Partilhar via

Painel de Segurança do Serviço Kubernetes do Azure (AKS)

O painel de segurança do AKS oferece visibilidade e correção automatizada para problemas de segurança. Ele permite que as equipes de engenharia de plataforma protejam seu ambiente Kubernetes com mais facilidade e eficácia.

A consolidação de dados operacionais e de segurança no portal AKS oferece aos engenheiros uma visão unificada de seu ambiente Kubernetes. Essa exibição ajuda a detetar e corrigir problemas de segurança de forma eficiente, com o mínimo de interrupção do fluxo de trabalho. Reduz o risco de problemas de segurança perdidos e acelera a remediação.

O Painel de Segurança do AKS permite-lhe:

  • Revise, investigue e obtenha correção orientada para alertas de deteção de ameaças em tempo de execução, avaliação de vulnerabilidades, configurações incorretas de segurança e desvio dos padrões de conformidade.

  • Habilite o plano do Defender for Containers e defina as configurações para o cluster AKS específico.

  • Atribua um proprietário e acompanhe o progresso de um problema de segurança. Esse recurso funciona quando o Defender Cloud Security Posture Management (Defender CSPM) está ativado para a assinatura.

Pré-requisitos

O Painel de Segurança do AKS mostra problemas de segurança para um cluster se pelo menos um dos seguintes planos estiver ativado:

Usando o Painel de Segurança do AKS

Aceda ao Painel de Segurança do AKS a partir de um painel de recursos de cluster AKS selecionando Microsoft Defender for Cloud na lista de menus.

Compreender as secções do painel

Conclusões de segurança

A barra de descobertas superior mostra o status de segurança do cluster. Para cada tipo de constatação, mostra o número de problemas de maior gravidade ou risco. Use as principais descobertas para decidir se deseja verificar as diferentes guias para investigação adicional.

Captura de ecrã da barra de resumo das constatações de segurança.

Guia Alertas de segurança

Os alertas de segurança são notificações do Defender for Cloud sobre atividades suspeitas ou ameaças potenciais ativas no seu ambiente. O serviço prioriza os alertas por risco.

Ao selecionar um alerta, você abre um painel que fornece mais informações sobre a deteção que disparou o alerta. O painel também sugere ações que você pode tomar para resolver o problema.

Severidade dos alertas

  • Alto Há uma alta probabilidade de que seu recurso esteja comprometido. Deve investigar imediatamente. O Defender for Cloud tem alta confiança tanto na intenção maliciosa quanto nas descobertas que usa para emitir o alerta.

  • Média O alerta provavelmente indica atividade suspeita e pode mostrar que um recurso está comprometido. A confiança no analítico ou achado é média. A confiança da intenção maliciosa é média a alta. Esses alertas geralmente vêm de aprendizado de máquina ou deteções baseadas em anomalias.

  • Baixo Este alerta pode ser um positivo benigno ou um ataque bloqueado.

  • Informativo Um incidente normalmente inclui vários alertas. Alguns alertas podem, por si só, parecer apenas informativos, mas, no contexto dos outros alertas, podem merecer uma análise mais atenta.

Investigar um alerta

  1. Analise a descrição do alerta e as etapas recomendadas para resposta no painel direito do alerta.

  2. Use os detalhes adicionais e as entidades relacionadas para identificar a carga de trabalho comprometida.

  3. Selecione Abrir logs para investigar os logs no período de tempo relevante.

  4. Crie uma regra de supressão para suprimir alertas futuros com características semelhantes se o alerta não for relevante para a sua organização. Saiba mais sobre as regras de supressão.

  5. Configure regras de segurança para o cluster para controlar alguns dos tipos de alerta. Saiba mais sobre como configurar políticas de deriva.

  6. Altere o status do alerta depois de atenuar um alerta para referência ou filtragem futura. Você precisa da função de administrador de segurança para alterar o status do alerta.

Observação

O Defender for Cloud também transmite alertas diretamente para o Microsoft XDR.

Saiba mais sobre alertas de segurança no Defender for Cloud.

Captura de ecrã do separador Alertas do Painel de Segurança do AKS a mostrar uma lista de alertas de segurança com colunas para gravidade, título, hora de início da atividade, hora da última atualização e estado.

Guia Avaliação de vulnerabilidade

O painel de segurança do AKS mostra os resultados da verificação de vulnerabilidades de software para a execução de contêineres e pools de nós do cluster. Ele gera uma lista priorizada de componentes vulneráveis. Essa lista é classificada por um mecanismo dinâmico que avalia os riscos em seu ambiente (disponível com o plano Defender CSPM habilitado) e considera o potencial de exploração.

A digitalização de imagens de contêiner inclui os seguintes tipos de pacotes:

  • Pacotes do SO: Verifica vulnerabilidades em pacotes que o gerenciador de pacotes do sistema operacional instala no sistema operacional Linux e Windows. Veja a lista completa do sistema operacional suportado e suas versões.

  • Pacotes específicos do idioma (somente Linux): Suporta a verificação de pacotes e arquivos específicos do idioma, juntamente com suas dependências, que são instalados ou copiados sem usar o gerenciador de pacotes do sistema operacional. Consulte a lista completa de idiomas suportados.

Rever os resultados da avaliação de vulnerabilidades

  1. Selecione o componente vulnerável na guia vulnerabilidades para abrir o painel de detalhes.

  2. Use os detalhes gerais para identificar o componente relevante e a propriedade para a correção.

  3. Analise a lista de CVEs, use o nome do pacote e as informações da versão fixa para identificar para qual versão do pacote o pacote deve ser atualizado para corrigir o problema.

  4. Use o proprietário atribuído (disponível com o plano Defender CSPM), para atribuir um proprietário para a correção, e notificá-lo por e-mail ou com um ticket em serviço agora.

Saiba mais sobre a avaliação de vulnerabilidades no Defender for Cloud.

Captura de ecrã do separador Vulnerabilidades a mostrar a lista de componentes vulneráveis com níveis de gravidade, contagens de CVE, pacotes afetados e pontuações de avaliação de risco.

Guia Configurações incorretas

O Microsoft Defender for Cloud monitora continuamente as APIs do Azure e do AKS, juntamente com as cargas de trabalho do Kubernetes. Ele identifica configurações dentro do cluster ou seus contêineres em execução que podem afetar a postura de segurança do cluster e expor o cluster a riscos. O Defender também oferece diretrizes e correções automáticas para resolver esses problemas.

Rever os resultados da avaliação de configuração incorreta

  1. Selecione o componente configurado incorretamente na guia configuração incorreta para abrir o painel de detalhes.

  2. Analise as etapas de descrição e correção.

  3. Para configurações incorretas no nível do cluster, use o botão Correção Rápida para iniciar o fluxo de correção.

  4. Para configurações incorretas de contêineres, é recomendável implantar uma política para evitar futuras implantações defeituosas. Use o link para uma política interna relevante de "Política do Azure".

  5. Use o proprietário atribuído (disponível com o plano Defender CSPM), para atribuir um proprietário para a correção, e notificá-lo por e-mail ou com um ticket em serviço agora.

Saiba mais sobre como corrigir erros de configuração de segurança com o Defender for Cloud.

Captura de ecrã do separador Misconfigurations a apresentar problemas de configuração de segurança.

Guia Conformidade

O Defender for Cloud avalia continuamente seu ambiente em relação a padrões regulatórios e benchmarks selecionados. Ele fornece uma visão clara do seu status de conformidade, destaca os requisitos não atendidos e oferece recomendações para ajudá-lo a melhorar sua postura de segurança na nuvem.

Como usar a guia de conformidade

  1. Configure o padrão de conformidade necessário ao qual você precisa aderir. Você configura o padrão no nível da assinatura. Siga o link para configuração na guia de conformidade ou nas configurações do painel.

  2. Depois que as normas relevantes forem selecionadas, use o resumo da guia de conformidade para entender qual norma você cumpre e qual requer etapas adicionais para cumprir.

  3. A grade da guia de conformidade mostra apenas recomendações para controles que o cluster ou seus componentes não estão cumprindo.

  4. Use os filtros para filtrar a grade de recomendações de acordo com suas necessidades.

  5. Selecione cada recomendação para abrir o painel de detalhes.

  6. Siga as etapas de remediação no painel lateral para cumprir com o controle relevante.

Saiba maissobre conformidade regulatória no Defender for Cloud.

Saiba mais sobre como configurar padrões de conformidade regulatória

Captura de tela da guia Conformidade mostrando os resultados da avaliação de conformidade regulamentar.

Ações em massa

Você pode selecionar várias recomendações ou alertas usando as caixas de seleção ao lado de cada recomendação. Em seguida, selecione Atribuir proprietário para recomendações ou Alterar status para alertas na barra de ferramentas do painel.

Conclusões de segurança da exportação

Selecione Baixar relatório CSV para baixar as descobertas de segurança do cluster como um arquivo CSV. Você também pode usar a API REST do Defender for Cloud para recuperar descobertas de segurança.

Configuração

Habilitação do plano

Habilite a proteção de contêineres do Microsoft Defender for Cloud (Defender for Containers) para um único cluster AKS ou no nível de assinatura para proteger todos os clusters nessa assinatura. Use o painel de configurações da barra de ferramentas do painel para habilitar o plano.

Observação

  • Ao ativar o Defender for Containers no nível da assinatura, você só pode alterar as configurações do plano no nível da assinatura.

  • Ao habilitar outros planos do Microsoft Defender for Cloud, você pode verificar todos os seus ativos de nuvem para identificar caminhos de ataque entre recursos, identificar riscos com mais precisão e fornecer alertas e visibilidade total de incidentes de segurança entre recursos. Mais informações.

Planejar configurações

  • Sensor do Defender – Implanta o agente do Defender for Containers no cluster. Este sensor é necessário para proteção contra ameaças em tempo de execução e recursos de implantação fechada.

  • Acesso à API do Kubernetes – Necessário para avaliação de vulnerabilidades, configurações incorretas, avaliação de conformidade e proteção contra ameaças em tempo de execução.

  • Acesso ao Registro – Necessário para avaliação de vulnerabilidades e recursos de implantação fechada.

  • Política do Azure - Implanta um agente no cluster para gerar recomendações para proteger o plano de dados do cluster.

Observação

Se você definir as configurações no nível da assinatura, elas substituirão todas as configurações definidas no nível do cluster.

Defina o plano do Defender for Containers para o cluster ou a assinatura usando comandos da API REST.

  • Last updated on