Introdução ao Microsoft Defender para Contentores

O Microsoft Defender for Containers é uma solução nativa da cloud que melhora, monitoriza e mantém a segurança dos seus ativos contentores. Estes ativos incluem clusters Kubernetes, nós, cargas de trabalho, registos, imagens e muito mais. Protege aplicações em ambientes multicloud e on-premises.

Defender for Containers ajuda-o com cinco domínios principais de segurança de containers:

  • Gestão da postura de segurança: Efetua a monitorização contínua de APIs da cloud, APIs do Kubernetes e cargas de trabalho do Kubernetes. Descobre recursos na cloud, oferece capacidades abrangentes de inventário, deteta configurações incorretas com diretrizes de mitigação, fornece avaliação contextual de risco e capacita os utilizadores a realizar capacidades melhoradas de caça ao risco através do Defender para a Cloud Security Explorer.

  • Avaliação de vulnerabilidades: Realiza uma avaliação de vulnerabilidades sem agente de imagens em registos de contentores, contentores em execução e nós do Kubernetes suportados, com diretrizes de remediação, configuração zero, novas análises diárias, cobertura para pacotes do sistema operativo e de linguagens, e informações sobre a explorabilidade. O artefacto de descobertas de vulnerabilidade é assinado com um certificado da Microsoft para integridade e autenticidade e está associado à imagem de contentor no registo para fins de validação.

  • Proteção contra ameaças em tempo de execução: Um conjunto abrangente de deteção de ameaças para clusters, nós e cargas de trabalho do Kubernetes, com base na inteligência de ameaças líder da Microsoft, fornece o mapeamento para o framework MITRE ATT&CK, para uma compreensão fácil do risco e do contexto relevante, bem como uma resposta automatizada. Os operadores de segurança também podem investigar e responder a ameaças aos serviços do Kubernetes através do portal Microsoft Defender XDR.

  • Proteção da cadeia de abastecimento de software: Ajuda a reduzir o risco de implantar imagens vulneráveis de contentores através da digitalização, associação de descobertas de vulnerabilidades com imagens no registo e utilização dessas descobertas para apoiar a implementação bloqueada do Kubernetes. Pode usar regras de implementação bloqueada para auditar ou bloquear implementações quando as imagens não cumprem a política de vulnerabilidades da sua organização.

  • Implementação e monitorização: Monitoriza os seus clusters Kubernetes para sensores em falta e proporciona uma implementação em escala sem atritos para capacidades baseadas em sensores, suporte para ferramentas padrão de monitorização Kubernetes e gestão de recursos não monitorizados.

Para saber mais, assista a este vídeo da série de vídeos Defender para a Cloud in the Field: Microsoft Defender for Containers.

O Defender for Containers oferece as seguintes capacidades essenciais:

  • Gestão da postura de segurança: Monitoriza continuamente as APIs da cloud, as APIs do Kubernetes e as cargas de trabalho do Kubernetes para descobrir recursos, detetar configurações incorretas e fornecer recomendações de segurança com orientações de mitigação. Os dados de postura estão disponíveis através de visualizações de inventário, recomendações e Security Explorer para investigação e detecção de riscos.

  • Avaliação de vulnerabilidades: Realiza avaliação de vulnerabilidades sem agente de imagens de registos de contentores, containers em execução e nós Kubernetes suportados. Os resultados incluem orientações de remediação, insights sobre explorabilidade e integração com o gráfico de segurança cloud para análise contextual de risco.

  • Proteção contra ameaças em tempo de execução: Deteta atividade suspeita em clusters, nós e cargas de trabalho Kubernetes usando análises e inteligência de ameaças conscientes do Kubernetes. Os alertas são mapeados para o MITRE ATT&CK® para Contêineres e podem ser investigados por meio de Microsoft Defender XDR.

  • Proteção da cadeia de abastecimento de software: Ajuda a reduzir o risco de implantar imagens vulneráveis ao escanear imagens de contentores e associar os resultados de avaliação de vulnerabilidades às imagens do registo. Estas conclusões podem ser usadas por outras capacidades do Defender for Containers, como implementações com bloqueio para Kubernetes.

  • Implementação e monitorização: Suporta a implantação e monitorização em larga escala dos componentes do Defender, incluindo visibilidade em clusters Kubernetes que não têm sensores ou não estão totalmente protegidos.

Gestão da postura de segurança

Recursos sem agente

  • Descoberta sem agentes para Kubernetes: Proporciona descoberta baseada em API e sem pegada dos seus clusters, configurações e implementações Kubernetes.

  • Avaliação de vulnerabilidades sem agente: Fornece avaliação de vulnerabilidades para nós de cluster e para todas as imagens de contentores, incluindo recomendações para registo e tempo de execução, análises rápidas de novas imagens, atualização diária dos resultados, insights sobre explorabilidade e mais. As informações de vulnerabilidade são adicionadas ao gráfico de segurança para avaliação contextual de risco e cálculo de caminhos de ataque e recursos de caça.

  • Capacidades abrangentes de inventário: Permite-lhe explorar recursos, pods, serviços, repositórios, imagens e configurações através do Security Explorer para monitorizar e gerir facilmente os seus ativos.

  • Pesquisa de riscos avançada: Permite que os administradores de segurança pesquisem ativamente problemas de postura de segurança nos seus ativos em contentores através de consultas (integradas e personalizadas) e informações de segurança no explorador de segurança

  • Endurecimento do plano de controlo: Avalia continuamente as configurações dos seus clusters e compara-as com as iniciativas aplicadas às suas subscrições. Quando encontra configurações incorretas, o Defender para a Cloud gera recomendações de segurança que estão disponíveis na página Recomendações do Defender para a Cloud. As recomendações permitem-lhe investigar e corrigir problemas.

    Você pode usar o filtro de recursos para revisar as recomendações pendentes para seus recursos relacionados ao contêiner, seja no inventário de ativos ou na página de recomendações:

    Para obter detalhes incluídos com esse recurso, revise as recomendações do contêiner e procure recomendações com o tipo "Plano de controle"

Capacidades baseadas em sensores

Antimalware: O Defender for Containers oferece uma capacidade baseada em sensores que deteta e alerta para atividades maliciosas dentro dos containers. Isto ajuda a identificar e mitigar proativamente potenciais ameaças à segurança. Para mais informações, consulte proteção antimalware.

Deteção de DNS: O Defender for Containers oferece uma capacidade baseada em sensores que deteta atividade DNS suspeita proveniente de cargas de trabalho de contentores para ajudar a identificar ameaças baseadas na rede. Para a disponibilidade de proteção em tempo de execução por cloud, veja Funcionalidades de proteção em tempo de execução.

Deteção de deriva binária: O Defender for Containers oferece uma capacidade baseada em sensores que alerta sobre potenciais ameaças de segurança ao detetar processos externos não autorizados dentro dos containers. Você pode definir políticas de desvio para especificar as condições sob as quais os alertas devem ser gerados, ajudando a distinguir entre atividades legítimas e ameaças potenciais. Para mais informações, veja Proteção contra deriva binária.

Bloqueio de deriva binária: O Defender for Containers oferece uma capacidade baseada em sensores que bloqueia processos externos não autorizados dentro dos containers. Pode definir políticas de deriva para especificar condições sob as quais os processos devem ser bloqueados, ajudando a prevenir potenciais ameaças à segurança. Para mais informações, veja Proteção contra deriva binária.

Endurecimento do plano de dados Kubernetes: Para proteger as cargas de trabalho dos seus containers Kubernetes com recomendações de boas práticas, pode instalar a Azure Policy for Kubernetes. Saiba mais sobre o monitoramento de componentes do Defender para a Cloud.

Com as políticas definidas para seu cluster Kubernetes, cada solicitação para o servidor de API do Kubernetes é monitorada em relação ao conjunto predefinido de práticas recomendadas antes de ser persistida no cluster. Em seguida, você pode configurá-lo para aplicar as práticas recomendadas e impô-las para cargas de trabalho futuras.

Por exemplo, você pode exigir que contêineres privilegiados não sejam criados e quaisquer solicitações futuras para fazer isso sejam bloqueadas.

Você pode saber mais sobre o endurecimento do plano de dados do Kubernetes.

Avaliação da vulnerabilidade

O Defender for Containers analisa o sistema operativo do nó do cluster e o software de aplicação, as imagens dos contentores no Azure Container Registry (ACR), Amazon AWS Elastic Container Registry (ECR), Google Artifact Registry (GAR), Google Container Registry (GCR) e registos de imagens externas suportados para oferecer uma avaliação de vulnerabilidade sem agente.

Agora, para a pré-visualização pública em ambientes multicloud, a Defender for Containers também realiza uma análise diária de todos os containers em execução para fornecer uma avaliação atualizada de vulnerabilidades, agnóstica ao registo de imagens do contentor.

As informações de vulnerabilidade fornecidas pelo Gestão de vulnerabilidades do Microsoft Defender são adicionadas ao gráfico de segurança na nuvem para risco contextual, cálculo de caminhos de ataque e recursos de caça.

Saiba mais sobre avaliações de vulnerabilidades para ambientes suportados pelo Defender for Containers, incluindo avaliação de vulnerabilidades para nós de cluster.

Proteção durante a execução para nós e clusters do Kubernetes

O Defender for Containers fornece proteção contra ameaças em tempo real para ambientes em contêineres suportados e gera alertas para atividades suspeitas. Você pode usar essas informações para corrigir rapidamente problemas de segurança e melhorar a segurança de seus contêineres.

A proteção contra ameaças é fornecida para o Kubernetes nos níveis de cluster, nó e carga de trabalho. Tanto a cobertura baseada em sensor, que requer o sensor Defender , quanto a cobertura sem agente, com base na análise dos logs de auditoria do Kubernetes, são usadas para detetar ameaças. Os alertas de segurança só são acionados para ações e implantações que ocorrem depois que você habilita o Defender for Containers em sua assinatura.

Exemplos de deteção em tempo de execução

Exemplos de eventos de segurança que o Microsoft Defender for Containers monitoriza incluem:

  • Painéis do Kubernetes expostos
  • Serviço Kubernetes exposto detetado (quando um serviço Kubernetes do tipo LoadBalancer é criado ou atualizado e expõe publicamente cargas de trabalho)
  • Criação de papéis altamente privilegiados
  • Criação de suportes sensíveis

Priorize alertas de exposição quando o acesso à internet for não intencional ou quando o serviço exposto tiver autenticação fraca ou em falta.

Para obter mais informações sobre alertas detetados pelo Defender for Containers, incluindo uma ferramenta de simulação de alertas, consulte alertas para clusters Kubernetes.

O Defender para Contentores inclui deteção de ameaças com mais de 60 análises com reconhecimento do Kubernetes, IA e deteções de anomalias baseadas na sua carga de trabalho em tempo de execução.

O Defender para a Cloud monitora a superfície de ataque de implantações multicloud do Kubernetes com base na matriz MITRE ATT&CK® for Containers, uma estrutura desenvolvida pelo Center for Threat-Informed Defense em estreita parceria com a Microsoft.

O Defender para a Cloud está integrado com o Microsoft Defender XDR. Quando o Defender for Containers está habilitado, os operadores de segurança podem usar o Defender XDR para investigar e responder a problemas de segurança nos serviços Kubernetes suportados.

Imagens de contentores mantidas pela Microsoft

O Defender for Containers implementa imagens de contentores que são mantidas e atualizadas pela Microsoft como parte dos componentes de proteção em tempo de execução. Estas imagens são publicadas no Microsoft Container Registry (MCR).

Os clientes não modificam nem corrigem diretamente estas imagens. A Microsoft mantém e atualiza-os como parte do processo de lançamento do Defender for Containers.

As seguintes imagens são usadas pelos componentes de proteção em tempo de execução do Defender for Containers:

Imagem Purpose Caminho MCR
security-publisher Publica conclusões de segurança recolhidas em ambientes Kubernetes mcr.microsoft.com/azuredefender/stable/security-publisher
low-level-collector Recolhe telemetria de execução de baixo nível nos nós Kubernetes mcr.microsoft.com/azuredefender/stable/low-level-collector
pod-collector Recolhe dados de tempo de execução do pod Kubernetes usados para deteção de ameaças mcr.microsoft.com/azuredefender/stable/pod-collector
anti-malware-collector Recolhe sinais para deteção de malware para cargas de trabalho em contentores mcr.microsoft.com/azuredefender/stable/anti-malware-collector
old-file-cleaner Limpa ficheiros temporários e obsoletos como parte dos fluxos de trabalho de inicialização mcr.microsoft.com/azuredefender/stable/old-file-cleaner
audit-logs-enabler Permite a recolha de registos de auditoria para ambientes suportados (por exemplo, clusters on-premises) mcr.microsoft.com/azuredefender/stable/audit-logs-enabler
defender-admission-controller Aplica em tempo de execução políticas de controlo para cargas de trabalho Kubernetes mcr.microsoft.com/mdc/prd/defender-admission-controller

As atualizações são entregues através do mecanismo de implementação utilizado pelo seu ambiente. Por exemplo:

  • Quando implementado através do complemento AKS, as atualizações são entregues ao longo do ciclo de vida de lançamento do AKS.
  • Quando implementadas usando o Helm, as atualizações são divulgadas dentro de 30 dias através de versões atualizadas dos gráficos.

Se detetar uma vulnerabilidade numa imagem Defender mantida pela Microsoft, abra um pedido de suporte Azure e inclua o nome da imagem, a etiqueta e o identificador CVE.

Saiba mais sobre o Defender for Containers nos seguintes blogs:

Passos seguintes

Nesta visão geral, você aprendeu sobre os principais elementos da segurança de contêiner no Microsoft Defender para a Cloud. Para habilitar o plano, consulte: