Condividi tramite


Protezione dei contenitori in Defender per il cloud

Microsoft Defender per contenitori è una soluzione nativa del cloud per migliorare, monitorare e gestire la sicurezza degli asset in contenitori (cluster Kubernetes, nodi Kubernetes, carichi di lavoro Kubernetes, registri contenitori, immagini del contenitore e altro ancora) e le relative applicazioni in ambienti multicloud e locali.

Defender per contenitori è utile in quattro domini fondamentali della sicurezza dei contenitori:

  • La gestione del comportamento di sicurezza esegue il monitoraggio continuo delle API cloud, delle API Kubernetes e dei carichi di lavoro Kubernetes per individuare le risorse cloud, offrire funzionalità di inventario complete, rilevare errori di configurazione con le linee guida per la mitigazione, fornire una valutazione dei rischi contestuale e consentire agli utenti di eseguire funzionalità avanzate di ricerca dei rischi tramite esplora sicurezza Defender per il cloud.

  • Valutazione della vulnerabilità: esegue una valutazione della vulnerabilità senza agente dei nodi K8s supportati e dei registri contenitori con linee guida per la correzione, zero configurazione, analisi giornaliere, copertura per pacchetti di sistema operativo e lingua e informazioni dettagliate sull'exploitability.

  • Protezione dalle minacce in fase di esecuzione : un gruppo avanzato di rilevamento delle minacce per cluster, nodi e carichi di lavoro Kubernetes, basato su Intelligence sulle minacce leader di Microsoft, fornisce il mapping al framework MITRE ATT&CK per comprendere facilmente i rischi e il contesto pertinente e la risposta automatica. Gli operatori di sicurezza possono anche analizzare e rispondere alle minacce ai servizi Kubernetes tramite il portale di Microsoft Defender XDR.

  • Distribuzione e monitoraggio: monitora i cluster Kubernetes per i sensori mancanti e offre una distribuzione senza attriti su larga scala per le funzionalità basate su sensori, il supporto per gli strumenti di monitoraggio Kubernetes standard e la gestione delle risorse non monitorate.

Per altre informazioni, guardare questo video della serie Defender per il cloud nel campo: Microsoft Defender per contenitori.

Disponibilità del piano Microsoft Defender per contenitori

Aspetto Dettagli
Stato della versione: Disponibilità generale (GA)
Alcune funzionalità sono in anteprima. Per un elenco completo, vedere Matrice di supporto dei contenitori in Defender per il cloud
Disponibilità di funzionalità Per altre informazioni sullo stato di rilascio e sulla disponibilità delle funzionalità, vedere la matrice di supporto dei contenitori in Defender per il cloud
Prezzi: Microsoft Defender per contenitori viene fatturato come illustrato nella pagina dei prezzi
Autorizzazioni e ruoli obbligatori: * Per distribuire i componenti necessari, vedere le autorizzazioni per ognuno dei componenti
* L'amministratore della sicurezza può ignorare gli avvisi
* Il lettore di sicurezza può visualizzare i risultati della valutazione della vulnerabilità
Vedere anche Ruoli per la correzione e Ruolo e autorizzazioni di Registro Azure Container
Cloud: Visualizzare la matrice di supporto dei contenitori in Defender per il cloud per visualizzare la disponibilità del cloud

Gestione del comportamento di sicurezza

Funzionalità senza agente

  • Individuazione senza agente per Kubernetes : offre un footprint zero, l'individuazione basata su API dei cluster, delle configurazioni e delle distribuzioni Kubernetes.

  • Valutazione della vulnerabilità senza agente: fornisce una valutazione della vulnerabilità per i nodi del cluster e per tutte le immagini del contenitore, incluse raccomandazioni per il Registro di sistema e il runtime, analisi rapide di nuove immagini, aggiornamento giornaliero dei risultati, informazioni dettagliate sull'exploit e altro ancora. Le informazioni sulla vulnerabilità vengono aggiunte al grafico della sicurezza per la valutazione del rischio contestuale e il calcolo dei percorsi di attacco e le funzionalità di ricerca.

  • Capacità di inventario esaustive Consente di esplorare risorse, pod, servizi, repository, immagini e configurazioni tramite Security Explorer per monitorare e gestire facilmente gli asset.

  • Ricerca dei rischi avanzata Consente agli amministratori della sicurezza di cercare attivamente problemi di comportamento negli asset in contenitori tramite query (predefinite e personalizzate) e informazioni dettagliate sulla sicurezza in Security Explorer

  • Protezione avanzata del piano di controllo: valuta continuamente le configurazioni dei cluster e le confronta con le iniziative applicate alle sottoscrizioni. Quando rileva errori di configurazione, Defender per il cloud genera raccomandazioni sulla sicurezza disponibili nella pagina Raccomandazioni di Defender per il cloud. Le raccomandazioni consentono di analizzare e correggere i problemi.

    È possibile usare il filtro delle risorse per esaminare le raccomandazioni in sospeso per le risorse correlate ai contenitori, sia nell'inventario delle risorse che nella pagina delle raccomandazioni:

    Per informazioni dettagliate incluse in questa funzionalità, prendere in esame le raccomandazioni sui contenitori e cercare raccomandazioni con il tipo "Piano di controllo"

Funzionalità basate su sensori

Rilevamento della deriva binaria: Defender per contenitori offre una funzionalità basata su sensori che avvisa l'utente sulle potenziali minacce alla sicurezza rilevando processi esterni non autorizzati all'interno dei contenitori. È possibile definire criteri di deriva per specificare le condizioni in cui devono essere generati gli avvisi, consentendo di distinguere tra le attività legittime e le potenziali minacce. Per altre informazioni, vedere Protezione dalla deriva binaria (anteprima).

Protezione avanzata del piano dati Kubernetes: per proteggere i carichi di lavoro dei contenitori Kubernetes con raccomandazioni sulle procedure consigliate, è possibile installare Criteri di Azure per Kubernetes. Altre informazioni sul monitoraggio dei componenti per Defender per il cloud.

Con i criteri definiti per il cluster Kubernetes, ogni richiesta al server API Kubernetes viene monitorata rispetto al set predefinito di procedure consigliate prima di essere salvato in modo permanente nel cluster. È quindi possibile configurarlo per applicare le procedure consigliate e imporle per i carichi di lavoro futuri.

Ad esempio, è possibile imporre che i contenitori con privilegi non vengano creati e che eventuali richieste future a tale scopo vengano bloccate.

Sono disponibili altre informazioni sulla protezione avanzata del piano dati Kubernetes.

Valutazione della vulnerabilità

Defender per contenitori analizza il sistema operativo del nodo del cluster e il software dell'applicazione, le immagini dei contenitori in Registro Azure Container (ACR), Amazon AWS Elastic Container Registry (ECR), Google Artifact Registry (GAR), Google Container Registry (GCR) e i registri immagini esterni supportati per fornire una valutazione della vulnerabilità senza agente.

Le informazioni sulla vulnerabilità basate sulla Gestione delle vulnerabilità di Microsoft Defender vengono aggiunte al grafico della sicurezza del cloud per il rischio contestuale, il calcolo dei percorsi di attacco e le funzionalità di ricerca.

Altre informazioni sulla valutazione della vulnerabilità per:

Registri contenitori -

Nodi del cluster -

Protezione in fase di esecuzione per i nodi e i cluster Kubernetes

Defender per contenitori fornisce protezione dalle minacce in tempo reale per gli ambienti containerizzati supportati e genera avvisi per le attività sospette. È possibile usare queste informazioni per risolvere rapidamente i problemi di sicurezza e migliorare la sicurezza dei contenitori.

La protezione dalle minacce viene fornita per Kubernetes a livello di cluster, nodo e carico di lavoro. Sia la copertura basata su sensore che richiede il sensore Defender che la copertura senza agente basata sull'analisi dei log di controllo di Kubernetes vengono usate per rilevare le minacce. Gli avvisi di sicurezza vengono attivati solo per le azioni e le distribuzioni che si verificano dopo aver abilitato Defender per contenitori nella sottoscrizione.

Esempi di eventi di sicurezza monitorati da Microsoft Defender per contenitori includono:

  • Dashboard di Kubernetes esposti
  • Creazione di ruoli con privilegi elevati
  • Creazione di montaggi sensibili

È possibile visualizzare gli avvisi di sicurezza selezionando il riquadro Avvisi di sicurezza nella parte superiore della pagina di panoramica di Defender per il cloud o il collegamento dalla barra laterale.

Gli avvisi di sicurezza per il carico di lavoro di runtime nei cluster hanno il prefisso del K8S.NODE_ tipo di avviso. Per un elenco completo degli avvisi a livello di cluster, vedere la tabella di riferimento degli avvisi.

Defender per contenitori include il rilevamento delle minacce con oltre 60 funzionalità di analisi, intelligenza artificiale e rilevamento anomalie di Kubernetes in base al carico di lavoro di runtime.

Defender per il cloud monitora la superficie di attacco delle distribuzioni Kubernetes multi-cloud basate sulla matrice MITRE ATT&CK® per contenitori, un framework sviluppato dal Center for Threat-Informed Defense in stretta collaborazione con Microsoft.

Defender per il cloud è integrato con Microsoft Defender XDR. Quando Defender per contenitori è abilitato, gli operatori di sicurezza possono usare Defender XDR per analizzare e rispondere ai problemi di sicurezza nei servizi Kubernetes supportati.

Altre informazioni

Altre informazioni su Defender per contenitori sono disponibili nei blog seguenti:

Passaggi successivi

In questa panoramica sono stati illustrati gli elementi principali della sicurezza dei contenitori in Microsoft Defender per il cloud. Per abilitare il piano, vedere: