Översikt över containerskydd i Defender för molnet
Microsoft Defender för containrar är en molnbaserad lösning för att förbättra, övervaka och upprätthålla säkerheten för dina containerbaserade tillgångar (Kubernetes-kluster, Kubernetes-noder, Kubernetes-arbetsbelastningar, containerregister, containeravbildningar med mera) och deras program i miljöer med flera moln och lokalt.
Defender for Containers hjälper dig med fyra kärndomäner för containersäkerhet:
Hantering av säkerhetsstatus – utför kontinuerlig övervakning av moln-API:er, Kubernetes-API:er och Kubernetes-arbetsbelastningar för att identifiera molnresurser, tillhandahålla omfattande inventeringsfunktioner, identifiera felkonfigurationer och tillhandahålla riktlinjer för att minimera dem, tillhandahålla kontextuell riskbedömning och ge användarna möjlighet att utföra förbättrade riskjaktfunktioner via Defender for Cloud Security Explorer.
Sårbarhetsbedömning – ger agentlös sårbarhetsbedömning för Azure, AWS och GCP med riktlinjer för reparation, noll konfiguration, dagliga genomsökningar, täckning för OS- och språkpaket och insikter om sårbarhet.
Skydd mot körningshot – en omfattande svit för hotidentifiering för Kubernetes-kluster, noder och arbetsbelastningar, som drivs av Microsofts ledande hotinformation, tillhandahåller mappning till MITRE ATT&CK-ramverket för enkel förståelse av risker och relevant kontext, automatiserat svar och SIEM/XDR-integrering.
Distribution och övervakning – Övervakar dina Kubernetes-kluster för saknade sensorer och tillhandahåller friktionsfri distribution i stor skala för sensorbaserade funktioner, stöd för kubernetes-standardövervakningsverktyg och hantering av oövervakade resurser.
Du kan lära dig mer genom att titta på den här videon från videoserien Defender för molnet i fältet: Microsoft Defender för containrar.
Tillgänglighet för Microsoft Defender for Containers
| Aspekt | Details |
|---|---|
| Versionstillstånd: | Allmän tillgänglighet (GA) Vissa funktioner är i förhandsversion. En fullständig lista finns i Stödmatrisen för containrar i Defender för molnet |
| Funktion tillgänglig | Mer information om funktionsversionstillstånd och tillgänglighet finns i stödmatrisen Containrar i Defender för molnet . |
| Prissättning: | Microsoft Defender för containrar faktureras enligt prissidan |
| Nödvändiga roller och behörigheter: | • Information om hur du distribuerar nödvändiga komponenter finns i behörigheterna för var och en av komponenterna • Säkerhetsadministratören kan stänga aviseringar • Säkerhetsläsaren kan visa sårbarhetsbedömningsresultat Se även Roller för reparations- och Azure Container Registry-roller och -behörigheter |
| Moln: | Visa stödmatrisen Containrar i Defender för molnet för att se molntillgänglighet. |
Hantering av säkerhetsstatus
Agentlösa funktioner
Agentlös identifiering för Kubernetes – ger noll fotavtryck, API-baserad identifiering av dina Kubernetes-kluster, deras konfigurationer och distributioner.
Utvärdering av agentlös sårbarhet – ger sårbarhetsbedömning för alla containeravbildningar, inklusive rekommendationer för register och körning, snabbsökningar av nya avbildningar, daglig uppdatering av resultat, insikter om sårbarhet med mera. Sårbarhetsinformation läggs till i säkerhetsdiagrammet för kontextuell riskbedömning och beräkning av attackvägar och jaktfunktioner.
Omfattande inventeringsfunktioner – gör att du kan utforska resurser, poddar, tjänster, lagringsplatser, avbildningar och konfigurationer via säkerhetsutforskaren för att enkelt övervaka och hantera dina tillgångar.
Förbättrad riskjakt – gör det möjligt för säkerhetsadministratörer att aktivt söka efter hållningsproblem i sina containerbaserade tillgångar via frågor (inbyggda och anpassade) och säkerhetsinsikter i säkerhetsutforskaren
Härdning av kontrollplan – utvärderar kontinuerligt konfigurationerna för dina kluster och jämför dem med de initiativ som tillämpas på dina prenumerationer. När den hittar felkonfigurationer genererar Defender för molnet säkerhetsrekommendationer som är tillgängliga på sidan Rekommendationer för Defender för molnet. Med rekommendationerna kan du undersöka och åtgärda problem.
