Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O Microsoft Defender para Contêineres é uma solução nativa de nuvem que aprimora, monitora e mantém a segurança de seus ativos em contêineres. Esses ativos incluem clusters do Kubernetes, nós, cargas de trabalho, registros, imagens e muito mais. Ele protege aplicativos em ambientes locais e multinuvem.
O Defender para Contêineres ajuda você com cinco domínios principais de segurança de contêiner:
Gerenciamento de postura de segurança: executa o monitoramento contínuo de APIs de nuvem, APIs do Kubernetes e cargas de trabalho do Kubernetes. Ele descobre recursos de nuvem, fornece recursos abrangentes de inventário, detecta configurações incorretas com diretrizes de mitigação, fornece avaliação de risco contextual e capacita os usuários a executar recursos aprimorados de busca de riscos por meio do Gerenciador de Segurança do Defender para Nuvem.
Avaliação de vulnerabilidades: Executa a avaliação de vulnerabilidades sem a necessidade de agentes de imagens de registro de contêineres, contêineres em execução e nós do Kubernetes compatíveis, com orientações de correção, sem necessidade de configuração, novas verificações diárias, cobertura para pacotes do sistema operacional e de linguagem e informações sobre explorabilidade. O artefato de descobertas de vulnerabilidades é assinado com um certificado da Microsoft para integridade e autenticidade e está associado à imagem de contêiner no registro para fins de validação.
Proteção contra ameaças em tempo de execução: um conjunto avançado de detecção de ameaças para clusters, nós e cargas de trabalho do Kubernetes, impulsionado pela inteligência de ameaças líder da Microsoft, oferece mapeamento para o framework MITRE ATT&CK para facilitar a compreensão do risco e do contexto relevante, além de resposta automatizada. Os operadores de segurança também podem investigar e responder a ameaças aos serviços do Kubernetes por meio do portal do Microsoft Defender XDR.
Proteção da cadeia de fornecimento de software: ajuda a reduzir o risco de implantar imagens de contêiner vulneráveis verificando imagens, associando descobertas de vulnerabilidade com imagens no registro e usando essas descobertas para dar suporte à implantação fechada para Kubernetes. Você pode usar regras de implantação fechadas para auditar ou bloquear implantações quando as imagens não atendem à política de vulnerabilidade da sua organização.
Implantação & monitoramento: Monitora seus clusters do Kubernetes quanto à ausência de sensores e fornece implantação em larga escala sem complicações para recursos baseados em sensores, suporte a ferramentas padrão de monitoramento do Kubernetes e gerenciamento de recursos não monitorados.
Você pode saber mais assistindo a este vídeo da série de vídeos Microsoft Defender para Nuvem no Campo: Microsoft Defender para contêineres.
Defender para Contêineres fornece os seguintes recursos principais:
Gerenciamento de postura de segurança: monitora continuamente as APIs de nuvem, as APIs do Kubernetes e as cargas de trabalho do Kubernetes para descobrir recursos, detectar configurações incorretas e recomendações de segurança de superfície com diretrizes de mitigação. Os dados de postura estão disponíveis por meio de exibições de inventário, recomendações e Security Explorer para investigação e rastreamento de riscos.
Avaliação de vulnerabilidade: executa a avaliação de vulnerabilidade sem agente de imagens de registro de contêiner, contêineres em execução e nós do Kubernetes com suporte. As descobertas incluem diretrizes de correção, insights de explorabilidade e integração com o grafo de segurança de nuvem para análise de risco contextual.
Proteção contra ameaças em tempo de execução: detecta atividades suspeitas em clusters, nós e cargas de trabalho do Kubernetes usando análises e inteligência contra ameaças com reconhecimento do Kubernetes. Os alertas são mapeados para o MITRE ATT&CK® framework para contêineres e podem ser investigados por meio de
Microsoft Defender XDR .Proteção da cadeia de fornecimento de software: ajuda a reduzir o risco de implantar imagens vulneráveis verificando imagens de contêiner e associando resultados de avaliação de vulnerabilidade com imagens no registro. Essas descobertas podem ser usadas por outras capacidades do Defender para Contêineres, como implantações controladas para Kubernetes.
Implantação & monitoramento: Oferece suporte à implantação e ao monitoramento em escala dos componentes do Defender, incluindo visibilidade dos clusters do Kubernetes sem sensores ou não totalmente protegidos.
Gerenciamento de postura de segurança
Funcionalidades sem agente
Descoberta sem agente para Kubernetes: oferece descoberta dos seus clusters, configurações e implantações do Kubernetes baseada em API, sem necessidade de instalar agentes.
Avaliação de vulnerabilidade sem agente: fornece avaliação de vulnerabilidades para nós de cluster e para todas as imagens de contêiner, incluindo recomendações para registro e ambiente de execução, verificações rápidas de novas imagens, atualização diária dos resultados, informações sobre explorabilidade e muito mais. Informações de vulnerabilidade são adicionadas ao grafo de segurança para avaliação de risco contextual e cálculo de caminhos de ataque e recursos de busca.
