Übersicht: Containerschutz in Defender for Cloud

Microsoft Defender for Containers ist eine cloudnative Lösung zum Verbessern, Überwachen und Verwalten der Sicherheit Ihrer containerisierten Ressourcen (Kubernetes-Cluster, Kubernetes-Knoten, Kubernetes-Workloads, Containerregistrierungen, Containerimages und vieles mehr) und deren Anwendungen in Multi-Cloud- und lokalen Umgebungen.

Defender for Containers unterstützt Sie in vier Kernbereichen der Containersicherheit:

  • Verwaltung des Sicherheitsstatus: führt eine kontinuierliche Überwachung von Cloud-APIs, Kubernetes-APIs und Kubernetes-Workloads zur Ermittlung von Cloudressourcen durch, stellt umfassende Bestandsfunktionen bereit, erkennt Fehlkonfigurationen und bietet Richtlinien zu deren Behebung, stellt eine kontextbezogene Risikobewertung bereit und ermöglicht Benutzer*innen das Ausführen erweiterter Funktionen zur Risikosuche über den Defender for Cloud-Sicherheits-Explorer.

  • Sicherheitsrisikobewertung: bietet ohne Konfiguration eine Sicherheitsrisikobewertung ohne Agents für Azure, AWS und GCP mit Richtlinien zur Wartung bzw. Behebung von Problemen, tägliche erneute Überprüfungen, Abdeckung für Betriebssystem- und Sprachpakete sowie Erkenntnisse zur Ausnutzbarkeit.

  • Laufzeitbedrohungsschutz: eine umfangreiche, von der führenden Threat Intelligence von Microsoft unterstützte Suite für die Bedrohungserkennung für Cluster, Knoten und Workloads von Kubernetes, die eine Zuordnung zum MITRE ATT&CK-Framework bietet, um ein einfaches Verständnis der Risiken und des relevanten Kontexts, automatisierter Reaktionen und der SIEM/XDR-Integration zu ermöglichen

  • Bereitstellung und Überwachung: überwacht Ihre Kubernetes-Cluster auf fehlende Sensoren, ermöglicht die reibungslose Bereitstellung von sensorbasierten Funktionen im großen Stil und bietet Unterstützung für standardmäßige Kubernetes-Überwachungstools sowie die Verwaltung von nicht überwachten Ressourcen.

Sie können mehr erfahren, indem Sie sich dieses Video aus der Videoserie „Defender für Cloud im Einsatz“ ansehen: Microsoft Defender für Container.

Verfügbarkeit des Microsoft Defender für Container-Plans

Aspekt Details
Status des Release: Allgemeine Verfügbarkeit (General Availability, GA)
Bestimmte Features befinden sich in der Vorschauphase. Eine vollständige Liste finden Sie in der Unterstützungsmatrix für Containerfunktionen in Defender for Cloud.
Verfügbarkeit von Funktionen Weitere Informationen zum Status und zur Verfügbarkeit von Featurereleases finden Sie in der Unterstützungsmatrix für Containerfunktionen in Defender for Cloud.
Preise: Microsoft Defender für Container wird gemäß den Angaben auf der Seite Preise abgerechnet.
Erforderliche Rollen und Berechtigungen: • Informationen zum Bereitstellen der erforderlichen Komponenten finden Sie in den Berechtigungen für jede der Komponenten.
• Der Sicherheitsadministrator kann Warnungen verwerfen
Sicherheitsleseberechtigter kann die Ergebnisse der Schwachstellenbewertung anzeigen
Weitere Informationen finden Sie auch unter Rollen für Abhilfemaßnahmen und Azure Container Registry-Rollen und -Berechtigungen.
Clouds: Informationen zur Cloudverfügbarkeit finden Sie in der Unterstützungsmatrix für Containerfunktionen in Defender for Cloud.

Sicherheitsstatusverwaltung

Funktionen ohne Agent

  • Ermittlung ohne Agents für Kubernetes: Bietet eine API-basierte Ermittlung ohne Speicherbedarf für Ihre Kubernetes-Cluster sowie für die zugehörigen Konfigurationen und Bereitstellungen.

  • Agentlose Sicherheitsrisikobewertung: bietet eine Sicherheitsrisikobewertung für alle Containerimages, einschließlich Empfehlungen für Registrierung und Laufzeit, schnelle Scans neuer Images, tägliche Aktualisierung von Ergebnissen, Erkenntnisse zur Ausnutzbarkeit und vieles mehr. Sicherheitsrisikeninformationen werden dem Sicherheitsdiagramm für kontextbezogene Risikobewertung und Berechnung von Angriffspfaden und Suchfunktionen hinzugefügt.

  • Umfassende Bestandsfunktionen: Ermöglicht es Ihnen, Ressourcen, Pods, Dienste, Repositorys, Images und Konfigurationen über den Sicherheits-Explorer zu erkunden, um Ihre Ressourcen mühelos zu überwachen und zu verwalten.

  • Erweiterte Risikosuche: Ermöglicht es Sicherheitsadministrator*innen, mithilfe von (integrierten und benutzerdefinierten) Abfragen sowie über Einblicke in die Sicherheit im Sicherheits-Explorer aktiv nach Statusproblemen in ihren containerisierten Ressourcen zu suchen.

  • Härten der Steuerungsebene: Bewertet kontinuierlich die Konfigurationen Ihrer Cluster und vergleicht sie mit den Initiativen, die auf Ihre Abonnements angewendet wurden. Wenn Defender für Cloud Fehlkonfigurationen feststellt, generiert es Sicherheitsempfehlungen, die auf der Seite „Empfehlungen“ von Defender für Cloud verfügbar sind. Die Empfehlungen ermöglichen Ihnen, Probleme zu untersuchen und zu beheben.

