Microsoft Defender for Containers 是一种云原生解决方案,用于增强、监视和维护容器化资产(Kubernetes 群集、节点、工作负载、注册表、映像等)及其跨本地环境的应用程序的安全性。
Defender for Containers 有助于实现容器安全性的四个核心方面:
安全状况管理 - 运行针对云 API、Kubernetes API 和 Kubernetes 工作负载的持续监视以发现云资源,提供全面的库存功能,检测配置错误并提供缓解指南,提供上下文风险评估,并让用户可通过 Microsoft Defender for Cloud 安全资源管理器来执行增强的风险搜寻功能。
漏洞评估 - 执行 容器注册表映像、运行容器和支持的 K8s 节点 的无代理漏洞评估,并遵循修正准则、零配置、每日重新扫描、OS 和语言包覆盖范围以及可利用性见解。
运行时威胁防护 - 由 Microsoft 领先的威胁情报提供支持的 Kubernetes 群集、节点和工作负载的丰富威胁检测套件,提供映射到 MITRE ATT&CK 框架,以便轻松了解风险和相关上下文以及自动响应。 安全操作员还可以通过 Microsoft Defender XDR 门户调查和响应对 Kubernetes 服务的威胁。
部署和监控 - 监控Kubernetes集群以检测缺少的传感器,并为基于传感器的功能提供无缝的大规模部署,支持标准Kubernetes监控工具,以及管理未被监控的资源。
| 方面 | 详细信息 |
|---|---|
| 发布状态: | 正式发布版 (GA) 某些功能现为预览版。 有关完整列表,请参阅 Defender for Cloud 中的容器支持矩阵 |
| 功能可用性 | 请参阅 Defender for Cloud 中的容器支持矩阵,了解有关功能版状态和可用性的其他信息 |
| 定价: | 适用于容器的 Microsoft Defender 的计费方式显示在定价页上 |
| 所需角色和权限: | * 若要部署所需的组件,请参阅每个组件的权限 * 安全管理员可以消除警报 * 安全读取者可以查看漏洞评估结果 另请参阅补救角色和Azure 容器注册表角色和权限 |
| 云: | 查看 Defender for Cloud 中的容器支持矩阵 以查看云可用性。 |
Kubernetes 的无代理发现 - 提供对 Kubernetes 群集、配置和部署的零占用的、基于 API 的发现。
无代理漏洞评估 - 为群集节点和所有容器映像提供漏洞评估,包括注册表和运行时建议、对新映像的快速扫描、每日刷新结果、可利用性见解等。 漏洞信息会添加到安全图中,以对攻击路径和搜寻功能进行上下文风险评估和计算。
- 控制平面强化 - 持续评估群集的配置,并将其与应用于订阅的计划进行比较。 当发现错误配置时,Defender for Cloud 会生成安全建议,可以在 Defender for Cloud 的建议页上查看这些建议。 可以根据这些建议调查并修正问题。
无论是在资产清单中还是在建议页面中,你都可以使用资源筛选器来查看针对容器相关资源的优秀建议:
有关此功能包含的详细信息,请查看容器建议,并查找类型为“控制平面”的建议
Kubernetes 数据平面加强 - 若要按照最佳做法建议来保护 Kubernetes 容器的工作负载,可以安装 Azure Policy for Kubernetes。 详细了解 Defender for Cloud 的监视组件。
通过为 Kubernetes 群集定义的策略,将按照预先定义的一组最佳做法监视对 Kubernetes API 服务器的每个请求,然后再将其保存到群集。 然后,你可以将其配置为强制实施最佳做法,并规定将其用于未来的工作负载。
例如,可以规定不应创建特权容器,并且阻止以后的任何请求。
可以详细了解 Kubernetes 数据平面强化。
Defender for Containers 扫描群集节点 OS 和应用程序软件,以及 Azure 容器注册表 (ACR) 和支持的外部映像注册表中的容器映像以提供无代理漏洞评估。
现在,对于 AKS 环境中的公共预览版,Defender for Containers 还会对所有正在运行的容器执行每日扫描,以提供更新的漏洞评估,这与容器的映像注册表无关。
详细了解 Defender for Containers 支持环境的漏洞评估
Defender for Containers 为受支持的容器化环境提供实时威胁防护,并针对可疑活动发出警报。 可以使用此信息快速补救安全问题,并提高容器的安全性。
在群集、节点和工作负载级别为 Kubernetes 提供威胁防护。 同时应用基于传感器的覆盖范围(需要 Defender 传感器)和基于 Kubernetes 审核日志分析的无代理覆盖范围来检测威胁。 仅针对在订阅上启用 Defender for Containers 后发生的操作和部署,才会触发安全警报。
Microsoft Defender for Containers 监控的安全事件示例包括:
- 公开的 Kubernetes 仪表板
- 高特权角色的创建
- 敏感装载的创建
有关 Defender for Containers 检测到的警报的详细信息,包括警报模拟工具,请参阅 Kubernetes 群集的警报。
Defender for Containers 包括威胁检测,并提供超过 60 项具备 Kubernetes 感知的分析、AI 和异常检测功能,这些功能是基于您的运行时工作负载实现的。
Defender for Cloud 与 Microsoft Defender XDR 进行了集成。 启用 Defender for Containers 后,安全操作员可以使用 Defender XDR 调查和响应支持的 Kubernetes 服务中的安全问题。
在以下博客中详细了解 Defender for Containers:
通过此概述性介绍,你了解了 Microsoft Defender for Cloud 容器安全性的核心元素。 若要启用该计划,请参阅:
- 启用 Defender for Containers
- 查看有关 Defender for Containers 的常见问题。