din körbelastning i realtid.