Visão geral - Proteção de contêiner no Defender for Cloud

O Microsoft Defender for Containers é uma solução nativa da nuvem para melhorar, monitorar e manter a segurança de seus ativos em contêineres (clusters Kubernetes, nós Kubernetes, cargas de trabalho Kubernetes, registros de contêineres, imagens de contêiner e muito mais) e seus aplicativos, em ambientes multicloud e locais.

O Defender for Containers ajuda você com quatro domínios principais de segurança de contêineres:

  • Gerenciamento de postura de segurança - realiza monitoramento contínuo de APIs de nuvem, APIs do Kubernetes e cargas de trabalho do Kubernetes para descobrir recursos de nuvem, fornecer recursos de inventário abrangentes, detetar configurações incorretas e fornecer diretrizes para mitigá-las, fornecer avaliação de risco contextual e capacitar os usuários a executar recursos aprimorados de caça ao risco por meio do explorador de segurança do Defender for Cloud.

  • Avaliação de vulnerabilidades - fornece avaliação de vulnerabilidade sem agente para Azure, AWS e GCP com diretrizes de correção, configuração zero, verificações diárias, cobertura para pacotes de SO e idiomas e insights de exploração.

  • Proteção contra ameaças em tempo de execução - um pacote avançado de deteção de ameaças para clusters, nós e cargas de trabalho do Kubernetes, alimentado pela inteligência de ameaças líder da Microsoft, fornece mapeamento para a estrutura MITRE ATT&CK para fácil compreensão do risco e do contexto relevante, resposta automatizada e integração SIEM/XDR.

  • Implantação e monitoramento- Monitora seus clusters Kubernetes em busca de sensores ausentes e fornece implantação em escala sem atrito para recursos baseados em sensores, suporte para ferramentas de monitoramento padrão do Kubernetes e gerenciamento de recursos não monitorados.

Para saber mais, assista a este vídeo da série de vídeos Defender for Cloud in the Field: Microsoft Defender for Containers.

Disponibilidade do plano do Microsoft Defender para contentores

Aspeto Detalhes
Estado de lançamento: Disponibilidade geral (GA)
Alguns recursos estão em visualização. Para obter uma lista completa, consulte a matriz de suporte de contêineres no Defender for Cloud
Disponibilidade de caraterísticas Consulte a matriz de suporte de contêineres no Defender for Cloud para obter informações adicionais sobre o estado e a disponibilidade da liberação do recurso.
Preços: O Microsoft Defender for Containers é cobrado conforme mostrado na página de preços
Funções e permissões necessárias: • Para implantar os componentes necessários, consulte as permissões para cada um dos componentes
• O administrador de segurança pode ignorar alertas
• O leitor de segurança pode visualizar os resultados da avaliação de vulnerabilidades
Consulte também Funções para correção e funções e permissões do Registro de Contêiner do Azure
Nuvens: Veja a matriz de suporte de contêineres no Defender for Cloud para ver a disponibilidade da nuvem.

Gestão da postura de segurança

Recursos sem agente

  • Descoberta sem agente para Kubernetes - fornece descoberta baseada em API de zero pegada de seus clusters Kubernetes, suas configurações e implantações.

  • Avaliação de vulnerabilidade sem agente - fornece avaliação de vulnerabilidade para todas as imagens de contêiner, incluindo recomendações para registro e tempo de execução, verificações rápidas de novas imagens, atualização diária de resultados, insights de exploração e muito mais. As informações de vulnerabilidade são adicionadas ao gráfico de segurança para avaliação contextual de risco e cálculo de caminhos de ataque e recursos de caça.

  • Recursos abrangentes de inventário - permite que você explore recursos, pods, serviços, repositórios, imagens e configurações através do security explorer para monitorar e gerenciar facilmente seus ativos.

  • Caça ao risco aprimorada - permite que os administradores de segurança procurem ativamente problemas de postura em seus ativos em contêineres por meio de consultas (internas e personalizadas) e informações de segurança no security explorer

  • Endurecimento do plano de controle - avalia continuamente as configurações de seus clusters e as compara com as iniciativas aplicadas às suas assinaturas. Quando encontra configurações incorretas, o Defender for Cloud gera recomendações de segurança que estão disponíveis na página Recomendações do Defender for Cloud. As recomendações permitem-lhe investigar e corrigir problemas.

    Você pode usar o filtro de recursos para revisar as recomendações pendentes para seus recursos relacionados ao contêiner, seja no inventário de ativos ou na página de recomendações:

    Captura de tela mostrando onde o filtro de recursos está localizado.

    Para obter detalhes incluídos com esse recurso, revise as recomendações do contêiner e procure recomendações com o tipo "Plano de controle"

Capacidades baseadas em sensores

Deteção de desvio binário - O Defender for Containers fornece um recurso baseado em sensores que alerta sobre possíveis ameaças à segurança, detetando processos externos não autorizados dentro de contêineres. Você pode definir políticas de desvio para especificar as condições sob as quais os alertas devem ser gerados, ajudando a distinguir entre atividades legítimas e ameaças potenciais. Para obter mais informações, consulte Proteção contra desvio binário (visualização).

Proteção do plano de dados do Kubernetes - Para proteger as cargas de trabalho de seus contêineres do Kubernetes com recomendações de práticas recomendadas, você pode instalar a Política do Azure para Kubernetes. Saiba mais sobre o monitoramento de componentes do Defender for Cloud.

Com o complemento em seu cluster Kubernetes, cada solicitação para o servidor de API do Kubernetes é monitorada em relação ao conjunto predefinido de práticas recomendadas antes de ser persistida no cluster. Em seguida, você pode configurá-lo para aplicar as práticas recomendadas e impô-las para cargas de trabalho futuras.

Por exemplo, você pode exigir que contêineres privilegiados não sejam criados e quaisquer solicitações futuras para fazer isso sejam bloqueadas.

Você pode saber mais sobre a proteção do plano de dados do Kubernetes.

Avaliação de vulnerabilidades

O Defender for Containers verifica as imagens de contêiner no Azure Container Registry (ACR), no Amazon AWS Elastic Container Registry (ECR), no Google Artifact Registry (GAR) e no Google Container Registry (GCR) para fornecer uma avaliação de vulnerabilidade sem agente para suas imagens de contêiner, incluindo recomendações de registro e tempo de execução, orientação de correção, varreduras rápidas de novas imagens, insights de exploração do mundo real, insights de exploração e muito mais.

As informações de vulnerabilidade fornecidas pelo Microsoft Defender Vulnerability Management são adicionadas ao gráfico de segurança na nuvem para risco contextual, cálculo de caminhos de ataque e recursos de caça.

Saiba mais sobre:

Proteção em tempo de execução para nós e clusters do Kubernetes

O Defender for Containers fornece proteção contra ameaças em tempo real para ambientes em contêineres suportados e gera alertas para atividades suspeitas. Pode utilizar estas informações para remediar rapidamente problemas de segurança e aumentar a segurança dos contentores.

A proteção contra ameaças é fornecida para o Kubernetes no nível de cluster, no nível do nó e no nível da carga de trabalho e inclui cobertura baseada em sensor que requer o sensor Defender e cobertura sem agente baseada na análise dos logs de auditoria do Kubernetes. Os alertas de segurança só são acionados para ações e implantações que ocorrem depois que você ativou o Defender for Containers em sua assinatura.

Exemplos de eventos de segurança que o Microsoft Defenders for Containers monitora incluem:

  • Painéis do Kubernetes expostos
  • Criação de papéis altamente privilegiados
  • Criação de suportes sensíveis

Você pode visualizar alertas de segurança selecionando o bloco Alertas de segurança na parte superior da página de visão geral do Defender for Cloud ou o link na barra lateral.

Captura de ecrã a mostrar como aceder à página de alertas de segurança a partir da página de descrição geral do Microsoft Defender for Cloud.

A página de alertas de segurança abre:

Captura de ecrã a mostrar-lhe onde visualizar a lista de alertas.

Os alertas de segurança para carga de trabalho em tempo de execução nos clusters podem ser reconhecidos pelo prefixo K8S.NODE_ do tipo de alerta. Para obter uma lista completa dos alertas de nível de cluster, consulte a tabela de referência de alertas.

O Defender for Containers também inclui deteção de ameaças no nível do host com mais de 60 análises com reconhecimento de Kubernetes, IA e deteções de anomalias com base em sua carga de trabalho de tempo de execução.

O Defender for Cloud monitora a superfície de ataque de implantações de Kubernetes multicloud com base na matriz MITRE ATT&CK® for Containers, uma estrutura desenvolvida pelo Center for Threat-Informed Defense em estreita parceria com a Microsoft.

Mais informações

Saiba mais sobre o Defender for Containers nos seguintes blogs:

Próximos passos

Nesta visão geral, você aprendeu sobre os principais elementos da segurança de contêiner no Microsoft Defender for Cloud. Para habilitar o plano, consulte: