了解適用於容器的 Microsoft Defender

  • 7 分鐘

適用於容器的 Microsoft Defender 是用來保護容器的雲端原生解決方案。

適用於容器的 Defender 功能

  • 環境強化 - 適用於容器的 Defender 可保護您的 Kubernetes 叢集,不論叢集是在 Azure Kubernetes Service、Kubernetes 內部部署/IaaS 或 Amazon EKS 上執行。 適用於容器的 Defender 會持續評估叢集,讓您掌握設定錯誤和指導方針,協助減緩已識別的威脅。

  • 弱點評量 - 弱點評量和管理工具,適用於儲存在 ACR 登錄中,並在 Azure Kubernetes Service 中執行的映像。

  • 節點和叢集的執行階段威脅防護 - 叢集和 Linux 節點的威脅防護會針對可疑活動產生安全性警示。

架構

適用於容器的 Defender 提供完整防護所需的元素架構,會視您的 Kubernetes 叢集裝載位置而有所不同。

適用於容器的 Defender 可保護您的叢集,無論叢集是在下列哪些服務上執行:

  • Azure Kubernetes Service (AKS) - Microsoft 受管理的服務,可用來開發、部署和管理容器化應用程式。

  • 連結的 Amazon Web Services (AWS) 帳戶中的 Amazon Elastic Kubernetes Service (EKS) - Amazon 在 AWS 上執行 Kubernetes 的受管理的服務,不須安裝、操作和維護您自己的 Kubernetes 控制平面或節點。

  • 非受控 Kubernetes 散發 (使用已啟用 Azure Arc 的 Kubernetes) - 裝載於內部部署或 IaaS 上的雲端原生計算基金會 (CNCF) 認證 Kubernetes 叢集。

適用於雲端的 Defender 會持續評估叢集的設定,並將其與套用至訂用帳戶的計劃比較。 適用於雲端的 Defender 找到設定錯誤時,會產生安全性建議。 使用適用於雲端的 Defender 建議頁面來檢視建議並補救問題。

針對 EKS 上的 Kubernetes 叢集,您必須透過環境設定頁面,將 AWS 帳戶連線至適用於雲端的 Microsoft Defender,如〈將 AWS 帳戶連線至適用於雲端的 Microsoft Defender〉中所述。 接著確定您已啟用 CSPM 方案。

環境強化

若要獲得保護 Kubernetes 容器工作負載的建議,請安裝適用於 Kubernetes 的 Azure 原則。 啟用適用於容器的 Defender 時,預設會啟用自動佈建。

透過 AKS 叢集上的附加元件,對 Kubernetes API 伺服器提出的每個要求根據預先定義的最佳做法集進行監控,然後保存到叢集中。 接下來,您便可透過設定來實施最佳做法,並為未來的工作負載授權採取這些做法。

例如,您可以授權禁止建立特殊權限容器,今後任何這類要求都會受到阻止。

檢視執行中映像的弱點

適用於容器的 Defender 引進由 Defender 設定檔或延伸模組提供的執行階段弱點可見度預覽功能,擴充適用於容器的 Defender 登錄方案的登錄掃描功能。

新的建議「執行中容器映像應已解決發現的弱點」只顯示執行中映像的弱點。 這項建議依賴 Defender 安全性設定檔或延伸模組來探索目前正在執行的映像。 此建議會將有弱點的執行中映像分組,並提供所發現問題的詳細資訊,以及補救方式。 Defender 設定檔或延伸模組會用來掌握易受攻擊的作用中容器。

此建議會根據 ACR 映像,顯示執行中映像及其弱點。 從非 ACR 登錄部署的映像不會加以掃描,而且會出現在 [不適用] 索引標籤中。

Kubernetes 節點和叢集的執行階段防護

適用於雲端的 Defender 可為您的容器化環境提供即時威脅防護,並針對可疑活動產生警示。 您可以使用這些資訊快速修復安全性問題並改善容器的安全性。

叢集層級的威脅防護由 Kubernetes 稽核記錄的 Defender 設定檔和分析提供。 此層級事件的範例包括公開 Kubernetes 儀表板、建立高特殊權限角色,以及建立敏感性裝載。

此外,我們的威脅偵測不只在 Kubernetes 管理層。 適用於容器的 Defender 包含主機層級威脅偵測,具有超過 60 個 Kubernetes 感知分析、AI 和異常偵測,取決於您的執行階段工作負載。 我們的全球安全性研究人員小組會持續監視威脅情況。 小組人員會在發現容器特定的警報和弱點時將其新增。 此解決方案會一起監視多雲端 Kubernetes 部署日益增多的攻擊面,並追蹤適用於容器的 MITRE ATT&CK® 矩陣。 一個由 Center for Threat-Informed Defense 與 Microsoft 和其他合作夥伴緊密合作所開發的架構。