你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Microsoft Defender for Containers 为 Azure Kubernetes 服务 (AKS) 群集提供企业级安全性。 它通过漏洞扫描、运行时威胁检测、软件供应链功能和安全状况管理提供全面的保护,这些功能都与 Azure 服务本机集成。
什么是 Defender for Containers?
Defender for Containers 是一种云原生安全解决方案,可在整个生命周期内保护容器化应用程序。 对于 Azure 环境,它提供与 ACR 和 AKS 的无缝集成,以提供实时保护、持续安全评估和可作建议,而无需复杂的配置或第三方工具。
小窍门
有关跨所有环境的 Defender for Containers 功能的全面概述,请参阅 Microsoft Defender for Containers 概述。
该解决方案可帮助安全和平台团队防止漏洞到达生产环境、检测和响应运行时威胁,并通过 Microsoft Defender for Cloud 中的统一体验维护符合安全标准。
它如何与 Azure 配合使用
Defender for Containers 利用原生 Azure 集成,在不增加复杂性的情况下提供安全性。 当您在订阅中启用它时,该解决方案将:
- 自动发现 Azure 订阅中的所有 AKS 群集和容器注册表
- 部署了一种轻型安全传感器,原生集成在 AKS 资源提供程序(RP)中,用于运行时威胁防护和 AKS 部署门控。
- 自动扫描 Azure 容器注册表(ACR)中的容器映像以检测漏洞,该过程在映像推送到注册表时启动并持续进行。
- 除了传感器收集的数据外,还使用 Azure 本机遥测监视运行时行为
- 提供与 Azure 安全性和行业最佳做法一致的安全建议
- 生成与 Microsoft XDR 和 Microsoft Sentinel 集成的警报
这种深度集成意味着无需管理额外的基础结构、复杂的网络配置或单独的安全工具即可获得全面的安全性。
关键功能
Defender for Containers 跨四个关键领域提供安全性:
| 能力 | Description | 主要功能 |
|---|---|---|
| 漏洞评估 | 扫描容器映像的整个生命周期 - 在注册表、运行时环境和 CI/CD 管道中 | • 注册表扫描(ACR 推送和定期) • 运行时无代理扫描 • 用于管道集成的 CLI 工具 • 对 Linux 和 Windows 映像的支持 • CVSS 评分和详细的补救措施 |
| 运行时威胁防护 | 实时监视 AKS 群集是否存在恶意活动和异常 调查和响应功能 |
• Kubernetes 审核日志分析 • 容器行为监视和进程分析 • 网络异常情况检测 • 偏移保护 • 自定义警报 • 与 Microsoft Sentinel 和 Microsoft XDR 集成,包括调查和响应功能 |
| 安全状况管理 | 根据安全基准评估群集配置 | • CIS Kubernetes 基准 • Azure 安全基准和行业最佳做法 • 自定义符合性策略 • 自动整改选项 |
| 封闭式部署 | 防止易受攻击或配置错误的工作负荷到达生产环境 | • 基于漏洞严重性阻止部署 • 强制实施配置的安全基线 • 与 Azure Policy 及准入控制器集成 • DevOps 管道入口 |
体系结构概述
有关详细体系结构信息,请参阅 容器安全体系结构。
适用于 AKS 上容器的 Defender 使用轻量级、由 Azure 管理的组件:
- Defender 传感器(守护程序集): 在 AKS 节点上运行,收集运行时遥测(Kubernetes 事件、进程、网络),并将其安全地发送到 Defender for Cloud。
- Azure Policy: Kubernetes 准入控制的 Webhook。 在群集中以 Pod 身份运行。 提供强制实施配置规则的选项。
- ACR 集成: Azure 容器注册表的推送触发和定期映像扫描。
- 无代理发现: 提供 Kubernetes 群集的可见性,而无需任何代理,使用 Azure 本机功能来发现和评估群集配置。
- 对计算机的无代理扫描: Kubernetes 节点的定期磁盘快照,用于在带外执行对存储在快照中的操作系统配置和文件系统的深入分析。 不需要任何已安装的代理或网络连接,并且不会影响计算机性能。
- Microsoft XDR 集成: 与Microsoft扩展的检测和响应平台无缝集成,以便统一安全作和事件响应。
这些组件无缝协作,无需与群集建立入站连接,并利用 Azure 的本机安全基础结构。 Defender for Cloud 支持连续地导出内容至 Microsoft Sentinel、Event Hubs 或 Log Analytics,以便进行更深入的监视和分析。
部署选项
Defender for Containers 支持灵活的部署方法,以满足您的操作偏好:
- Azure 门户部署 - 引导式视觉体验非常适合初始设置和管理
- Azure 程序化部署 - 用于自动化场景的脚本化部署
选择最适合组织 DevOps 实践和治理要求的方法。
先决条件
在 AKS 上部署 Defender for Containers 之前,请确保满足以下要求:
- 运行 Kubernetes 1.19 或更高版本的 AKS 群集
- 出站 HTTPS 到 Azure 终结点的网络连接
- 默认情况下,AKS 群集具有不受限制的出站(出口)Internet 访问权限。 具有受限出口的群集必须允许特定终结点。 请参阅: Microsoft Defender for Containers - 必需的 FQDN/应用程序规则
Pricing
有关当前定价和成本估算,请参阅 Microsoft Defender for Cloud 定价。
查看当前覆盖范围
Defender for Cloud 通过 Azure 工作簿提供对工作簿的访问权限。 工作簿是可自定义的报表,可提供对安全状况的见解。
覆盖率工作簿通过显示哪些计划在订阅和资源上启用,帮助你了解当前的覆盖范围。
后续步骤
准备好保护 AKS 群集吗? 选择部署路径:
- 通过门户启用所有组件 - 建议进行全面保护
- 以编程方式部署 - 对于自动化和 DevOps 方案
- 验证部署 - 确保所有组件都正常运行