Funcionalidades abrangentes de inventário: permite explorar recursos, pods, serviços, repositórios, imagens e configurações por meio do gerenciador de segurança para monitorar e gerenciar facilmente seus ativos.
Investigação aprimorada de riscos: permite que os administradores de segurança investiguem ativamente problemas de postura de segurança em seus ativos conteinerizados por meio de consultas (integradas e personalizadas) e informações de segurança no explorador de segurança
Reforço da segurança do plano de controle: avalia continuamente as configurações dos seus clusters e as compara com as iniciativas aplicadas às suas assinaturas. Quando encontra configurações incorretas, o Defender para Nuvem gera recomendações de segurança disponíveis na página Recomendações do Defender para Nuvem. As recomendações permitem investigar e corrigir os problemas.
Você pode usar o filtro de recurso para examinar as recomendações pendentes para seus recursos relacionados ao contêiner, seja no inventário de ativos ou na página de recomendações:
Para obter os detalhes incluídos nessa funcionalidade, revise recomendações de contêineres e procure recomendações com o tipo "Plano de controle"
Capacidades baseadas em sensores
Antimalware: Defender para contêineres fornece uma funcionalidade baseada em sensor que detecta e alerta você para atividades mal-intencionadas dentro de contêineres. Isso ajuda na identificação e mitigação de possíveis ameaças à segurança proativamente. Para obter mais informações, consulte Proteção antimalware.
Detecção de DNS: Defender para contêineres fornece uma funcionalidade baseada em sensor que detecta atividade DNS suspeita de cargas de trabalho de contêiner para ajudar a identificar ameaças baseadas em rede. Para obter disponibilidade de proteção de runtime por nuvem, consulte os recursos de proteção do Runtime.
Detecção de descompasso binário: Defender para contêineres fornece uma funcionalidade baseada em sensor que alerta você sobre possíveis ameaças à segurança detectando processos externos não autorizados dentro de contêineres. Você pode definir políticas de descompasso para especificar as condições sob as quais os alertas devem ser gerados, ajudando a distinguir entre atividades legítimas e possíveis ameaças. Para obter mais informações, consulte Proteção contra descompasso binário.
Bloqueio de descompasso binário: Defender para contêineres fornece uma funcionalidade baseada em sensor que bloqueia processos externos não autorizados dentro de contêineres. Você pode definir políticas de desvio para especificar condições sob as quais os processos devem ser bloqueados, ajudando a prevenir possíveis ameaças à segurança. Para obter mais informações, consulte Proteção contra descompasso binário.
Reforço da segurança do plano de dados do Kubernetes: para proteger as cargas de trabalho dos seus contêineres do Kubernetes com recomendações de melhores práticas, você pode instalar o Azure Policy for Kubernetes. Saiba mais sobre como monitorar componentes do Defender para Nuvem.
Com as políticas definidas para o cluster do Kubernetes, todas as solicitações ao servidor de API do Kubernetes são monitoradas em relação ao conjunto predefinido de práticas recomendadas antes de serem persistidas no cluster. Em seguida, você pode configurá-lo para impor as práticas recomendadas e exigi-las para cargas de trabalho futuras.
Por exemplo, você pode exigir que contêineres privilegiados não devem ser criados e quaisquer solicitações futuras para fazer isso são bloqueadas.
Saiba mais sobre a proteção do plano de dados do Kubernetes.
Avaliação de vulnerabilidade
O Microsoft Defender para Contêineres verifica o sistema operacional e o software de aplicativo do nó do cluster, as imagens de contêiner no Registro de Contêiner do Azure (ACR), no Registro de Contêineres Elásticos da Amazon AWS (ECR), no Registro de Artefatos do Google (GAR), no Registro de Contêiner do Google (GCR) e em registros de imagens externas com suporte para fornecer avaliação de vulnerabilidade sem agente.
Agora, para versão prévia pública em ambientes multinuvem, Defender para Contêineres também executa uma verificação diária de todos os contêineres em execução para fornecer uma avaliação de vulnerabilidade atualizada, independente do registro de imagem do contêiner.
As informações de vulnerabilidade geradas pelo Gerenciamento de Vulnerabilidades do Microsoft Defender são adicionadas ao grafo de segurança da nuvem para riscos contextuais, cálculo de caminhos de ataque e funcionalidades de busca.
Saiba mais sobre avaliações de vulnerabilidade para ambientes compatíveis com o Defender para Contêineres, incluindo a avaliação de vulnerabilidade para nós de cluster.
Proteção em tempo de execução para nós e clusters do Kubernetes
O Defender para contêineres fornece proteção contra ameaças em tempo real para ambientes em contêineres com suporte e gera alertas sobre atividades suspeitas. Você pode usar essas informações para corrigir rapidamente problemas de segurança e melhorar a segurança de seus contêineres.
