Microsoft Defender for Containers 是一款雲端原生解決方案,能強化、監控並維護您的容器化資產的安全。 這些資產包括 Kubernetes 叢集、節點、工作負載、登錄檔、映像檔等。 它能保護跨多雲及本地環境的應用程式。
Defender for Containers 協助你處理容器安全的五大核心領域:
安全態勢管理 持續監控雲端 API、Kubernetes API 及 Kubernetes 工作負載。 它能發現雲端資源,提供完整的庫存功能,根據緩解指引偵測錯誤設定,提供情境風險評估,並透過 Defender for Cloud 安全瀏覽器,讓使用者能執行更強的風險搜尋能力。
漏洞評估 - 對 容器登錄映像、執行容器及支援的 Kubernetes 節點 進行無代理漏洞評估,並附有修復指引、零設定、每日重掃、作業系統與語言套件覆蓋範圍,以及可利用性洞察。 弱點結果成品會以Microsoft憑證簽署,以取得完整性和真實性,並與登錄中的容器映射相關聯,以符合驗證需求。
運行時間威脅防護 - 適用於 Kubernetes 叢集、節點和工作負載的豐富威脅偵測套件,由Microsoft領先的威脅情報所提供,可提供 MITRE ATT&CK 架構的對應,以輕鬆了解風險和相關內容,以及自動化回應。 安全性操作員也可以透過 Microsoft Defender XDR 入口網站 調查並回應 Kubernetes 服務的安全威脅。
容器軟體供應鏈保護 ——透過從建置到部署內嵌安全檢查,強化您的軟體供應鏈。 它會掃描容器映像檔中的漏洞,對漏洞產出品以 Microsoft 憑證簽名以確保完整性與真實性,並將這些產出品與登錄檔中的映像關聯以進行驗證。 您可以透過建立規則來封鎖風險映像檔,並依據這些規則評估部署,來強制執行組織安全政策,幫助防止漏洞引入容器化環境。 請參閱 Kubernetes 容器映像的門控部署以了解更多資訊。
部署和監控 - 監控 Kubernetes 叢集中遺漏的感測器,並提供無摩擦的感測器相關功能大規模部署、支援標準 Kubernetes 監控工具,以及管理未受監控的資源。
您可以觀看現場影片系列中適用於雲端的 Defender 的這個影片來深入了解:適用於容器的 Microsoft Defender。
安全性狀態管理
無代理程式功能
Kubernetes 的無代理程式探索 - 針對 Kubernetes 叢集、設定和部署提供零足跡、API 型的探索。
無代理程式弱點評估 - 提供叢集節點和所有容器映像的弱點評估,包括登錄和運行時間的建議、新映射的快速掃描、結果的每日重新整理、惡意探索深入解析等等。 弱點資訊會新增至安全性圖表,以進行內容風險評量、攻擊路徑的計算和搜捕功能。
完整的清查功能 - 可讓您透過安全性總管探索資源、Pod、服務、存放庫、映像和設定,以輕鬆監視和管理您的資產。
增強式風險搜捕 - 可讓安全性系統管理員透過安全性總管中的查詢 (內建和自訂) 和安全性深入解析來主動搜捕容器化資產中的態勢問題
控制平面強化 - 持續評量叢集的設定,並將其與套用至訂用帳戶的方案進行比較。 當發現設定錯誤時,Defender for Cloud 會產生安全性建議,可在 Defender for Cloud 的建議頁面查看。 建議可讓您調查和補救問題。
您可以使用資源篩選來檢閱尚未解決的容器相關資源建議,無論是在資產目錄或建議頁面:
感應器型功能
二進位漂移偵測 - 適用於容器的 Defender 提供感測器型功能,藉由偵測容器內未經授權的外部進程來警示您潛在的安全性威脅。 您可以定義漂移原則來指定應該產生警示的條件,協助您區分合法活動與潛在威脅。 如需詳細資訊,請參閱 二進位漂移保護 (預覽)。
Kubernetes 資料平面強化 - 若要使用最佳做法建議來保護 Kubernetes 容器的工作負載,您可以安裝適用於 Kubernetes 的 Azure 原則。 深入了解適用於雲端的 Microsoft Defender 的監視元件。
使用為 Kubernetes 叢集定義的原則時,會先根據預先定義的最佳做法來監視每個對 Kubernetes API 伺服器的要求,再將其保存到叢集。 接下來,您可以加以設定來執行最佳做法,並強制未來的工作負載遵循這些做法。
例如,您可以要求不得建立具特殊權限的容器,而且未來任何相同的要求都會遭到封鎖。
您可以深入了解 Kubernetes 資料平面強化。
弱點評估
適用於容器的 Defender 服務會掃描叢集節點 OS 和應用程式軟體、Azure Container Registry(ACR)、Amazon AWS Elastic Container Registry(ECR)、Google Artifact Registry(GAR)、Google Container Registry(GCR)和支援的外部映像檔登錄中的容器映像檔,以提供無代理程式之弱點評估。
現在,針對 AKS 環境中的公開預覽,適用於容器的 Defender 也會對所有執行中的容器執行每日掃描,以提供與容器的映像登錄無關的更新弱點評量。
由 Microsoft Defender 弱點管理提供的弱點資訊會新增至雲端安全性圖表,以進行內容風險評量、攻擊路徑的計算和搜捕功能。
了解更多關於 支援 Defender for Containers 環境的漏洞評估,包括 叢集節點的漏洞評估。
Kubernetes 節點和叢集的執行階段防護
適用於容器的 Defender 可為受支援的容器化環境提供即時威脅防護,並針對可疑活動產生警示。 您可以使用這些資訊快速修復安全性問題並改善容器的安全性。
針對叢集、節點和工作負載層級的 Kubernetes 提供威脅防護。 需要 Defender 感應器的感應器型涵蓋範圍,以及基於 Kubernetes 稽核記錄分析的無代理程式涵蓋範圍,都會用來偵測威脅。 只會對您在訂用帳戶上啟用 Azure Defender for Containers 後發生的操作和部署觸發安全警報。
適用於容器的 Microsoft Defender 監視的安全性事件範例包括:
- 公開展示的 Kubernetes 儀表板
- 建立高特殊權限角色
- 建立敏感性掛接
如需有關 Defender for Containers 偵測到的警示的詳細資訊,包括警示模擬工具,請參閱 Kubernetes 叢集的相關警示。
容器防護具備威脅偵測功能,透過超過 60 種 Kubernetes 相關分析、人工智慧,以及基於運行時工作負載的異常偵測來實現。
適用於雲端的 Defender 會根據容器的 MITRE ATT&CK® 矩陣來監視多雲端 Kubernetes 部署的受攻擊面,這是由 Threat-Informed 防禦中心 與 Microsoft 密切合作所開發的架構。
適用於雲端的 Defender 可與 Microsoft Defender 全面偵測回應整合。 啟用適用於容器的 Defender 時,安全性作員可以使用 Defender XDR 來調查及回應 支援的 Kubernetes 服務中的安全性問題。
深入了解
在下列部落格中,深入了解 Defender for Containers:
下一步
在此概觀中,您已了解適用於雲端的 Microsoft Defender 中容器安全性的核心元素。 若要啟用方案,請參閱:
- 啟用適用於容器的 Defender
- 請參閱適用於容器的 Defender 常見問題 (部分機器翻譯)。