Panoramica di Microsoft Defender per contenitori

Microsoft Defender per contenitori è la soluzione nativa del cloud per proteggere i contenitori in modo da poter migliorare, monitorare e mantenere la sicurezza dei cluster, dei contenitori e delle applicazioni.

Come funziona Defender per i contenitori in ogni piattaforma Kubernetes?

Per altre informazioni, vedere Microsoft Defender per contenitori usando Microsoft Defender per contenitori.

Disponibilità del piano di Microsoft Defender per contenitori

Aspetto Dettagli
Stato della versione: Disponibilità generale (GA)
Alcune funzionalità sono in anteprima per un elenco completo, vedere la sezione disponibilità .
Disponibilità delle funzionalità Per altre informazioni sullo stato e sulla disponibilità della funzionalità, vedere la sezione disponibilità .
Prezzi: Microsoft Defender per contenitori viene fatturato come illustrato nella pagina dei prezzi
Autorizzazioni e ruoli obbligatori: • Per effettuare il provisioning automatico dei componenti necessari, vedere le autorizzazioni per ognuno dei componenti
L'amministratore della sicurezza può ignorare gli avvisi
Il lettore di sicurezza può visualizzare i risultati della valutazione delle vulnerabilità
Vedere anche Registro Azure Container ruoli e autorizzazioni
Cloud: Azure:
Cloud commerciali
Cloud nazionali (Azure per enti pubblici, Azure China 21Vianet) (ad eccezione delle funzionalità di anteprima)

Non Azure:
Account AWS connessi (anteprima)
Progetti GCP connessi (anteprima)
On-prem/IaaS supportato tramite Arc enabled Kubernetes (anteprima).

Per altre informazioni, vedere la sezione disponibilità.

Quali sono i vantaggi di Microsoft Defender per i contenitori?

Defender per contenitori è utile negli aspetti principali della sicurezza dei contenitori:

Protezione avanzata

Monitoraggio continuo dei cluster Kubernetes: ovunque siano ospitati

Defender per il cloud valuta continuamente le configurazioni dei cluster e le confronta con le iniziative applicate alle sottoscrizioni. Quando rileva errori di configurazione, Defender per il cloud genera raccomandazioni sulla sicurezza. Usare la pagina dei consigli di Defender per il cloud per visualizzare i consigli e correggere i problemi. Per informazioni dettagliate sulle raccomandazioni pertinenti Defender per il cloud che potrebbero essere visualizzate per questa funzionalità, vedere la sezione calcolo della tabella di riferimento delle raccomandazioni.

Per i cluster Kubernetes nel servizio Azure Kubernetes, è necessario connettere l'account AWS a Microsoft Defender per il cloud. Assicurarsi quindi di aver abilitato il piano CSPM.

Quando si esaminano le raccomandazioni in sospeso per le risorse correlate al contenitore, sia nell'inventario delle risorse che nella pagina dei consigli, è possibile usare il filtro delle risorse:

Screenshot showing you where the resource filter is located.

Protezione avanzata del piano dati Kubernetes

Per proteggere i carichi di lavoro dei contenitori Kubernetes con raccomandazioni personalizzate, installare il Criteri di Azure per Kubernetes. È anche possibile distribuire automaticamente questo componente come illustrato in abilitare il provisioning automatico degli agenti e delle estensioni.

Con il componente aggiuntivo nel cluster del servizio Azure Kubernetes, ogni richiesta inviata al server API Kubernetes verrà monitorata rispetto a un set predefinito di procedure consigliate prima del salvataggio permanente nel cluster. È quindi possibile configurare l'applicazione delle procedure consigliate e renderle obbligatorie per i carichi di lavoro futuri.

È ad esempio possibile imporre il divieto di creazione di contenitori con privilegi, pertanto eventuali richieste future di creazione di tali contenitori verranno bloccate.

Altre informazioni sulla protezione avanzata del piano dati kubernetes.