A proteção contra ameaças é fornecida para Kubernetes nos níveis de cluster, nó e carga de trabalho. A cobertura baseada em sensor que requer o sensor do Defender e a cobertura sem agente com base na análise dos logs de auditoria do Kubernetes são usadas para detectar ameaças. Os alertas de segurança são disparados apenas para ações e implantações que ocorrem depois que você habilita o Defender para Contêineres em sua assinatura.
Exemplos de detecção de runtime
Exemplos de eventos de segurança que o Microsoft Defender para Contêineres monitora incluem:
- Dashboards do Kubernetes expostos
- Serviço kubernetes exposto detectado (quando um Serviço de Kubernetes do tipo
LoadBalanceré criado ou atualizado e expõe publicamente cargas de trabalho) - Criação de funções com privilégios elevados
- Criação de montagens confidenciais
Priorize alertas de exposição quando o acesso voltado para a Internet não for intencional ou quando o serviço exposto tiver autenticação fraca ou ausente.
Para obter mais informações sobre alertas detectados pelo Defender para Contêineres, incluindo uma ferramenta de simulação de alerta, consulte alertas para clusters do Kubernetes.
O Microsoft Defender para Contêineres inclui detecção de ameaças com mais de 60 análises, IA e detecções de anomalias compatíveis com Kubernetes com base na carga de trabalho em runtime.
O Defender para Nuvem monitora a superfície de ataque de implantações do Kubernetes multinuvem com base na matriz MITRE ATT&CK® para Contêineres, uma estrutura desenvolvida pelo Center for Threat-Informed Defense em estreita parceria com a Microsoft.
O Microsoft Defender para Nuvem é integrado ao Microsoft Defender XDR. Quando o Microsoft Defender para Contêineres está habilitado, os operadores de segurança podem usar o Defender XDR para investigar e responder a problemas de segurança em serviços do Kubernetes com suporte.
Imagens de contêiner mantidas pela Microsoft
O Defender para Contêineres implanta imagens de contêiner que são mantidas e atualizadas pela Microsoft como parte dos componentes de proteção de runtime. Essas imagens são publicadas no MCR (Registro de Contêiner da Microsoft).
Os clientes não modificam nem corrigem essas imagens diretamente. A Microsoft mantém e atualiza-os como parte do processo de versão do Defender para Contêineres.
As imagens a seguir são utilizadas nos componentes de proteção de tempo de execução do Defender para Contêineres.
| Imagem | Purpose | Caminho do MCR |
|---|---|---|
security-publisher |
Publica as descobertas de segurança coletadas de ambientes do Kubernetes | mcr.microsoft.com/azuredefender/stable/security-publisher |
low-level-collector |
Coleta telemetria de tempo de execução de baixo nível dos nós do Kubernetes | mcr.microsoft.com/azuredefender/stable/low-level-collector |
pod-collector |
Coleta dados de tempo de execução dos pods do Kubernetes usados para detecção de ameaças | mcr.microsoft.com/azuredefender/stable/pod-collector |
anti-malware-collector |
Coleta sinais de detecção de malware para cargas de trabalho de contêiner | mcr.microsoft.com/azuredefender/stable/anti-malware-collector |
old-file-cleaner |
Limpa arquivos temporários e obsoletos como parte dos fluxos de trabalho de inicialização | mcr.microsoft.com/azuredefender/stable/old-file-cleaner |
audit-logs-enabler |
Habilita a coleta de logs de auditoria para ambientes com suporte (por exemplo, clusters locais) | mcr.microsoft.com/azuredefender/stable/audit-logs-enabler |
defender-admission-controller |
Impõe políticas de controle de acesso de runtime para cargas de trabalho do Kubernetes | mcr.microsoft.com/mdc/prd/defender-admission-controller |
As atualizações são entregues por meio do mecanismo de implantação usado pelo seu ambiente. Por exemplo:
- Quando implantadas usando o complemento do AKS, as atualizações são entregues por meio do ciclo de vida da versão do AKS.
- Quando implantadas usando o Helm, as atualizações são lançadas dentro de 30 dias por meio de versões atualizadas do gráfico.
Se você detectar uma vulnerabilidade em uma imagem do Defender mantida pela Microsoft, abra uma solicitação de suporte do Azure e inclua o nome da imagem, a marca e o identificador CVE.
Conteúdo relacionado
Saiba mais sobre o Defender para contêineres nos seguintes blogs:
Próximas Etapas
Nesta visão geral, você aprendeu sobre os principais elementos da segurança de contêineres no Microsoft Defender para Nuvem. Para habilitar o plano, consulte:
Visão geral da implantação do Defender para Contêineres
Habilitar o Defender para contêineres no Microsoft Defender para Nuvem
Deploy Defender para componentes de contêineres usando o CLI do Azure
Confira as perguntas comuns sobre o Defender para contêineres.