適用於容器的 Microsoft Defender 中的容器安全性
適用於容器的 Microsoft Defender 是一種雲端原生解決方案,可改善、監視和維護容器化資產的安全性(Kubernetes 叢集、Kubernetes 節點、Kubernetes 工作負載、容器登錄、容器映像等等),以及多雲端和內部部署環境上的應用程式。
適用於容器的 Defender 可協助您處理容器安全性的四個核心領域:
- 安全性態勢管理 - 針對雲端 API、Kubernetes API 和 Kubernetes 工作負載執行持續性監視,以探索雲端資源、提供完整的清查功能、偵測錯誤設定並提供降低風險的指導方針、提供內容風險評量,以及讓使用者透過適用於雲端的 Defender 的安全性總管來執行增強式風險搜捕功能。
- 弱點評量 - 為 Azure、AWS 和 GCP 提供無代理程式弱點評量,並提供補救指導方針、零設定、每日重新掃描、OS 和語言套件涵蓋範圍,以及可擅用性深入解析。
- 執行階段威脅防護 - 適用於 Kubernetes 叢集、節點和工作負載的豐富威脅偵測套件,由 Microsoft 先進的威脅情報所提供,可對應至 MITRE ATT&CK 架構,輕鬆了解風險和相關內容、自動化回應以及安全性資訊與事件管理 (SIEM)/延伸偵測與回應 (XDR) 整合。
- 部署和監視 - 監視您的 Kubernetes 叢集是否有遺漏的代理程式,並提供代理程式型功能的大規模順暢部署、標準 Kubernetes 監視工具的支援,以及管理未受監視的資源。
適用於容器的 Microsoft Defender 方案可用性
| 層面 | 詳細資料 |
|---|---|
| 版本狀態: | 公開上市 (GA) 某些功能處於預覽狀態。 如需完整清單,請參閱適用於雲端的 Defender 中的容器支援矩陣 (部分機器翻譯) |
| 功能可用性 | 如需有關功能發行狀態和可用性的其他資訊,請參閱適用於雲端的 Defender 中的容器支援矩陣 (部分機器翻譯)。 |
| 定價: | 適用於容器的 Microsoft Defender 的計費方式如定價頁面所示 |
| 必要的角色和權限: | • 若要部署必要的元件,請參閱每個元件的權限 • 安全性管理員可以關閉警示 • 安全性讀取者可以檢視弱點評量結果 另請參閱用於補救的角色 (部分機器翻譯) 以及 Azure Container Registry 角色和權限 (部分機器翻譯) |
| 雲端: | 請檢視適用於雲端的 Defender 中的容器支援矩陣 (部分機器翻譯),以查看雲端可用性。 |
安全性狀態管理
無代理程式功能
- Kubernetes 的無代理程式探索 - 針對 Kubernetes 叢集及其設定和部署提供零足跡、API 型的探索。
- 無代理程式弱點評量 - 提供所有容器映像的弱點評量,包括登錄和執行階段的建議、新映像的快速掃描、每日重新整理結果、可擅用性深入解析等等。 弱點資訊會新增至安全性圖表,以進行內容風險評量、攻擊路徑的計算和搜捕功能。
- 完整的清查功能 - 可讓您透過安全性總管探索資源、Pod、服務、存放庫、映像和設定,以輕鬆監視和管理資產。
- 增強的風險搜捕 - 可讓安全性管理員透過安全性總管中的查詢 (內建和自訂) 和安全性深入解析,主動搜捕容器化資產中的態勢問題
- 控制平面強化 - 持續評量叢集的設定,並將其與套用至訂用帳戶的方案進行比較。 當發現設定錯誤時,適用於雲端的 Defender 會產生適用於雲端的 Defender 建議頁面上可用的安全性建議。 建議可讓您調查和補救問題。
您可以使用資源篩選來檢閱容器相關資源的未處理建議,無論是資產清查或建議頁面:
注意
如需這項功能所包含的詳細資料,請查看建議參考資料表的容器區段,並尋找類型為「控制平面」的建議
代理程式型功能
Kubernetes 資料平面強化 - 若要使用最佳做法建議來保護 Kubernetes 容器的工作負載,您可以安裝適用於 Kubernetes 的 Azure 原則。 深入了解適用於雲端的 Microsoft Defender 的監視元件。
透過 Kubernetes 叢集上的附加元件,Kubernetes API 伺服器會針對預先定義的最佳做法來監視每個要求,再將其保存到叢集。 接下來,您便可加以設定來實施最佳做法,並為未來的工作負載授權採取這些做法。
例如,您可以授權禁止建立特殊權限容器,今後任何這類要求都會受到阻止。
弱點評估
適用於容器的 Defender 會掃描 Azure Container Registry (ACR)、Amazon AWS Elastic Container Registry (ECR)、Google Artifact Registry (GAR)和 Google Container Registry (GCR) 中的容器映像,以提供容器映像的無代理程式弱點評量,包括登錄和執行階段建議、補救指引、新映像的快速掃描、真實世界惡意探索深入解析、可擅用性深入解析等等。
Microsoft Defender 弱點管理所提供的弱點資訊會新增至內容風險的雲端安全性圖表、攻擊路徑的計算,以及搜捕功能。
Azure 中有兩個弱點評估解決方案,一個由 Microsoft Defender 弱點管理提供,另一個由 Qualys 提供。
Kubernetes 節點和叢集的執行階段防護
適用於容器的 Defender 可為受支援的容器化環境提供即時威脅防護,並針對可疑活動產生警示。 您可以使用這些資訊快速修復安全性問題並改善容器的安全性。
針對叢集層級、節點層級和工作負載層級的 Kubernetes 提供威脅防護,包含需要 Defender 代理程式的代理程式涵蓋範圍,以及以 Kubernetes 稽核記錄分析為基礎的無代理程式涵蓋範圍。 安全性警示只會針對您在訂閱上啟用適用於容器的 Defender 之後發生的動作和部署觸發。
- 適用於容器的 Microsoft Defender 監視的安全性事件範例包括:
- 公開的 Kubernetes 儀表板
- 建立高特殊權限角色
建立敏感性掛接
您可以選取適用於雲端的 Defender 概觀頁面頂端的 [安全性警示] 圖格,或透過資訊看板的連結,來檢視安全性警示。
安全性警示頁面隨即開啟:
叢集中執行階段工作負載的安全性警示可以透過警示類型的 Kubernetes K8S.NODE_ 前置詞來判別。
適用於容器的 Defender 也包含主機層級威脅偵測,具有超過 60 個 Kubernetes 感知分析、AI 和異常偵測,取決於您的執行階段工作負載。