Du kan använda resursfiltret för att granska de utestående rekommendationerna för dina containerrelaterade resurser, oavsett om de finns i tillgångslager eller på sidan med rekommendationer:
Mer information om den här funktionen finns i containerrekommendationer och leta efter rekommendationer med typen "Kontrollplan"
Sensorbaserade funktioner
Identifiering av binär avdrift – Defender for Containers ger en sensorbaserad funktion som varnar dig om potentiella säkerhetshot genom att identifiera obehöriga externa processer i containrar. Du kan definiera driftprinciper för att ange villkor under vilka aviseringar ska genereras, vilket hjälper dig att skilja mellan legitima aktiviteter och potentiella hot. Mer information finns i Binärt driftskydd (förhandsversion).
Kubernetes dataplanshärdning – För att skydda arbetsbelastningarna för dina Kubernetes-containrar med rekommenderade metodtips kan du installera Azure Policy for Kubernetes. Läs mer om att övervaka komponenter för Defender för molnet.
Med tillägget i kubernetes-klustret övervakas varje begäran till Kubernetes API-servern mot den fördefinierade uppsättningen metodtips innan den sparas i klustret. Du kan sedan konfigurera den för att tillämpa bästa praxis och ge dem mandat för framtida arbetsbelastningar.
Du kan till exempel kräva att privilegierade containrar inte ska skapas och eventuella framtida begäranden om detta blockeras.
Du kan lära dig mer om Kubernetes dataplanshärdning.
Sårbarhetsbedömning
Defender for Containers söker igenom containeravbildningarna i Azure Container Registry (ACR), Amazon AWS Elastic Container Registry (ECR), Google Artifact Registry (GAR) och Google Container Registry (GCR) för att tillhandahålla agentlös sårbarhetsbedömning för dina containeravbildningar, inklusive register- och körningsrekommendationer, reparationsvägledning, snabbsökningar av nya avbildningar, insikter om verkliga kryphål, insikter om sårbarheter med mera.
Sårbarhetsinformation som drivs av Upravljanje ranjivostima za Microsoft Defender läggs till i molnsäkerhetsdiagrammet för kontextuell risk, beräkning av attackvägar och jaktfunktioner.
Läs mer om:
- Sårbarhetsbedömningar för Azure med Upravljanje ranjivostima za Microsoft Defender
- Sårbarhetsbedömningar för AWS med Upravljanje ranjivostima za Microsoft Defender
- Sårbarhetsbedömningar för GCP med Upravljanje ranjivostima za Microsoft Defender
Körningsskydd för Kubernetes-noder och -kluster
Defender for Containers ger skydd mot hot i realtid för containerbaserade miljöer som stöds och genererar aviseringar för misstänkta aktiviteter. Du kan använda den här informationen för att snabbt åtgärda säkerhetsproblem och förbättra säkerheten för dina containrar.
Hotskydd tillhandahålls för Kubernetes på klusternivå, nodnivå och arbetsbelastningsnivå och innehåller både sensorbaserad täckning som kräver Defender-sensorn och agentlös täckning som baseras på analys av Kubernetes-granskningsloggarna. Säkerhetsaviseringar utlöses endast för åtgärder och distributioner som inträffar när du har aktiverat Defender för containrar i din prenumeration.
Exempel på säkerhetshändelser som Övervakare av Microsoft Defenders for Containers är:
- Exponerade Kubernetes-instrumentpaneler
- Skapa högprivilegierade roller
- Skapande av känsliga monteringar
Du kan visa säkerhetsaviseringar genom att välja panelen Säkerhetsaviseringar överst på Översiktssidan för Defender för molnet eller länken från sidofältet.
Sidan säkerhetsaviseringar öppnas:
Säkerhetsaviseringar för körningsarbetsbelastning i klustren kan identifieras av prefixet K8S.NODE_ för aviseringstypen. En fullständig lista över aviseringar på klusternivå finns i referenstabellen med aviseringar.
Defender for Containers innehåller även hotidentifiering på värdnivå med över 60 Kubernetes-medvetna analys-, AI- och avvikelseidentifieringar baserat på din körningsarbetsbelastning.
Defender for Cloud övervakar attackytan för Kubernetes-distributioner i flera moln baserat på MITRE ATT&CK-matrisen® för containrar, ett ramverk som utvecklats av Center for Threat-Informed Defense i nära samarbete med Microsoft.
Läs mer
Läs mer om Defender för containrar i följande bloggar:
Nästa steg
I den här översikten har du lärt dig om kärnelementen i containersäkerhet i Microsoft Defender för molnet. Information om hur du aktiverar planen finns i:
- Aktivera Defender för containrar
- Läs vanliga frågor om Defender för containrar.