Comprendre le fonctionnement de Microsoft Defender pour les conteneurs
Microsoft Defender pour les conteneurs est une solution native cloud dédiée à la sécurisation de vos conteneurs.
Fonctionnalités de Defender pour les conteneurs
Renforcement de la sécurité de l’environnement : Defender pour les conteneurs protège vos clusters Kubernetes, qu’ils s’exécutent sur Azure Kubernetes Service, Kubernetes localement / IaaS ou Amazon EKS. En évaluant les clusters en continu, Defender pour les conteneurs offre une visibilité sur les mauvaises configurations et fournit des recommandations sur la façon d’atténuer les menaces identifiées.
Évaluation des vulnérabilités - Outils d’évaluation et de gestion des vulnérabilités pour les images stockées dans les registres ACR et s’exécutant dans Azure Kubernetes Service.
Protection contre les menaces au moment de l’exécution pour les nœuds et les clusters - La protection contre les menaces pour les clusters et les nœuds Linux génère des alertes de sécurité en cas d’activités suspectes.
Architecture
L’architecture des éléments nécessaires pour la gamme complète des protections fournies par Defender pour les conteneurs varie en fonction de l’emplacement où vos clusters Kubernetes sont hébergés.
Defender pour les conteneurs protège vos clusters s’ils s’exécutent dans :
Azure Kubernetes Service (AKS) - Service managé de Microsoft conçu pour le développement, le déploiement et la gestion d’applications conteneurisées.
Amazon Elastic Kubernetes Service (EKS) dans un compte Amazon Web Services (AWS) connecté - Service managé d’Amazon permettant d’exécuter Kubernetes sur AWS sans avoir à installer, utiliser et gérer votre propre plan de contrôle ou vos propres nœuds Kubernetes.
Une distribution Kubernetes non managée (à l’aide de Kubernetes avec Azure Arc) - Clusters Kubernetes certifiés CNCF (Cloud Native Computing Foundation) hébergés localement ou sur IaaS.
Defender pour le cloud évalue en permanence les configurations de vos clusters et les compare aux initiatives appliquées à vos abonnements. Quand il détecte des configurations incorrectes, Defender pour le cloud génère des recommandations de sécurité. Accédez à la page des recommandations de Defender pour le cloud pour lire les suggestions et corriger les problèmes.
Pour les clusters Kubernetes sur EKS, vous devez connecter votre compte AWS à Microsoft Defender pour le cloud via la page des paramètres d’environnement (comme indiqué dans Connecter vos comptes AWS à Microsoft Defender pour le cloud). Vérifiez ensuite que vous avez activé le plan CSPM.
Durcissement des environnements
Pour recevoir un bundle de recommandations visant à protéger les charges de travail de vos conteneurs Kubernetes, installez Azure Policy pour Kubernetes. Par défaut, le provisionnement automatique est activé quand vous activez Defender pour les conteneurs.
Avec le module complémentaire sur votre cluster AKS, chaque demande adressée au serveur d’API Kubernetes est analysée par rapport à l’ensemble prédéfini de bonnes pratiques, avant d’être conservée sur le cluster. Vous pouvez ensuite configurer la mise en œuvre des meilleures pratiques et les imposer aux charges de travail futures.
Par exemple, vous pouvez interdire la création de conteneurs privilégiés, et faire en sorte que toutes les demandes ultérieures soient bloquées.
Afficher les vulnérabilités pour les images en cours d’exécution
Defender pour les conteneurs étend les fonctionnalités d’analyse du registre du plan Defender pour les registres de conteneurs en introduisant la fonctionnalité en préversion de visibilité des vulnérabilités au moment de l’exécution avec le profil Defender, ou une extension.
La nouvelle recommandation, « Les résultats de l’analyse des vulnérabilités doivent être résolus pour exécuter des images conteneurs », affiche uniquement les vulnérabilités des images en cours d’exécution. La recommandation s’appuie sur le profil de sécurité Defender ou l’extension pour détecter les images en cours d’exécution. Cette recommandation regroupe les images en cours d’exécution qui présentent des vulnérabilités, et fournit des détails sur les problèmes détectés et la manière de les corriger. Le profil Defender ou l’extension est utilisé pour identifier les conteneurs vulnérables qui sont actifs.
Cette recommandation montre les images en cours d’exécution et leurs vulnérabilités en fonction des images ACR. Les images déployées à partir d’un registre non ACR ne sont pas analysées. Elles apparaissent sous l’onglet Non applicable.
Protection à l’exécution pour les nœuds et les clusters Kubernetes
Defender pour le cloud fournit une protection contre les menaces en temps réel pour vos environnements conteneurisés, et génère des alertes en cas d’activités suspectes. Vous pouvez utiliser ces informations pour remédier rapidement aux problèmes de sécurité et améliorer la sécurité de vos conteneurs.
La protection contre les menaces au niveau du cluster est fournie par le profil Defender et l’analyse des journaux d’audit Kubernetes. Les tableaux de bord Kubernetes exposés, la création de rôles dotés de privilèges élevés et la création de montages sensibles sont des exemples d’événements à ce niveau.
De plus, notre détection des menaces va au-delà de la couche de gestion Kubernetes. Defender pour les conteneurs inclut la détection des menaces au niveau de l’hôte avec plus de 60 détections prenant en charge Kubernetes et basées sur l’analytique, l’IA ainsi que la détection d’anomalie en fonction de votre charge de travail d’exécution. Notre équipe mondiale de chercheurs en sécurité effectue en permanence un monitoring du paysage des menaces. Ils ajoutent des alertes et des vulnérabilités propres aux conteneurs au fur et à mesure de leur découverte. Cette solution effectue un monitoring de la surface d’attaque croissante des déploiements multiclouds de Kubernetes et un suivi de la matrice MITRE ATT&CK® pour les conteneurs. Framework développé par le Center for Threat-Informed Defense en partenariat étroit avec Microsoft et d’autres partenaires.