نظرة عامة على Microsoft Defender for Containers

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

Microsoft Defender for Containers هو حل السحابة الأصلي لتأمين الحاويات الخاصة بك.

في هذه الصفحة، ستتعلم كيف يمكنك استخدام Defender for Containers لتحسين ومراقبة وصيانة أمان المجموعات والحاويات وتطبيقاتها.

توفر خطة Microsoft Defender for Containers

الجانب	التفاصيل
حالة الإصدار:	التوافر العام (GA) بعض الميزات قيد المعاينة، للحصول على قائمة كاملة، راجع قسم التوفر .
توفر الميزة	راجع قسم التوفر للحصول على معلومات إضافية حول حالة إصدار الميزة والتوافر.
التسعير:	تتم فوترة Microsoft Defender for Containers كما هو موضح في صفحة التسعير
الأدوار والأذونات المطلوبة:	• لتوفير المكونات المطلوبة تلقائيا، راجع الأذونات لكل مكون من المكونات • يمكن لمسؤول الأمان تجاهل التنبيهات • يمكن لقارئ الأمان عرض نتائج تقييم الثغرات الأمنية راجع أيضا أدوار Azure Container Registry وأذوناته
سحب:	Azure: ⁧⁩ السحب التجارية السحب الوطنية (Azure Government، Azure China 21Vianet) (باستثناء ميزات المعاينة)) غير Azure: حسابات AWS المتصلة (معاينة) مشاريع GCP المتصلة (معاينة) On-prem/IaaS مدعوم عبر Kubernetes الممكنة في Arc (معاينة). لمزيد من التفاصيل، راجع قسم التوفر.

ما هي فوائد Microsoft Defender for Containers؟

يساعد Defender for Containers في الجوانب الأساسية لأمن الحاوية:

• زيادة حماية البيئة يحمي Defender for Containers أنظمة مجموعات Kubernetes الخاصة بك سواء كانت تعمل على Azure Kubernetes Service أو Kubernetes on-prem / IaaS أو Amazon EKS. من خلال التقييم المستمر لأنظمة المجموعات، يوفر Defender for Containers رؤية للتكوينات الخاطئة والإرشادات للمساعدة في التخفيف من التهديدات المحددة. تعرف على المزيد في تصلب.

• تقييم الثغرات الأمنية - أدوات تقييم الثغرات الأمنية وإدارتها للصور المخزنة في سجلات ACR وتشغيلها في Azure Kubernetes Service. تعرف على المزيد في تقييم الثغرات الأمنية.

• الحماية من التهديدات وقت التشغيل للعقد وأنظمة المجموعات - تعمل الحماية من التهديدات لأنظمة المجموعات وعقد Linux على إنشاء تنبيهات أمان للأنشطة المشبوهة. تعرف على المزيد في حماية وقت التشغيل لعقد Kubernetes ومجموعاتها ومضيفاتها.

تصلب

المراقبة المستمرة لمجموعات Kubernetes الخاصة بك - أينما تتم استضافتها

يقوم Defender for Cloud باستمرار بتقييم تكوينات أنظمة المجموعات الخاصة بك ومقارنتها بالمبادرات المطبقة على اشتراكاتك. عند العثور على تكوينات خطأ، ينشئ Defender for Cloud توصيات الأمان. استخدم صفحة توصيات Defender for Cloud لعرض التوصيات ومعالجة المشكلات. للحصول على تفاصيل حول توصيات Defender for Cloud ذات الصلة التي قد تظهر لهذه الميزة، راجع قسم الحساب في جدول التوصيات المرجعي.

بالنسبة لمجموعات Kubernetes على EKS، ستحتاج إلى توصيل حساب AWS الخاص بك ب Microsoft Defender for Cloud عبر صفحة إعدادات البيئة كما هو موضح في الاتصال حسابات AWS الخاصة بك إلى Microsoft Defender for Cloud. ثم تأكد من تمكين خطة CSPM.

عند مراجعة التوصيات المعلقة للموارد المتعلقة بالحاوية، سواء في مخزون الأصول أو صفحة التوصيات، يمكنك استخدام عامل تصفية الموارد:

تصلب مستوى بيانات Kubernetes

للحصول على مجموعة من التوصيات لحماية أحمال العمل لحاويات Kubernetes، قم بتثبيت نهج Azure ل Kubernetes. يمكنك أيضا النشر التلقائي لهذا المكون كما هو موضح في تمكين التوفير التلقائي للوكلاء والملحقات.

من خلال الوظيفة الإضافية على مجموعة AKS الخاصة بك، ستتم مراقبة كل طلب إلى خادم واجهة برمجة تطبيقات Kubernetes مقابل مجموعة محددة مسبقًا من أفضل الممارسات قبل استمرارها في المجموعة. يمكنك بعدها التهيئةلفرض وتفويض أفضل الممارسات لأحمال العمل المستقبلية.

على سبيل المثال، يمكنك فرض عدم إنشاء حاويات مميزة، وسيتم حظر أي طلبات مستقبلية تتطلب ذلك.

تعرف على المزيد في تقوية وحدة بيانات Kubernetes.

تقييم الثغرة الأمنية

مسح الصور ضوئيا في سجلات ACR

يتضمن Defender for Containers ماسحا ضوئيا متكاملا للثغرات الأمنية لمسح الصور في سجلات Azure Container Registry. يعمل الماسح الضوئي للثغرات الأمنية على صورة:

• عند دفع الصورة إلى السجل الخاص بك
• أسبوعيا على أي صورة تم سحبها خلال آخر 30
• عند استيراد الصورة إلى Azure Container Registry
• بشكل مستمر في حالات محددة

تعرف على المزيد في تقييم الثغرات الأمنية.

عرض الثغرات الأمنية لتشغيل الصور

تظهر التوصية تشغيل صور الحاوية نتائج الثغرات الأمنية التي تم حلها نقاط الضعف لتشغيل الصور باستخدام نتائج الفحص من سجلات ACR ومعلومات حول تشغيل الصور من ملف تعريف/ملحق أمان Defender. ستظهر الصور التي يتم نشرها من سجل غير ACR ضمن علامة التبويب غير القابلة للتطبيق .

الحماية في وقت التشغيل لعُقد ومجموعات Kubernetes

يوفر Defender for Cloud حماية من التهديدات في الوقت الفعلي للبيئات الحاوية الخاصة بك ويولد تنبيهات للأنشطة المشبوهة. يمكنك استخدام هذه المعلومات لمعالجة مشكلات الأمان بسرعة وتحسين أمان حاوياتك.

يتم توفير الحماية من التهديدات على مستوى نظام المجموعة من خلال ملف تعريف Defender وتحليل سجلات تدقيق Kubernetes. وتشمل الأمثلة على الأحداث في هذا المستوى لوحات معلومات Kubernetes المكشوفة، وإنشاء أدوار متميزة عالية، وإنشاء تحميلات حساسة.

بالإضافة إلى ذلك، يتجاوز اكتشاف التهديدات لدينا طبقة إدارة Kubernetes. يتضمن Defender for Containers الكشف عن التهديدات على مستوى المضيف مع أكثر من 60 تحليلا الذكاء الاصطناعي وكشفا عن الشذوذ استنادا إلى حمل عمل وقت التشغيل الخاص بك. يقوم فريقنا العالمي من الباحثين الأمنيين بمراقبة مشهد التهديدات باستمرار. ويضيفون تنبيهات ونقاط ضعف خاصة بالحاويات عند اكتشافها. يراقب هذا الحل معا سطح الهجوم المتزايد من عمليات نشر Kubernetes متعددة السحابات ويتعقب مصفوفة MITRE ATTCK&® للحاويات، وهو إطار عمل تم تطويره من قبل مركز الدفاع Threat-Informed بالشراكة الوثيقة مع Microsoft وغيرها.

يمكن العثور على القائمة الكاملة للتنبيهات المتوفرة في الجدول المرجعي للتنبيهات.

نظرة عامة على التصميم

تختلف بنية العناصر المختلفة المضمنة في النطاق الكامل للحماية التي يوفرها Defender for Containers اعتماداً على مكان استضافة أنظمة مجموعات Kubernetes الخاصة بك.

يحمي Defender for Containers أنظمة المجموعات الخاصة بك سواء كانت تعمل في:

• خدمة Azure Kubernetes Service (AKS) - خدمة Microsoft المدارة لتطوير تطبيقات الحاوية وتوزيعها وإدارتها.

• Amazon Elastic Kubernetes Service (EKS) في حساب Amazon Web Services (AWS) المتصل - خدمة Amazon المدارة لتشغيل Kubernetes على AWS دون الحاجة إلى تثبيت وتشغيل وصيانة وحدة التحكم أو العقد الخاصة بك في Kubernetes.

• محرك Google Kubernetes (GKE) في مشروع Google Cloud Platform (GCP) متصل - بيئة Google المدارة لنشر التطبيقات وإدارتها وتوسيع نطاقها باستخدام البنية الأساسية ل GCP.

• توزيع Kubernetes غير مدار (باستخدام Kubernetes الممكن في Azure Arc) - مجموعات Kubernetes المعتمدة من Cloud Native Computing Foundation (CNCF) المستضافة محليا أو على IaaS.

ملاحظة

يعد دعم Defender for Containers لمجموعات Kubernetes الممكنة بواسطة Arc (AWS EKS وGCP GKE) ميزة معاينة.

للحصول على رسومات تخطيطية عالية المستوى لكل سيناريو، راجع علامات التبويب ذات الصلة أدناه.

في الرسومات التخطيطية، سترى أن العناصر التي تم تلقيها وتحليلها بواسطة Defender for Cloud تتضمن:

• سجلات التدقيق وأحداث الأمان من خادم واجهة برمجة التطبيقات
• معلومات تكوين نظام المجموعة من وحدة التحكم
• تكوين حمل العمل من نهج Azure
• إشارات الأمان والأحداث من مستوى العقدة

Azure (AKS)

رسم تخطيطي هيكلي لمجموعات Defender for Cloud وAKS

عندما يحمي Defender for Cloud مجموعة مستضافة في خدمة Azure Kubernetes، تكون مجموعة بيانات سجل التدقيق بدون عامل وبلا احتكاك.

يوفر ملف تعريف Defender (معاينة) المنشور في كل عقدة حماية وقت التشغيل ويجمع الإشارات من العقد باستخدام تقنية eBPF.

تجمع الوظيفة الإضافية لنهج Azure ل Kubernetes تكوين نظام المجموعة وعبء العمل لنهج التحكم في القبول كما هو موضح في حماية أحمال عمل Kubernetes الخاصة بك.

ملاحظة

ملف تعريف Defender for Containers'Defender هو ميزة معاينة.

تفاصيل مكون ملف تعريف Defender

اسم الجراب	مساحة الاسم	النوع	وصف مختصر	القدرات	حدود الموارد	Egress مطلوب
azuredefender-collector-ds-*	kube-system	DaemonSet	مجموعة من الحاويات التي تركز على جمع المخزون وأحداث الأمان من بيئة Kubernetes.	SYS_ADMIN، SYS_RESOURCE، SYS_PTRACE	الذاكرة: 64Mi وحدة المعالجة المركزية: 60m	لا
azuredefender-collector-misc-*	kube-system	توزيع	مجموعة من الحاويات التي تركز على جمع المخزون وأحداث الأمان من بيئة Kubernetes غير المرتبطة بعقدة معينة.	غير متوفر	الذاكرة: 64Mi وحدة المعالجة المركزية: 60m	لا
azuredefender-publisher-ds-*	kube-system	DaemonSet	نشر البيانات التي تم جمعها إلى خدمة الواجهة الخلفية ل Microsoft Defender for Containers حيث ستتم معالجة البيانات وتحليلها.	غير متوفر	الذاكرة: 200Mi وحدة المعالجة المركزية: 60m	Https 443 تعرف على المزيد حول متطلبات الوصول الصادرة

* حدود الموارد غير قابلة للتكوين

محلياً / خدمة تأجير البنية التحتية (Arc)

رسم تخطيطي للبنية ل Defender for Cloud ومجموعات Kubernetes الممكنة بواسطة Arc

بالنسبة لجميع المجموعات المستضافة خارج Azure، يلزم Kubernetes الممكنة في Azure Arc لتوصيل المجموعات ب Azure وتوفير خدمات Azure مثل Defender for Containers.

مع اتصال نظام المجموعة ب Azure، يجمع ملحق Arc بيانات سجلات تدقيق Kubernetes من جميع عقد وحدة التحكم في نظام المجموعة ويرسلها إلى الواجهة الخلفية ل Microsoft Defender for Cloud في السحابة لمزيد من التحليل. يتم تسجيل الملحق مع مساحة عمل Log Analytics المستخدمة كبنية أساسية للبيانات، ولكن لا يتم تخزين بيانات سجل التدقيق في مساحة عمل Log Analytics.

يتم جمع معلومات تكوين حمل العمل بواسطة وظيفة إضافية لنهج Azure. كما هو موضح في صفحة Azure Policy for Kubernetes هذه، تقوم الوظيفة الإضافية بتوسيع خطاف الويب الخاص بوحدة تحكم القبول في Gatekeeper v3 مفتوح المصدر ل Open Policy Agent. تُعد وحدات التحكم في القبول في Kubernetes الإضافات التي تفرض آلية استخدام مجموعاتك الخاصة. يتم تسجيل الوظيفة الإضافية كخط ويب للتحكم في قبول Kubernetes وتمكنك من تطبيق عمليات الإنفاذ والضمانات على نطاق واسع على مجموعاتك بطريقة مركزية ومتسقة.

ملاحظة

يعد دعم Defender for Containers لمجموعات Kubernetes التي تدعم Arc ميزة معاينة.

AWS (EKS)

رسم تخطيطي للبنية لمجموعات Defender for Cloud وEKS

يصف ما يلي المكونات الضرورية لتلقي الحماية الكاملة التي يوفرها Microsoft Defender for Cloud for Containers.

• سجلات تدقيق Kubernetes - تتيح CloudWatch لحساب AWS بيانات سجل التدقيق وتجمعها من خلال مجمع بدون وكيل، وترسل المعلومات التي تم جمعها إلى الواجهة الخلفية ل Microsoft Defender for Cloud لمزيد من التحليل.

• Kubernetes التي تدعم Azure Arc - حل يستند إلى عامل يربط مجموعات EKS الخاصة بك ب Azure. ثم يكون Azure قادرا على توفير خدمات مثل Defender و Policy كملحقات Arc.

• ملحق Defender - DeamonSet الذي يجمع الإشارات من المضيفين باستخدام تقنية eBPF، ويوفر حماية وقت التشغيل. يتم تسجيل الملحق مع مساحة عمل Log Analytics، ويستخدم كبنية أساسية للبيانات. ومع ذلك، لا يتم تخزين بيانات سجل التدقيق في مساحة عمل Log Analytics.

• ملحق نهج Azure - يتم جمع معلومات تكوين حمل العمل بواسطة الوظيفة الإضافية Azure Policy. تعمل الوظيفة الإضافية لنهج Azure على توسيع خطاف الويب الخاص بوحدة التحكم في قبول Gatekeeper v3 مفتوحة المصدر ل Open Policy Agent. يسجل الملحق كربط ويب بالتحكم في قبول Kubernetes ويجعل من الممكن تطبيق عمليات الإنفاذ على نطاق واسع، والضمانات على مجموعاتك بطريقة مركزية ومتسقة. لمزيد من المعلومات، راجع فهم نهج Azure لمجموعات Kubernetes.

ملاحظة

يعد دعم Defender for Containers لمجموعات AWS EKS ميزة معاينة.

GCP (GKE)

رسم تخطيطي للبنية لمجموعات Defender for Cloud وGKE

يصف ما يلي المكونات الضرورية لتلقي الحماية الكاملة التي يوفرها Microsoft Defender for Cloud for Containers.

• سجلات تدقيق Kubernetes - يتيح تسجيل سحابة GCP بيانات سجل التدقيق ويجمعها من خلال مجمع بدون وكيل، ويرسل المعلومات التي تم جمعها إلى الواجهة الخلفية ل Microsoft Defender for Cloud لمزيد من التحليل.

• Kubernetes التي تدعم Azure Arc - حل يستند إلى عامل يربط مجموعات EKS الخاصة بك ب Azure. ثم يكون Azure قادرا على توفير خدمات مثل Defender و Policy كملحقات Arc.

• ملحق Defender - DeamonSet الذي يجمع الإشارات من المضيفين باستخدام تقنية eBPF، ويوفر حماية وقت التشغيل. يتم تسجيل الملحق مع مساحة عمل Log Analytics، ويستخدم كبنية أساسية للبيانات. ومع ذلك، لا يتم تخزين بيانات سجل التدقيق في مساحة عمل Log Analytics.

• ملحق نهج Azure - يتم جمع معلومات تكوين حمل العمل بواسطة الوظيفة الإضافية Azure Policy. تعمل الوظيفة الإضافية لنهج Azure على توسيع خطاف الويب الخاص بوحدة التحكم في قبول Gatekeeper v3 مفتوحة المصدر ل Open Policy Agent. يسجل الملحق كربط ويب بالتحكم في قبول Kubernetes ويجعل من الممكن تطبيق عمليات الإنفاذ على نطاق واسع، والضمانات على مجموعاتك بطريقة مركزية ومتسقة. لمزيد من المعلومات، راجع فهم نهج Azure لمجموعات Kubernetes.

ملاحظة

يعد دعم Defender for Containers لمجموعات GCP GKE ميزة معاينة.

الأسئلة المتداولة - Defender للحاويات

• ما هي الخيارات لتمكين الخطة الجديدة على نطاق واسع؟
• هل يدعم Microsoft Defender for Containers مجموعات AKS مع مجموعة مقياس الأجهزة الظاهرية (VMSS)؟
• هل يدعم Microsoft Defender for Containers AKS بدون مجموعة مقياس (افتراضي)؟
• هل أحتاج إلى تثبيت ملحق Log Analytics VM على عقد AKS الخاصة بي لحماية الأمان؟

ما هي الخيارات لتمكين الخطة الجديدة على نطاق واسع؟

لقد قمنا بطرح نهج جديد في نهج Azure، تكوين Microsoft Defender for Containers ليتم تمكينه، لتسهيل تمكين الخطة الجديدة على نطاق واسع.

هل يدعم Microsoft Defender for Containers مجموعات AKS مع مجموعة مقياس الأجهزة الظاهرية (VMSS)؟

نعم.

هل يدعم Microsoft Defender for Containers AKS بدون مجموعة مقياس (افتراضي)؟

كلا. يتم دعم مجموعات Azure Kubernetes Service (AKS) التي تستخدم مجموعات مقياس الجهاز الظاهري للعقد فقط.

هل أحتاج إلى تثبيت ملحق Log Analytics VM على عقد AKS الخاصة بي لحماية الأمان؟

لا، إن AKS هي خدمة مدارة، والتلاعب بموارد IaaS غير مدعوم. ملحق Log Analytics VM غير مطلوب وقد يؤدي إلى رسوم إضافية.

الخطوات التالية

في هذه النظرة العامة، تعرفت على العناصر الأساسية لأمان الحاوية في Microsoft Defender for Cloud. لتمكين الخطة، راجع:

تمكين Defender للحاويات