    Sie können den Ressourcenfilter verwenden, um die ausstehenden Empfehlungen für Ihre containerbezogenen Ressourcen zu überprüfen, egal ob im Ressourcenbestand oder auf der Seite „Empfehlungen“:

    Screenshot: Position des Ressourcenfilters.

    Ausführliche Informationen zu dieser Funktion finden Sie unter Containerempfehlungen. Suchen Sie nach Empfehlungen mit dem Typ „Steuerungsebene“.

Sensorbasierte Funktionen

Binäre Drifterkennung – Defender für Container bietet eine sensorbasierte Funktion, die Sie über potenzielle Sicherheitsbedrohungen informiert, indem nicht autorisierte externe Prozesse innerhalb von Containern erkannt werden. Sie können Driftrichtlinien definieren, um Bedingungen anzugeben, unter denen Warnungen generiert werden sollen, wodurch Sie zwischen legitimen Aktivitäten und potenziellen Bedrohungen unterscheiden können. Weitere Informationen finden Sie unter Binärer Driftschutz (Vorschau).

Härten der Kubernetes-Datenebene: Um die Workloads Ihrer Kubernetes-Container mit Empfehlungen zu bewährten Methoden zu schützen, können Sie Azure Policy für Kubernetes installieren. Weitere Informationen zur Überwachung von Komponenten für Defender for Cloud.

Wenn das Add-On in Ihrem Kubernetes-Cluster installiert ist, wird jede Anforderung an den Kubernetes-API-Server anhand der vordefinierten bewährten Methoden überwacht, bevor sie im Cluster persistent gespeichert wird. Anschließend können Sie das Erzwingen der bewährten Methoden konfigurieren und so verpflichtend auf zukünftige Workloads anwenden.

Beispielsweise können Sie festlegen, dass keine privilegierten Container erstellt und zukünftige Anforderungen für diese Aktion blockiert werden.

Sie können mehr über die Härtung der Kubernetes-Datenebene erfahren.

Sicherheitsrisikobewertung

Defender for Containers überprüft die Containerimages in Azure Container Registry (ACR), Amazon AWS Elastic Container Registry (ECR), Google Artifact Registry (GAR) und Google Container Registry (GCR), um eine Sicherheitsrisikobewertung ohne Agents für Ihre Containerimages bereitzustellen, die Registrierungs- und Laufzeitempfehlungen, Anleitungen zur Wartung bzw. Behebung von Problemen, die schnelle Überprüfung neuer Images, Erkenntnisse zu Exploits aus der Praxis sowie zur Ausnutzbarkeit usw. umfasst.

Mit der Unterstützung von Microsoft Defender Vulnerability Management ermittelte Informationen zu Sicherheitsrisiken werden dem Cloudsicherheitsdiagramm hinzugefügt, um Funktionen für die kontextbezogene Risikobewertung, die Berechnung von Angriffspfaden und Hunting bereitzustellen.

Weitere Informationen zu:

Laufzeitschutz für Kubernetes-Knoten und -Cluster

Microsoft Defender for Containers bietet einen Echtzeit-Bedrohungsschutz für unterstützte Containerumgebungen und generiert Warnungen für verdächtige Aktivitäten. Mit diesen Informationen können Sie schnell Sicherheitsprobleme lösen und die Sicherheit Ihrer Container verbessern.

Bedrohungsschutz wird für Kubernetes auf Cluster-, Knoten- und Workloadebene bereitgestellt und umfasst sowohl die sensorbasierte Abdeckung, für die der Defender-Sensor erforderlich ist, als auch die Abdeckung ohne Agent, die auf der Analyse der Kubernetes-Überwachungsprotokolle basiert. Sicherheitswarnungen werden nur für Aktionen und Bereitstellungen ausgelöst, die vorgenommen werden, nachdem Sie Defender for Containers für Ihr Abonnement aktiviert haben.

Hier finden Sie einige Beispiele sicherheitsrelevanter Ereignisse, die von Microsoft Defender for Containers überwacht werden:

  • Verfügbar gemachte Kubernetes-Dashboards
  • Erstellung stark privilegierter Rollen
  • Erstellung sensibler Bereitstellungen

Sie können Sicherheitswarnungen anzeigen, indem Sie die Kachel „Sicherheitswarnungen“ oben auf der Übersichtsseite von Defender for Cloud den Link „Sicherheitswarnungen“ in der Randleiste auswählen.

Screenshot: Navigieren zur Seite „Sicherheitswarnungen“ auf der Übersichtsseite von Microsoft Defender for Cloud.

Die Seite „Sicherheitswarnungen“ wird geöffnet:

Screenshot: Anzeigen der Liste mit Warnungen.

Sicherheitswarnungen für die Laufzeitworkload in den Clustern können durch das Präfix K8S.NODE_ des Warnungstyps erkannt werden. Eine vollständige Liste der Warnungen auf Clusterebene finden Sie in der Referenztabelle der Warnungen.

Defender for Containers umfasst Bedrohungserkennung auf Hostebene mit mehr als 60 Kubernetes-fähigen Analysen, KI- und Anomalieerkennungen auf der Grundlage ihrer Laufzeitworkload.

Defender for Cloud überwacht die Angriffsfläche von Kubernetes-Multicloudbereitstellungen basierend auf der MITRE ATT&CK®-Matrix für Container, ein Framework, das vom Center for Threat-Informed Defense in enger Partnerschaft mit Microsoft entwickelt wurde.

Weitere Informationen

Erfahren Sie mehr über Defender für Container in den folgenden Blogs:

Nächste Schritte

In dieser Übersicht haben Sie die wichtigsten Elemente der Containersicherheit in Microsoft Defender für Cloud kennengelernt. Informationen zum Aktivieren des Plans finden Sie unter: