Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
重要
注意:所有 Microsoft Defender for Cloud 功能将在 2026 年 8 月 18 日,中国地区的 Azure 中正式停用,按照世纪互联发布的公告。
容器Microsoft Defender是一种云原生解决方案,可增强、监视和维护容器化资产的安全性。 这些资产包括 Kubernetes 群集、节点、工作负载、注册表、映像等。 它在本地环境范围内跨越以保护应用程序。
Defender 容器安全可帮助你实现容器安全的四个核心领域:
安全状况管理 会持续监视云 API、Kubernetes API 和 Kubernetes 工作负载。 它发现云资源、提供全面的清单功能、检测使用缓解准则的错误配置、提供上下文风险评估,并让用户能够通过Defender for Cloud安全资源管理器执行增强的风险搜寻功能。
漏洞评估 - 使用修正准则、零配置、每日重新扫描、OS 和语言包覆盖范围以及可利用性见解执行 容器注册表映像、运行容器和支持的 Kubernetes 节点 的无代理漏洞评估。 漏洞查找项目使用Microsoft证书进行签名,用于完整性和真实性,并与注册表中的容器映像相关联,以满足验证需求。
运行时威胁防护 部署和监控 - 监控Kubernetes集群以检测缺少的传感器,并为基于传感器的功能提供无缝的大规模部署,支持标准Kubernetes监控工具,以及管理未被监控的资源。
安全态势管理
无代理功能
Kubernetes 的无代理发现 - 提供对 Kubernetes 群集、配置和部署的零占用的、基于 API 的发现。
无代理漏洞评估 - 为群集节点和所有容器映像提供漏洞评估,包括注册表和运行时建议、对新映像的快速扫描、每日刷新结果、可利用性见解等。 漏洞信息会添加到安全图中,以对攻击路径和搜寻功能进行上下文风险评估和计算。
- 控制平面强化 - 持续评估群集的配置,并将其与应用于订阅的计划进行比较。 当发现配置错误时,Defender for Cloud会生成Defender for Cloud“建议”页上提供的安全建议。 可以根据这些建议调查并修正问题。
无论是在资产清单中还是在建议页面中,你都可以使用资源筛选器来查看针对容器相关资源的优秀建议:
有关此功能包含的详细信息,请查看容器建议,并查找类型为“控制平面”的建议
基于传感器的功能
Kubernetes 数据平面强化 - 若要通过最佳做法建议保护 Kubernetes 容器的工作负载,可以安装 kubernetes 的 Azure Policy。 详细了解 Defender for Cloud 的监控组件。
通过为 Kubernetes 群集定义的策略,将按照预先定义的一组最佳做法监视对 Kubernetes API 服务器的每个请求,然后再将其保存到群集。 然后,你可以将其配置为强制实施最佳做法,并规定将其用于未来的工作负载。
例如,可以规定不应创建特权容器,并且阻止以后的任何请求。
可以详细了解 Kubernetes 数据平面强化。
漏洞评估
Defender for Containers 扫描群集节点的操作系统和应用程序软件、Azure 容器注册表(ACR)中的容器映像,以及支持的外部映像注册表,提供无代理的漏洞评估。
现在,对于 AKS 环境中的公开预览,Defender for Containers 还会对所有正在运行的容器执行每日扫描,以提供更新的漏洞评估报告,与容器的镜像注册表无关。
了解 Defender for Containers 所支持环境中的漏洞评估
面向 Kubernetes 节点和群集的运行时保护
容器Defender为支持的容器化环境提供实时威胁防护并为可疑活动生成警报。 可以使用此信息快速补救安全问题,并提高容器的安全性。
在群集、节点和工作负载级别为 Kubernetes 提供威胁防护。 两种覆盖方式用于检测威胁:一种是需要Defender传感器的基于传感器的覆盖,另一种是基于对 Kubernetes 审核日志的分析的无代理覆盖。 只有在您为订阅启用容器防护者之后才会对发生的操作和部署触发安全警报。
运行时检测示例
Containers Microsoft Defender 监控的安全事件示例包括:
- 公开的 Kubernetes 仪表板
- 高特权角色的创建
- 敏感装载的创建
有关 Defender for Containers 检测到的警报的详细信息(包括警报模拟工具),请参阅 Kubernetes 群集的 alerts。
适用于容器的 Defender 包括威胁检测,其中包含针对 Kubernetes 的超过 60 项分析、AI 和基于运行时工作负载的异常检测。
Defender for Cloud与 Microsoft Defender XDR进行集成。 启用容器Defender后,安全操作员可以使用 Defender XDR 调查和响应支持的 Kubernetes 服务中的安全问题。
Microsoft维护的容器映像
容器Defender部署容器映像,这些映像由Microsoft作为运行时保护组件的一部分进行维护和更新。 这些映像发布到Microsoft容器注册表(MCR)。
客户不会直接修改或修补这些映像。 Microsoft在Defender for Containers发布流程中维护和更新它们。
以下映像由容器运行时保护组件Defender使用:
| 图像 | Purpose | MCR 路径 |
|---|---|---|
security-publisher |
发布从 Kubernetes 环境收集的安全发现 | mcr.microsoft.com/azuredefender/stable/security-publisher |
low-level-collector |
从 Kubernetes 节点收集低级运行时遥测数据 | mcr.microsoft.com/azuredefender/stable/low-level-collector |
pod-collector |
收集用于威胁检测的 Kubernetes Pod 运行时数据 | mcr.microsoft.com/azuredefender/stable/pod-collector |
anti-malware-collector |
收集容器工作负载的恶意软件检测信号 | mcr.microsoft.com/azuredefender/stable/anti-malware-collector |
old-file-cleaner |
在初始化工作流过程中清理临时文件和过时文件 | mcr.microsoft.com/azuredefender/stable/old-file-cleaner |
audit-logs-enabler |
启动兼容环境的审核日志收集(例如,本地群集) | mcr.microsoft.com/azuredefender/stable/audit-logs-enabler |
defender-admission-controller |
为 Kubernetes 工作负荷强制实施运行时限制策略 | mcr.microsoft.com/mdc/prd/defender-admission-controller |
更新是通过您的环境使用的部署机制进行传递的。 例如:
- 使用 AKS 加载项进行部署时,更新将通过 AKS 发布生命周期传递。
- 使用 Helm 部署时,更新将通过更新的图表版本在 30 天内发布。
如果您在 Microsoft 维护的 Defender 映像中检测到漏洞,请提交 Azure 支持请求,并包括映像名称、标签和 CVE 标识符。
了解详细信息
在以下博客中了解有关容器Defender的详细信息:
后续步骤
在本概述中,你了解了Microsoft Defender for Cloud中容器安全性的核心元素。 若要启用该计划,请参阅:
- 启用适用于容器的 Defender
- 查看关于Defender for Containers的常见问题。