Gambaran Umum Microsoft Defender untuk Kontainer

Microsoft Defender untuk Kontainer adalah solusi cloud-native untuk mengamankan kontainer sehingga Anda dapat meningkatkan, memantau, dan menjaga keamanan kluster, kontainer, dan aplikasinya.

Microsoft Defender untuk Kontainer membantu aspek inti keamanan kontainer:

  • Pengerasan lingkungan - Defender untuk Kontainer melindungi kluster Kubernetes Anda baik yang dijalankan di Azure Kubernetes Service, Kubernetes lokal/IaaS, atau Amazon EKS. Dengan terus menilai kluster, Defender untuk Kontainer memberikan visibilitas ke kesalahan konfigurasi dan panduan untuk membantu mengurangi ancaman yang teridentifikasi.

  • Penilaian kerentanan - Alat penilaian dan pengelolaan kerentanan untuk gambar disimpan di registry ACR dan berjalan di Azure Kubernetes Service.

  • Perlindungan ancaman run-time untuk node dan kluster - Perlindungan ancaman untuk kluster dan node Linux menghasilkan peringatan keamanan untuk aktivitas yang mencurigakan.

Anda dapat mempelajari lebih lanjut dengan menonton video ini dari seri video Defender untuk Cloud dalam Bidang: Microsoft Defender untuk Kontainer.

Ketersediaan paket Microsoft Defender untuk Kontainer

Aspek Detail
Status rilis: Ketersediaan umum (GA)
Fitur tertentu sedang dalam pratinjau, untuk daftar lengkapnya, lihat bagian ketersediaan.
Ketersediaan fitur Lihat bagian ketersediaan untuk informasi tambahan tentang status dan ketersediaan rilis fitur.
Harga: Microsoft Defender untuk Kontainer ditagih seperti yang ditunjukkan pada halaman harga
Peran dan izin akses yang diperlukan: • Untuk memprovisikan komponen yang diperlukan secara otomatis, lihat izin untuk setiap komponen
Admin keamanan dapat mematikan pemberitahuan
Pembaca keamanan dapat melihat temuan penilaian kerentanan
Lihat juga Peran dan izin Azure Container Registry
Cloud: Azure:
Cloud komersial
Cloud nasional (Azure Government, Azure Tiongkok) (Kecuali untuk fitur pratinjau))

Non-Azure:
Akun AWS yang terhubung (Pratinjau)
Proyek GCP yang terhubung (Pratinjau)
Lokal/IaaS didukung melalui Kubernetes berkemampuan Arc (Pratinjau).

Untuk informasi selengkapnya tentang, lihat bagian ketersediaan.

Penguatan

Pemantauan berkelanjutan terhadap kluster Kubernetes Anda - di mana kluster dihosting

Defender untuk Cloud terus menilai konfigurasi kluster Anda dan membandingkannya dengan inisiatif yang diterapkan pada langganan Anda. Ketika menemukan kesalahan konfigurasi, Defender untuk Cloud menghasilkan rekomendasi keamanan yang tersedia di halaman Rekomendasi Defender untuk Cloud. Rekomendasi memungkinkan Anda menyelidiki dan memulihkan masalah. Untuk mengetahui detail rekomendasi yang mungkin muncul untuk fitur ini, lihat bagian komputasi dari tabel referensi rekomendasi.

Untuk kluster Kubernetes di EKS, Anda harus menghubungkan akun AWS Anda ke Microsoft Defender untuk Cloud dan memastikan Anda telah mengaktifkan rencana CSPM.

Anda dapat menggunakan filter sumber daya untuk meninjau rekomendasi luar biasa untuk sumber daya terkait kontainer, baik di inventaris aset atau di halaman rekomendasi:

Cuplikan layar yang menampilkan tempat filter sumber daya berada.

Penguatan data plane Kubernetes

Untuk melindungi beban kerja kontainer Kubernetes Anda dengan rekomendasi yang disesuaikan, Anda dapat menginstal Azure Policy untuk Kubernetes. Anda juga dapat menyebarkan komponen ini secara otomatis seperti yang dijelaskan dalam mengaktifkan provisi otomatis agen dan ekstensi.

Dengan add-on pada kluster AKS, setiap permintaan ke server Kubernetes API akan dipantau terhadap set praktik terbaik yang telah ditentukan sebelumnya sebelum ditembus ke kluster. Selanjutnya Anda dapat mengonfigurasinya untuk memberlakukan praktik terbaik dan memandatkannya untuk beban kerja di masa depan.

Misalnya, Anda dapat mengamanatkan bahwa kontainer istimewa tidak boleh dibuat, dan permintaan apa pun di masa mendatang untuk melakukan demikian akan diblokir.

Anda dapat mempelajari lebih lanjut tentang pengerasan sarana data Kubernetes.

Penilaian kerentanan

Memindai gambar di dalam registri ACR

Defender untuk Kontainer menyertakan pemindai kerentanan terintegrasi untuk memindai gambar di registri Azure Container Registry. Pemindai kerentanan berjalan pada citra:

  • Saat Anda mendorong citra ke registri Anda
  • Mingguan pada citra apa pun yang ditarik dalam 30 terakhir
  • Saat Anda mengimpor citra ke Azure Container Registry Anda
  • Tetap dalam situasi tertentu

Pelajari lebih lanjut di Penilaian kerentanan.

Contoh rekomendasi Microsoft Defender untuk Cloud tentang kerentanan yang ditemukan di gambar yang dihosting Azure Container Registry (ACR).

Melihat kerentanan untuk menjalankan gambar

Rekomendasi Running container images should have vulnerability findings resolved menunjukkan kerentanan untuk menjalankan gambar dengan menggunakan hasil pemindaian dari registri ACR dan informasi tentang menjalankan gambar dari agen Defender. Gambar yang disebarkan dari registri non-ACR, akan muncul di bawah tab Tidak berlaku.

Cuplikan layar yang menampilkan tempat rekomendasi dapat dilihat.

Perlindungan run-time untuk node dan kluster Kubernetes

Defender untuk Kontainer menyediakan proteksi peringatan real time untuk lingkungan dalam kontainer dan membuat pemberitahuan untuk aktivitas mencurigakan. Anda dapat menggunakan informasi ini untuk memperbaiki masalah keamanan dengan cepat dan meningkatkan keamanan server Anda. Perlindungan ancaman di tingkat kluster disediakan oleh agen Defender dan analisis log audit Kubernetes. Contoh peristiwa pada level ini termasuk dasbor Kubernetes yang terbuka, pembuatan peran dengan hak istimewa tinggi, dan pembuatan tunggangan sensitif.

Selain itu, deteksi ancaman kami melampaui lapisan manajemen Kubernetes. Defender untuk Kontainer mencakup deteksi ancaman tingkat host dengan lebih dari 60 analisis Kubernetes, AI, dan deteksi anomali berdasarkan beban kerja runtime Anda.

Solusi ini memantau permukaan serangan yang terus bertambah dari penyebaran Kubernetes multi-cloud dan melacak matriks MITRE ATT&CK® untuk Kontainer, kerangka kerja yang dikembangkan oleh Center for Threat-Informed Defense dalam kerja samanya yang erat dengan Microsoft dan lainnya.

FAQ - Microsoft Defender untuk Kontainer

Apa saja opsi untuk mengaktifkan paket baru dalam skala besar?

Anda dapat menggunakan Azure Policy Configure Microsoft Defender for Containers to be enabled, untuk mengaktifkan Defender untuk Kontainer dalam skala besar. Anda juga dapat melihat semua opsi yang tersedia untuk mengaktifkan Microsoft Defender untuk Kontainer.

Apakah Microsoft Defender untuk Kontainer mendukung kluster AKS dengan set skala mesin virtual (VMSS)?

Ya.

Apakah Microsoft Defender untuk Kontainer mendukung AKS tanpa set skala (default)?

Nomor. Hanya kluster Azure Kubernetes Service (AKS) yang menggunakan set skala mesin virtual untuk simpul yang didukung.

Apakah saya perlu memasang ekstensi mesin virtual Log Analytics di node AKS untuk perlindungan keamanan?

Tidak, AKS adalah layanan terkelola, dan manipulasi sumber daya IaaS tidak didukung. Ekstensi mesin virtual (VM) Log Analytics tidak diperlukan dan dapat mengakibatkan biaya tambahan.

Selengkapnya

Pelajari selengkapnya tentang Defender untuk Kontainer di blog berikut:

Status rilis Defender untuk Kontainer dibagi berdasarkan dua dimensi: lingkungan dan fitur. Jadi, misalnya:

  • Rekomendasi data plane Kubernetes untuk kluster AKS adalah GA
  • Rekomendasi data plane Kubernetes untuk kluster EKS adalah pratinjau

Untuk melihat status matriks lengkap fitur dan lingkungan, lihat Ketersediaan fitur Microsoft Defender untuk Kontainer.

Langkah berikutnya

Dalam gambaran umum ini, Anda telah mempelajari tentang elemen inti keamanan kontainer di Microsoft Defender untuk Cloud. Untuk mengaktifkan rencana, lihat: