Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Microsoft Defender für Container ist eine cloudeigene Lösung, die die Sicherheit Ihrer containerisierten Ressourcen verbessert, überwacht und verwaltet. Zu diesen Ressourcen gehören Kubernetes-Cluster, Knoten, Workloads, Registrierungen, Bilder und vieles mehr. Sie schützt Anwendungen über mehrere Cloud- und lokale Umgebungen hinweg.
Defender für Container hilft Ihnen bei fünf Kerndomänen der Containersicherheit:
Das Sicherheitsstatusmanagement führt eine kontinuierliche Überwachung von Cloud-APIs, Kubernetes-APIs und Kubernetes-Workloads durch. Es ermittelt Cloudressourcen, bietet umfassende Bestandsfunktionen, erkennt Fehlkonfigurationen mit Richtlinien zur Risikominderung, bietet kontextbezogene Risikobewertungen und ermöglicht Es Benutzern, erweiterte Funktionen zur Risikosuche über den Defender for Cloud Security Explorer durchzuführen.
Sicherheitsrisikobewertung - Führt eine agentlose Schwachstellenanalysen von Container-Registry-Images, laufenden Containern und unterstützten Kubernetes-Knoten durch, inklusive Behebungsrichtlinien, Zero-Configuration, täglichen Re-Scans, Abdeckung von Betriebssystem- und Sprachpaketen sowie Erkenntnissen zur Ausnutzbarkeit. Das Artefakt der Schwachstellenbefunde wird mit einem Microsoft-Zertifikat für Integrität und Authentizität signiert und dem Container-Image im Register zur Überprüfung zugeordnet.
Laufzeitbedrohungsschutz ist eine umfangreiche von Microsoft unterstützte Threat Intelligence Suite für die Bedrohungserkennung für Cluster, Knoten und Workloads von Kubernetes, die eine Zuordnung zum MITRE ATT&CK-Framework bietet, um ein einfaches Verständnis der Risiken und des relevanten Kontexts zu ermöglichen sowie automatisierte Reaktionen. Sicherheitsoperatoren können auch Bedrohungen für Kubernetes-Dienste über das Microsoft Defender XDR-Portal untersuchen und darauf reagieren.
Containers Software-Lieferketten-Schutz – stärkt Ihre Software-Lieferkette, indem Sicherheitsprüfungen vom Build bis zur Bereitstellung eingebettet werden. Es überprüft Containerimages auf Sicherheitsrisiken, signiert Sicherheitsrisikoartefakte mit Microsoft-Zertifikaten, um Integrität und Authentizität sicherzustellen, und ordnet diese Artefakte bildern in der Registrierung zur Überprüfung zu. Sie können Sicherheitsrichtlinien der Organisation erzwingen, indem Sie Regeln erstellen, die riskante Images blockieren und Bereitstellungen anhand dieser Regeln bewerten, um die Einführung von Sicherheitsrisiken in Ihre containerisierten Umgebungen zu verhindern. Weitere Informationen finden Sie unter Gated-Bereitstellung für Kubernetes-Containerimages.
Bereitstellung und Überwachung – Überwacht Ihre Kubernetes-Cluster auf fehlende Sensoren und bietet eine reibungslose bereitstellung für sensorbasierte Funktionen, Unterstützung für standardmäßige Kubernetes-Überwachungstools und die Verwaltung von nicht überwachten Ressourcen.
Sie können mehr erfahren, indem Sie sich dieses Video aus der Videoserie „Defender für Cloud im Einsatz“ ansehen: Microsoft Defender für Container.
Sicherheitsstatusverwaltung
Funktionen ohne Agent
Die Ermittlung ohne Agents für Kubernetes bietet eine API-basierte Ermittlung ohne Speicherbedarf für Ihre Kubernetes-Cluster sowie für Konfigurationen und Bereitstellungen.
Die Bewertung von Sicherheitsrisiken ohne Agent bietet eine Sicherheitsrisikobewertung für Clusterknoten und für alle Containerimages einschließlich Empfehlungen für die Registrierung und Laufzeit, schnelle Scans neuer Images, tägliche Aktualisierung von Ergebnissen, Erkenntnisse zur Ausnutzbarkeit und vieles mehr. Sicherheitsrisikeninformationen werden dem Sicherheitsdiagramm für kontextbezogene Risikobewertung und Berechnung von Angriffspfaden und Suchfunktionen hinzugefügt.
Umfassende Bestandsfunktionen: Ermöglicht es Ihnen, Ressourcen, Pods, Dienste, Repositorys, Images und Konfigurationen über den Sicherheits-Explorer zu erkunden, um Ihre Ressourcen mühelos zu überwachen und zu verwalten.
Erweiterte Risikosuche: Ermöglicht es Sicherheitsadministrator*innen, mithilfe von (integrierten und benutzerdefinierten) Abfragen sowie über Einblicke in die Sicherheit im Sicherheits-Explorer aktiv nach Statusproblemen in ihren containerisierten Ressourcen zu suchen
Härten der Steuerungsebene: Bewertet kontinuierlich die Konfigurationen Ihrer Cluster und vergleicht sie mit den Initiativen, die auf Ihre Abonnements angewendet wurden. Wenn Defender für Cloud Fehlkonfigurationen feststellt, generiert es Sicherheitsempfehlungen, die auf der Seite „Empfehlungen“ von Defender für Cloud verfügbar sind. Die Empfehlungen ermöglichen Ihnen, Probleme zu untersuchen und zu beheben.
Sie können den Ressourcenfilter verwenden, um die ausstehenden Empfehlungen für Ihre containerbezogenen Ressourcen zu überprüfen, egal ob im Ressourcenbestand oder auf der Seite „Empfehlungen“:
Ausführliche Informationen zu dieser Funktion finden Sie unter Containerempfehlungen. Suchen Sie nach Empfehlungen mit dem Typ „Steuerungsebene“.
Sensorbasierte Funktionen
Binäre Drifterkennung – Defender für Container bietet eine sensorbasierte Funktion, die Sie über potenzielle Sicherheitsbedrohungen informiert, indem nicht autorisierte externe Prozesse innerhalb von Containern erkannt werden. Sie können Driftrichtlinien definieren, um Bedingungen anzugeben, unter denen Warnungen generiert werden sollen, wodurch Sie zwischen legitimen Aktivitäten und potenziellen Bedrohungen unterscheiden können. Weitere Informationen finden Sie unter Binärer Driftschutz (Vorschau).
Härten der Kubernetes-Datenebene: Um die Workloads Ihrer Kubernetes-Container mit Empfehlungen zu bewährten Methoden zu schützen, können Sie Azure Policy für Kubernetes installieren. Weitere Informationen zur Überwachung von Komponenten für Defender for Cloud.
Wenn die Richtlinien für Ihr Kubernetes-Cluster definiert sind, wird jede Anforderung an den Kubernetes-API-Server anhand der vordefinierten bewährten Methoden überwacht, bevor sie im Cluster persistent gespeichert wird. Anschließend können Sie das Erzwingen der bewährten Methoden konfigurieren und so verpflichtend auf zukünftige Workloads anwenden.
Beispielsweise können Sie festlegen, dass keine privilegierten Container erstellt und zukünftige Anforderungen für diese Aktion blockiert werden.
Sie können mehr über die Härtung der Kubernetes-Datenebene erfahren.
Sicherheitsrisikobewertung
Defender for Containers analysiert das Betriebssystem der Clusterknoten und die Anwendungssoftware, Containerimages in Azure Container Registry (ACR), Amazon AWS Elastic Container Registry (ECR), Google Artifact Registry (GAR), Google Container Registry (GCR) sowie unterstützte externe Imageregistrierungen, um eine Sicherheitsrisikobewertung ohne Agent zu ermöglichen.
Für die öffentliche Vorschau in der AKS-Umgebung führt Defender für Container nun auch einen täglichen Scan aller ausgeführten Container durch, um eine aktualisierte Sicherheitsrisikobewertung bereitzustellen, die für die Imageregistrierung des Containers unabhängig ist.
Mit der Unterstützung von Microsoft Defender Vulnerability Management ermittelte Informationen zu Sicherheitsrisiken werden dem Cloudsicherheitsdiagramm hinzugefügt, um Funktionen für die kontextbezogene Risikobewertung, die Berechnung von Angriffspfaden und Hunting bereitzustellen.
Erfahren Sie mehr über Schwachstellenbewertungen für unterstützte Umgebungen von Defender für Container, einschließlich Schwachstellenbewertung für Clusterknoten.
Laufzeitschutz für Kubernetes-Knoten und -Cluster
Microsoft Defender for Containers bietet einen Echtzeit-Bedrohungsschutz für unterstützte Containerumgebungen und generiert Warnungen für verdächtige Aktivitäten. Mit diesen Informationen können Sie schnell Sicherheitsprobleme lösen und die Sicherheit Ihrer Container verbessern.
Der Bedrohungsschutz wird für Kubernetes auf Ebene von Clustern, Knoten und Workloads bereitgestellt. Sowohl der sensorbasierte Abdeckungsschutz, der den Defender Sensor erfordert, und der agentlose Abdeckungsschutz, basierend auf der Analyse der Kubernetes-Audit-Protokolle, werden verwendet, um Bedrohungen zu erkennen. Sicherheitswarnungen werden nur für Aktionen und Bereitstellungen ausgelöst, die auftreten, nachdem Sie Defender für Container in Ihrem Abonnement aktiviert haben.
Hier finden Sie einige Beispiele sicherheitsrelevanter Ereignisse, die von Microsoft Defender for Containers überwacht werden:
- Verfügbar gemachte Kubernetes-Dashboards
- Erstellung stark privilegierter Rollen
- Erstellung sensibler Bereitstellungen
Weitere Informationen zu Warnungen, die von Defender für Container erkannt wurden, einschließlich eines Warnungssimulationstools, finden Sie unter Benachrichtigungen für Kubernetes-Cluster.
Defender for Containers ermöglicht eine Bedrohungserkennung mit mehr als 60 Kubernetes-fähigen Analysen sowie KI- und Anomalieerkennungen auf Grundlage des Laufzeitworkload.
Defender für Cloud überwacht die Angriffsfläche von Multicloud Kubernetes-Bereitstellungen basierend auf der MITRE ATT&CK-Matrix® für Container, einem Framework, das vom Center for Threat-Informed Defense in enger Partnerschaft mit Microsoft entwickelt wurde.
Defender for Cloud is in Microsoft Defender XDR integriert. Wenn Defender for Containers aktiviert ist, können Sicherheitsoperatoren Defender XDR verwenden, um Sicherheitsprobleme in unterstützten Kubernetes-Diensten zu untersuchen und darauf zu reagieren.
Weitere Informationen
Erfahren Sie mehr über Defender für Container in den folgenden Blogs:
Nächste Schritte
In dieser Übersicht haben Sie die wichtigsten Elemente der Containersicherheit in Microsoft Defender für Cloud kennengelernt. Informationen zum Aktivieren des Plans finden Sie unter:
- Aktivieren von Defender für Container
- Sehen Sie sich häufige Fragen zu Defender for Containers an.