適用於雲端的 Defender 中的容器保護
適用於容器的 Microsoft Defender 是一種雲端原生解決方案,可改善、監視和維護容器化資產 (Kubernetes 叢集、Kubernetes 節點、Kubernetes 工作負載、容器登錄、容器映像等等) 的安全性,以及其跨多雲端和內部部署環境之應用程式的安全性。
適用於容器的 Defender 可協助您處理容器安全性的四個核心領域:
安全性狀態管理會持續監視雲端 API、Kubernetes API 和 Kubernetes 工作負載,以探索雲端資源、提供完整的清查功能、使用風險降低指導方針偵測錯誤設定、提供內容風險評估,以及讓使用者透過 適用於雲端的 Defender 安全性總管執行增強的風險搜捕功能。
弱點評估 - 使用補救指導方針、零設定、每日重新掃描、操作系統和語言套件涵蓋範圍,以及惡意探索深入解析,對支援的 K8s 節點和容器登錄執行無代理程式弱點評估。
運行時間威脅防護 - 適用於 Kubernetes 叢集、節點和工作負載的豐富威脅偵測套件,由Microsoft領先的威脅情報所提供,可提供 MITRE ATT&CK 架構的對應,以輕鬆了解風險和相關內容,以及自動化回應。 安全性操作員也可以透過 Microsoft Defender 全面偵測回應 入口網站調查及回應 Kubernetes 服務的威脅。
部署和監視 - 監視您的 Kubernetes 叢集是否遺漏感應器,並為感應器型功能提供順暢無礙的大規模部署、提供標準 Kubernetes 監視工具的支援,以及提供未受監視資源的管理。
您可以觀看現場影片系列中適用於雲端的 Defender 的這個影片來深入了解:適用於容器的 Microsoft Defender。
適用於容器的 Microsoft Defender 方案可用性
| 層面 | 詳細資料 |
|---|---|
| 版本狀態: | 公開上市 (GA) 某些功能處於預覽狀態。 如需完整清單,請參閱適用於雲端的 Defender 中的容器支援矩陣 (部分機器翻譯) |
| 功能可用性 | 如需功能發行狀態和可用性的其他資訊,請參閱 適用於雲端的 Defender 中的容器支援矩陣 |
| 定價: | 適用於容器的 Microsoft Defender 的計費方式如定價頁面所示 |
| 必要的角色和權限: | * 若要部署必要的元件,請參閱 每個元件的許可權 * 安全性管理員可以 關閉警示 * 安全性讀取者 可以檢視弱點評估結果 另請參閱用於補救的角色 (部分機器翻譯) 以及 Azure Container Registry 角色和權限 (部分機器翻譯) |
| 雲端: | 檢視 適用於雲端的 Defender 中的容器支援矩陣,以查看雲端可用性 |
安全性狀態管理
無代理程式功能
Kubernetes 的無代理程式探索 - 提供 Kubernetes 叢集、組態和部署的零使用量、API 型探索。
無代理程式弱點評估 - 提供叢集節點和所有容器映像的弱點評估,包括登錄和運行時間的建議、新映射的快速掃描、結果的每日重新整理、惡意探索深入解析等等。 弱點資訊會新增至安全性圖表,以進行內容風險評量、攻擊路徑的計算和搜捕功能。
完整的清查功能 - 可讓您透過安全性總管探索資源、Pod、服務、存放庫、映像和設定,以輕鬆監視和管理您的資產。
增強式風險搜捕 - 可讓安全性系統管理員透過安全性總管中的查詢 (內建和自訂) 和安全性深入解析來主動搜捕容器化資產中的態勢問題
控制平面強化 - 持續評量叢集的設定,並將其與套用至訂用帳戶的方案進行比較。 當發現設定錯誤時,適用於雲端的 Defender 會產生適用於雲端的 Defender 建議頁面上可用的安全性建議。 建議可讓您調查和補救問題。
您可以使用資源篩選來檢閱容器相關資源的未處理建議,無論是資產清查或建議頁面:
感應器型功能
二進位漂移偵測 - 適用於容器的 Defender 提供感測器型功能,藉由偵測容器內未經授權的外部進程來警示您潛在的安全性威脅。 您可以定義漂移原則來指定應該產生警示的條件,協助您區分合法活動與潛在威脅。 如需詳細資訊,請參閱 二進位漂移保護 (預覽)。
Kubernetes 資料平面強化 - 若要使用最佳做法建議來保護 Kubernetes 容器的工作負載,您可以安裝適用於 Kubernetes 的 Azure 原則。 深入了解適用於雲端的 Microsoft Defender 的監視元件。
針對 Kubernetes 叢集所定義的原則,Kubernetes API 伺服器的每個要求都會針對預先定義的最佳做法集進行監視,再保存到叢集。 接下來,您便可加以設定來實施最佳做法,並為未來的工作負載授權採取這些做法。
例如,您可以要求不得建立具特殊權限的容器,而且未來任何相同的要求都會遭到封鎖。
您可以深入了解 Kubernetes 資料平面強化。
弱點評估
適用於容器的 Defender 會掃描叢集節點 OS 和應用程式軟體、Azure Container Registry (ACR)、Amazon AWS Elastic Container Registry (ECR)、Google Artifact Registry (GAR)、Google Container Registry (GCR)和支援 的外部映射登錄 ,以提供無代理程式弱點評估。
由 Microsoft Defender 弱點管理提供的弱點資訊會新增至雲端安全性圖表,以進行內容風險評量、攻擊路徑的計算和搜捕功能。
深入瞭解下列專案的弱點評估:
容器登錄 -
- 使用 Microsoft Defender 弱點管理進行 Azure 的弱點評量 (部分機器翻譯)
- 使用 Microsoft Defender 弱點管理進行 AWS 的弱點評量 (部分機器翻譯)
- 使用 Microsoft Defender 弱點管理進行 GCP 的弱點評量 (部分機器翻譯)
叢集節點 -
Kubernetes 節點和叢集的執行階段防護
適用於容器的 Defender 可為受支援的容器化環境提供即時威脅防護,並針對可疑活動產生警示。 您可以使用這些資訊快速修復安全性問題並改善容器的安全性。
針對叢集、節點和工作負載層級的 Kubernetes 提供威脅防護。 這兩個感測器型涵蓋範圍都需要 Defender 感測器,以及以 Kubernetes 稽核記錄分析為基礎的無代理程式涵蓋範圍,都會用來偵測威脅。 安全性警示只會針對您在訂閱上啟用適用於容器的 Defender 之後發生的動作和部署觸發。
適用於容器的 Microsoft Defender 監視的安全性事件範例包括:
- 公開的 Kubernetes 儀表板
- 建立高特殊權限角色
- 建立敏感性掛接
您可以選取適用於雲端的 Defender [概觀] 頁面頂端的 [安全性警示] 圖格或從提要欄位中的連結來檢視安全性警示。
叢集中運行時間工作負載的安全性警示具有 K8S.NODE_ 警示類型前置詞。 如需叢集層級警示的完整清單,請參閱警示的參考資料表。
適用於容器的 Defender 包含 60 個以上 Kubernetes 感知分析、AI 和以運行時間工作負載為基礎的異常偵測威脅偵測。
適用於雲端的 Defender 會根據適用於容器的 MITRE ATT&CK® 矩陣 (由 Center for Threat-Informed Defense 與 Microsoft 密切合作所開發的架構) 監視多雲端 Kubernetes 部署的受攻擊面。
適用於雲端的 Defender 與 Microsoft Defender 全面偵測回應整合。 啟用適用於容器的 Defender 時,安全性操作員可以使用 Defender XDR 來調查及回應 支援的 Kubernetes 服務中的安全性問題。
深入了解
在下列部落格中,深入了解適用於容器的 Defender:
下一步
在此概觀中,您已了解適用於雲端的 Microsoft Defender 中容器安全性的核心元素。 若要啟用方案,請參閱:
- 啟用適用於容器的 Defender
- 請參閱適用於容器的 Defender 常見問題 (部分機器翻譯)。