Panoramica- Protezione dei contenitori in Defender per il cloud

Microsoft Defender per contenitori è una soluzione nativa del cloud per migliorare, monitorare e gestire la sicurezza degli asset in contenitori (cluster Kubernetes, nodi Kubernetes, carichi di lavoro Kubernetes, registri contenitori, immagini del contenitore e altro ancora) e le relative applicazioni in ambienti multicloud e locali.

Defender per contenitori è utile in quattro domini fondamentali della sicurezza dei contenitori:

  • Gestione della postura di sicurezza: esegue il monitoraggio continuo delle API cloud, delle API Kubernetes e dei carichi di lavoro Kubernetes per individuare le risorse cloud, offrire funzionalità di inventario complete, rilevare errori di configurazione e fornire linee guida per attenuarle, fornire una valutazione contestuale dei rischi e consentire agli utenti di eseguire funzionalità avanzate di ricerca dei rischi tramite esplora sicurezza Defender per il cloud.

  • Valutazione della vulnerabilità: fornisce una valutazione della vulnerabilità senza agente per Azure, AWS e GCP con linee guida per la correzione, zero configurazione, analisi giornaliere, copertura per pacchetti di sistema operativo e lingua e informazioni dettagliate sull'exploit.

  • Protezione dalle minacce in fase di esecuzione: un gruppo avanzato di rilevamento delle minacce per cluster, nodi e carichi di lavoro Kubernetes, basato su Intelligence sulle minacce leader di Microsoft, fornisce il mapping al framework MITRE ATT&CK per comprendere facilmente i rischi e il contesto pertinente, la risposta automatizzata e l'integrazione SIEM/XDR.

  • Distribuzione e monitoraggio: monitora i cluster Kubernetes per i sensori mancanti e offre una distribuzione senza attriti su larga scala per le funzionalità basate su sensori, il supporto per gli strumenti di monitoraggio Kubernetes standard e la gestione delle risorse non monitorate.

Per altre informazioni, guardare questo video della serie Defender per il cloud nel campo: Microsoft Defender per contenitori.

Disponibilità del piano Microsoft Defender per contenitori

Aspetto Dettagli
Stato della versione: Disponibilità generale (GA)
Alcune funzionalità sono in anteprima. Per un elenco completo, vedere Matrice di supporto dei contenitori in Defender per il cloud
Disponibilità di funzionalità Per altre informazioni sullo stato e sulla disponibilità delle funzionalità, vedere la Matrice di supporto dei contenitori in Defender per il cloud.
Prezzi: Microsoft Defender per contenitori viene fatturato come illustrato nella pagina dei prezzi
Autorizzazioni e ruoli obbligatori: • Per distribuire i componenti necessari, vedere le autorizzazioni per ognuno dei componenti
• Il ruolo Amministratore della sicurezza può ignorare gli avvisi
• Il ruolo con autorizzazioni di lettura per la sicurezza è in grado di visualizzare i risultati della valutazione della vulnerabilità
Vedere anche Ruoli per la correzione e Ruolo e autorizzazioni di Registro Azure Container
Cloud: Vedere Matrice di supporto dei contenitori in Defender per il cloud per visualizzare la disponibilità del cloud.

Gestione del comportamento di sicurezza

Funzionalità senza agente

  • Individuazione senza agente per Kubernetes: offre un footprint zero, l'individuazione basata su API dei cluster Kubernetes, le relative configurazioni e distribuzioni.

  • Valutazione della vulnerabilità senza agente: fornisce una valutazione della vulnerabilità per tutte le immagini del contenitore, incluse le raccomandazioni per il Registro di sistema e il runtime, analisi rapide di nuove immagini, aggiornamento giornaliero dei risultati, informazioni dettagliate sull'exploit e altro ancora. Le informazioni sulla vulnerabilità vengono aggiunte al grafico della sicurezza per la valutazione del rischio contestuale e il calcolo dei percorsi di attacco e le funzionalità di ricerca.

  • Capacità di inventario esaustive Consente di esplorare risorse, pod, servizi, repository, immagini e configurazioni tramite Security Explorer per monitorare e gestire facilmente gli asset.

  • Ricerca dei rischi avanzata Consente agli amministratori della sicurezza di cercare attivamente problemi di comportamento negli asset in contenitori tramite query (predefinite e personalizzate) e informazioni dettagliate sulla sicurezza in Security Explorer

  • Protezione avanzata del piano di controllo: valuta continuamente le configurazioni dei cluster e le confronta con le iniziative applicate alle sottoscrizioni. Quando rileva errori di configurazione, Defender per il cloud genera raccomandazioni sulla sicurezza disponibili nella pagina Raccomandazioni di Defender per il cloud. Le raccomandazioni consentono di analizzare e correggere i problemi.

    È possibile usare il filtro delle risorse per esaminare le raccomandazioni in sospeso per le risorse correlate ai contenitori, sia nell'inventario delle risorse che nella pagina delle raccomandazioni:

    Screenshot che mostra dove si trova il filtro delle risorse.

    Per informazioni dettagliate incluse in questa funzionalità, prendere in esame le raccomandazioni sui contenitori e cercare raccomandazioni con il tipo "Piano di controllo"

Funzionalità basate su sensori

Rilevamento della deriva binaria: Defender per contenitori offre una funzionalità basata su sensori che avvisa l'utente sulle potenziali minacce alla sicurezza rilevando processi esterni non autorizzati all'interno dei contenitori. È possibile definire criteri di deriva per specificare le condizioni in cui devono essere generati gli avvisi, consentendo di distinguere tra le attività legittime e le potenziali minacce. Per altre informazioni, vedere Protezione dalla deriva binaria (anteprima).

Protezione avanzata del piano dati Kubernetes: per proteggere i carichi di lavoro dei contenitori Kubernetes con raccomandazioni sulle procedure consigliate, è possibile installare Criteri di Azure per Kubernetes. Altre informazioni sul monitoraggio dei componenti per Defender per il cloud.

Con il componente aggiuntivo nel cluster Kubernetes, ogni richiesta al server API Kubernetes viene monitorata rispetto al set predefinito di procedure consigliate prima di essere salvato in modo permanente nel cluster. È quindi possibile configurarlo per applicare le procedure consigliate e imporle per i carichi di lavoro futuri.

Ad esempio, è possibile imporre che i contenitori con privilegi non vengano creati e che eventuali richieste future a tale scopo vengano bloccate.

Sono disponibili altre informazioni sulla protezione avanzata del piano dati Kubernetes.

Valutazione della vulnerabilità

Defender per contenitori analizza le immagini dei contenitori in Registro Azure Container (ACR), Amazon AWS Elastic Container Registry (ECR), Google Artifact Registry (GAR) e Google Container Registry (GCR) per fornire una valutazione della vulnerabilità senza agente per le immagini del contenitore, tra cui raccomandazioni relative al registro e al runtime, indicazioni sulla correzione, analisi rapide di nuove immagini, informazioni dettagliate sugli exploit reali, informazioni dettagliate sulla sfruttabilità e altro ancora.

Le informazioni sulla vulnerabilità basate sulla Gestione delle vulnerabilità di Microsoft Defender vengono aggiunte al grafico della sicurezza del cloud per il rischio contestuale, il calcolo dei percorsi di attacco e le funzionalità di ricerca.

Altre informazioni su:

Protezione in fase di esecuzione per i nodi e i cluster Kubernetes

Defender per contenitori fornisce protezione dalle minacce in tempo reale per gli ambienti containerizzati supportati e genera avvisi per le attività sospette. È possibile usare queste informazioni per risolvere rapidamente i problemi di sicurezza e migliorare la sicurezza dei contenitori.

La protezione dalle minacce viene fornita per Kubernetes a livello di cluster, a livello di nodo e a livello di carico di lavoro e include sia la copertura basata su sensori che richiede il sensore Defender che la copertura senza agente basata sull'analisi dei log di controllo di Kubernetes. Gli avvisi di sicurezza vengono attivati solo per le azioni e le distribuzioni che si verificano dopo aver abilitato Defender per contenitori nella sottoscrizione.

Esempi di eventi di sicurezza monitorati da Microsoft Defender per contenitori includono:

  • Dashboard di Kubernetes esposti
  • Creazione di ruoli con privilegi elevati
  • Creazione di montaggi sensibili

È possibile visualizzare gli avvisi di sicurezza selezionando il riquadro Avvisi di sicurezza nella parte superiore della pagina di panoramica di Defender per il cloud o il collegamento dalla barra laterale.

Screenshot che mostra come accedere alla pagina degli avvisi di sicurezza dalla pagina di panoramica di Microsoft Defender per il cloud.

Verrà visualizzata la pagina degli avvisi di sicurezza:

Screenshot che mostra dove visualizzare l'elenco degli avvisi.

Gli avvisi di sicurezza per il carico di lavoro di runtime nei cluster sono riconoscibili dal prefisso K8S.NODE_ del tipo di avviso. Per un elenco completo degli avvisi a livello di cluster, vedere la tabella di riferimento degli avvisi.

Defender per contenitori include anche il rilevamento delle minacce a livello di host con oltre 60 funzionalità di analisi, intelligenza artificiale e rilevamento anomalie di Kubernetes in base al carico di lavoro di runtime.

Defender per il cloud monitora la superficie di attacco delle distribuzioni Kubernetes multi-cloud basate sulla matrice MITRE ATT&CK® per contenitori, un framework sviluppato dal Center for Threat-Informed Defense in stretta collaborazione con Microsoft.

Altre informazioni

Altre informazioni su Defender per contenitori sono disponibili nei blog seguenti:

Passaggi successivi

In questa panoramica sono stati illustrati gli elementi principali della sicurezza dei contenitori in Microsoft Defender per il cloud. Per abilitare il piano, vedere: