Descripción de Microsoft Defender para contenedores
Microsoft Defender para contenedores es la solución nativa de nube para proteger sus contenedores.
Características de Defender para contenedores
Protección del entorno: Defender para contenedores protege los clústeres de Kubernetes tanto si se ejecutan en Azure Kubernetes Service, Kubernetes local o IaaS como en Amazon EKS. Al evaluar continuamente los clústeres, Defender for Containers proporciona visibilidad sobre las configuraciones incorrectas y las directrices para ayudar a mitigar las amenazas identificadas.
Evaluación de vulnerabilidades: Herramientas de evaluación y administración de vulnerabilidades para imágenes almacenadas en registros de ACR y que se ejecutan en Azure Kubernetes Service.
Protección contra amenazas en tiempo de ejecución para nodos y clústeres: la protección contra amenazas para clústeres y nodos de Linux genera alertas de seguridad para actividades sospechosas.
Architecture
La arquitectura de los elementos necesarios para la gama completa de protecciones proporcionadas por Defender para contenedores varía en función de dónde se hospedan los clústeres de Kubernetes.
Defender para contenedores protege los clústeres al margen de si se ejecutan en los siguientes entornos:
Azure Kubernetes Service (AKS): servicio administrado por Microsoft para desarrollar, implementar y administrar aplicaciones contenedorizadas.
Amazon Elastic Kubernetes Service (EKS) en una cuenta de Amazon Web Services (AWS) conectada: el servicio administrado de Amazon para ejecutar Kubernetes en AWS sin necesidad de instalar, operar y mantener nodos propios o un plano de control de Kubernetes.
Una distribución de Kubernetes no administrada (mediante Kubernetes habilitado para Azure Arc): clústeres de Kubernetes certificados de Cloud Native Computing Foundation (CNCF) hospedados localmente o en IaaS.
Defender for Cloud evalúa continuamente las configuraciones de los clústeres y las compara con las iniciativas aplicadas a las suscripciones. Cuando encuentra configuraciones incorrectas, Defender para la nube genera recomendaciones de seguridad. Use la página de recomendaciones de Defender for Cloud para ver las recomendaciones y corregir los problemas.
En el caso de los clústeres de Kubernetes en EKS, deberá conectar su cuenta de AWS a Microsoft Defender for Cloud a través de la página de configuración del entorno, como se describe en Conectar las cuentas de AWS a Microsoft Defender for Cloud. A continuación, asegúrese de que ha habilitado el plan CSPM.
Protección del entorno
Para recibir un conjunto de recomendaciones para proteger las cargas de trabajo de los contenedores Kubernetes, instale el Azure Policy para Kubernetes. De forma predeterminada, el aprovisionamiento automático está habilitado al habilitar Defender for Containers.
Con el complemento en el clúster de AKS, todas las solicitudes al servidor de la API de Kubernetes se supervisarán según el conjunto predefinido de procedimientos recomendados antes de que se guarden en el clúster. Después, puede realizar la configurar para aplicar los procedimientos recomendados y exigirlos para futuras cargas de trabajo.
Por ejemplo, puede exigir que no se creen los contenedores con privilegios y que se bloqueen las solicitudes futuras para este fin.
Visualización de vulnerabilidades para imágenes en ejecución
Defender para contenedores amplía las características de análisis del Registro del plan Defender para registros de contenedor mediante la introducción de la característica en vista previa de visibilidad en tiempo de ejecución de las vulnerabilidades con tecnología de una extensión o el perfil de Defender.
La nueva recomendación, "Las imágenes del contenedor de ejecución deben tener resultados de vulnerabilidad resueltos", solo muestra vulnerabilidades para la ejecución de imágenes. La recomendación se basa en el perfil de seguridad de Defender o en la extensión para descubrir qué imágenes se están ejecutando actualmente. Esta recomendación agrupa las imágenes en ejecución que tienen vulnerabilidades, y brinda detalles sobre los problemas detectados y cómo corregirlos. La extensión o el perfil de Defender se usan para obtener visibilidad de los contenedores vulnerables que están activos.
En esta recomendación se muestran las imágenes en ejecución y sus vulnerabilidades basadas en imágenes de ACR. Las imágenes que se implementan desde un registro que no es de ACR, no se examinarán y aparecerán en la pestaña No aplicable.
Protección en tiempo de ejecución de los clústeres y nodos de Kubernetes
Defender for Cloud proporciona protección contra amenazas en tiempo real para los entornos en contenedores y genera alertas de actividades sospechosas. Puede usar esta información para corregir problemas de seguridad y mejorar la seguridad de los contenedores rápidamente.
La protección contra amenazas en el nivel de clúster se proporciona mediante el perfil de Defender y el análisis de los registros de auditoría de Kubernetes. Entre los ejemplos de eventos en este nivel se incluyen los paneles de Kubernetes expuestos, y la creación de roles con privilegios elevados y de montajes confidenciales.
Además, nuestra detección de amenazas va más allá del nivel de administración de Kubernetes. Defender for Containers incluye la detección de amenazas de nivel de host con más de 60 detecciones de anomalías, inteligencia artificial y análisis con reconocimiento de Kubernetes en función de la carga de trabajo en tiempo de ejecución. Nuestro equipo global de investigadores de seguridad supervisa constantemente el panorama de las amenazas. Agregan alertas específicas del contenedor y vulnerabilidades a medida que se detectan. En conjunto, esta solución supervisa la creciente superficie de ataque de las implementaciones de Kubernetes en múltiples nubes y realiza el seguimiento de la matriz MITRE ATT&CK® para contenedores. Un marco desarrollado por el Centro para la Defensa Informada sobre Amenazas en estrecha colaboración con Microsoft y otros asociados.