Valutazione della vulnerabilità

Analisi delle immagini nei registri del Registro Azure Container

Defender per i contenitori include uno scanner di vulnerabilità integrato per l'analisi delle immagini nei registri di Registro Azure Container. Lo scanner di vulnerabilità viene eseguito su un'immagine:

  • Quando si esegue il push dell'immagine nel Registro di sistema
  • Settimanalmente su qualsiasi immagine che è stata estratta entro gli ultimi 30
  • Quando si importa l'immagine nel Registro Azure Container
  • Continuamente in situazioni specifiche

Altre informazioni sulla valutazione delle vulnerabilità.

Sample Microsoft Defender for Cloud recommendation about vulnerabilities discovered in Azure Container Registry (ACR) hosted images.

Visualizzare le vulnerabilità per l'esecuzione di immagini

La raccomandazione Esecuzione di immagini contenitore deve avere risultati di vulnerabilità risolti mostra le vulnerabilità per l'esecuzione di immagini usando i risultati dell'analisi dai registri del Registro Azure Container e le informazioni sull'esecuzione di immagini dal profilo di sicurezza/estensione defender. Le immagini distribuite da un Registro di sistema non ACR verranno visualizzate nella scheda Non applicabile .

Screenshot showing where the recommendation is viewable.

Protezione in fase di esecuzione per i nodi e i cluster Kubernetes

Defender per contenitori offre protezione dalle minacce in tempo reale per gli ambienti in contenitori e genera avvisi per attività sospette. È possibile usare queste informazioni per risolvere rapidamente i problemi di sicurezza e migliorare la sicurezza dei contenitori. La protezione dalle minacce a livello di cluster viene fornita dal profilo e dall'analisi dei log di controllo di Kubernetes. Esempi di eventi a questo livello includono dashboard di Kubernetes esposti, creazione di ruoli con privilegi elevati e creazione di montaggi sensibili.

Inoltre, il rilevamento delle minacce non è limitato al livello di gestione di Kubernetes. Defender per contenitori include il rilevamento delle minacce a livello di host con oltre 60 analisi, intelligenza artificiale e rilevamento anomalie in base al carico di lavoro di runtime. Il team globale di ricercatori Microsoft che si occupano di sicurezza monitora costantemente il panorama delle minacce. Aggiungono avvisi e vulnerabilità specifici dei contenitori man mano che vengono individuati.

Questa soluzione monitora la crescente superficie di attacco delle distribuzioni di Kubernetes multicloud e tiene traccia della matrice MITRE ATT&CK® per contenitori, un framework sviluppato dal Centro per Threat-Informed Defense in stretta collaborazione con Microsoft e altri.

L'elenco completo degli avvisi disponibili è disponibile nella tabella Riferimenti degli avvisi.

Screenshot of Defender for Cloud's alerts page showing alerts for multicloud Kubernetes resources.

Domande frequenti - Defender per contenitori

Quali sono le opzioni per abilitare il nuovo piano su larga scala?

È stato implementato un nuovo criterio in Criteri di Azure, Configurare Microsoft Defender per contenitori da abilitare per semplificare l'abilitazione del nuovo piano su larga scala.

Microsoft Defender per contenitori supporta i cluster del servizio Azure Kubernetes con set di scalabilità di macchine virtuali?

Sì.

Microsoft Defender per contenitori supporta il servizio Azure Kubernetes senza set di scalabilità (impostazione predefinita)?

No. Sono supportati solo i cluster servizio Azure Kubernetes (Servizio Azure Kubernetes) che usano set di scalabilità di macchine virtuali per i nodi.

È necessario installare l'estensione della macchina virtuale Log Analytics nei nodi del servizio Azure Kubernetes per la protezione della sicurezza?

No, il servizio Azure Kubernetes è un servizio gestito e la manipolazione delle risorse IaaS non è supportata. L'estensione della macchina virtuale Log Analytics non è necessaria e può comportare addebiti aggiuntivi.

Altre informazioni

Altre informazioni su Defender per i contenitori:

Passaggi successivi

In questa panoramica sono stati illustrati gli elementi principali della sicurezza dei contenitori in Microsoft Defender per il cloud. Per abilitare il piano, vedere: