Sicurezza del contenitore nel centro sicurezzaContainer security in Security Center

Il Centro sicurezza di Azure è la soluzione nativa di Azure per la sicurezza dei contenitori.Azure Security Center is the Azure-native solution for container security. Il Centro sicurezza è anche il riquadro ottimale per la sicurezza dei carichi di lavoro cloud, delle macchine virtuali, dei server e dei contenitori.Security Center is also the optimal single pane of glass experience for the security of your cloud workloads, VMs, servers, and containers.

Questo articolo descrive il modo in cui il Centro sicurezza consente di migliorare, monitorare e gestire la sicurezza dei contenitori e delle relative app.This article describes how Security Center helps you improve, monitor, and maintain the security of your containers and their apps. Si apprenderà come il Centro sicurezza contribuisca a questi aspetti principali della sicurezza dei contenitori:You'll learn how Security Center helps with these core aspects of container security:

  • Gestione vulnerabilitàVulnerability management
  • Protezione avanzata dell'ambiente del contenitoreHardening of the container's environment
  • Protezione runtimeRuntime protection

scheda sicurezza contenitore del Centro sicurezza di AzureAzure Security Center's container security tab

Per istruzioni su come usare queste funzionalità, vedere monitoraggio della sicurezza dei contenitori.For instructions on how to use these features, see Monitoring the security of your containers.

Gestione delle vulnerabilità-analisi delle immagini del contenitoreVulnerability management - scanning container images

Per monitorare la Container Registry di Azure basata su ARM, assicurarsi di essere al livello standard del Centro sicurezza (vedere i prezzi).To monitor your ARM-based Azure Container Registry, ensure you're on Security Center's standard tier (see pricing). Abilitare quindi il bundle facoltativo dei registri contenitori.Then, enable the optional Container Registries bundle. Quando viene effettuato il push di una nuova immagine, il Centro sicurezza esegue l'analisi dell'immagine usando uno scanner del fornitore leader del settore per l'analisi delle vulnerabilità, Qualys.When a new image is pushed, Security Center scans the image using a scanner from the industry-leading vulnerability scanning vendor, Qualys.

Quando vengono rilevati problemi, da Qualys o dal centro sicurezza, si riceverà una notifica nel dashboard del Centro sicurezza.When issues are found – by Qualys or Security Center – you'll get notified in the Security Center dashboard. Per ogni vulnerabilità, il Centro sicurezza offre raccomandazioni di utilità pratica, oltre a una classificazione di gravità e indicazioni su come correggere il problema.For every vulnerability, Security Center provides actionable recommendations, along with a severity classification, and guidance for how to remediate the issue. Per informazioni dettagliate sulle raccomandazioni del Centro sicurezza per i contenitori, vedere l' elenco di riferimento di raccomandazioni.For details of Security Center's recommendations for containers, see the reference list of recommendations.

Il Centro sicurezza filtra e classifica i risultati dallo scanner.Security Center filters and classifies findings from the scanner. Quando un'immagine è integra, il Centro sicurezza le contrassegna come tali.When an image is healthy, Security Center marks it as such. Il Centro sicurezza genera raccomandazioni sulla sicurezza solo per le immagini che presentano problemi da risolvere.Security Center generates security recommendations only for images that have issues to be resolved. Inviando notifiche solo quando si verificano problemi, il Centro sicurezza riduce il rischio di avvisi indesiderati informativi.By only notifying when there are problems, Security Center reduces the potential for unwanted informational alerts.

Protezione avanzata dell'ambienteEnvironment hardening

Monitoraggio continuo della configurazione di DockerContinuous monitoring of your Docker configuration

Il Centro sicurezza di Azure identifica i contenitori non gestiti ospitati in macchine virtuali IaaS Linux o altri computer Linux che eseguono contenitori docker.Azure Security Center identifies unmanaged containers hosted on IaaS Linux VMs, or other Linux machines running Docker containers. Il Centro sicurezza valuta continuamente le configurazioni di questi contenitori.Security Center continuously assesses the configurations of these containers. Viene quindi confrontato con il benchmark Docker di Center for Internet Security (CIS).It then compares them with the Center for Internet Security (CIS) Docker Benchmark.

Il Centro sicurezza include l'intero set di regole del benchmark Docker di CIS e avvisa l'utente se i contenitori non soddisfano i controlli.Security Center includes the entire ruleset of the CIS Docker Benchmark and alerts you if your containers don't satisfy any of the controls. Quando rileva configurazioni non configurate, il Centro sicurezza genera raccomandazioni sulla sicurezza.When it finds misconfigurations, Security Center generates security recommendations. Utilizzare la pagina raccomandazioni per visualizzare le raccomandazioni e correggere i problemi.Use the recommendations page to view recommendations and remediate issues. Verranno inoltre visualizzati i consigli nella scheda contenitori che Visualizza tutte le macchine virtuali distribuite con Docker.You'll also see the recommendations on the Containers tab that displays all virtual machines deployed with Docker.

Per informazioni dettagliate sulle raccomandazioni pertinenti del Centro sicurezza che potrebbero essere visualizzate per questa funzionalità, vedere la sezione relativa ai contenitori della tabella di riferimento per le raccomandazioni.For details of the relevant Security Center recommendations that might appear for this feature, see the container section of the recommendations reference table.

Quando si esplorano i problemi di sicurezza di una VM, il Centro sicurezza fornisce informazioni aggiuntive sui contenitori nel computer.When you're exploring the security issues of a VM, Security Center provides additional information about the containers on the machine. Tali informazioni includono la versione Docker e il numero di immagini in esecuzione nell'host.Such information includes the Docker version and the number of images running on the host.

Nota

Questi controlli di benchmark di CIS non vengono eseguiti nelle macchine virtuali gestite da AKS o dalle macchine virtuali gestite da databricks.These CIS benchmark checks will not run on AKS-managed instances or Databricks-managed VMs.

Monitoraggio continuo dei cluster Kubernetes (anteprima)Continuous monitoring of your Kubernetes clusters (Preview)

Il Centro sicurezza interagisce con il servizio Azure Kubernetes (AKS), il servizio di orchestrazione dei contenitori gestiti di Microsoft per lo sviluppo, la distribuzione e la gestione di applicazioni in contenitori.Security Center works together with Azure Kubernetes Service (AKS), Microsoft's managed container orchestration service for developing, deploying, and managing containerized applications.

AKS fornisce controlli di sicurezza e visibilità sul comportamento di sicurezza dei cluster.AKS provides security controls and visibility into the security posture of your clusters. Il Centro sicurezza usa queste funzionalità per:Security Center uses these features to:

  • Monitorare costantemente la configurazione dei cluster AKSConstantly monitor the configuration of your AKS clusters
  • Genera raccomandazioni sulla sicurezza allineate con gli standard del settoreGenerate security recommendations aligned with industry standards

Per informazioni dettagliate sulle raccomandazioni pertinenti del Centro sicurezza che potrebbero essere visualizzate per questa funzionalità, vedere la sezione relativa ai contenitori della tabella di riferimento per le raccomandazioni.For details of the relevant Security Center recommendations that might appear for this feature, see the container section of the recommendations reference table.

Protezione in fase di esecuzione-rilevamento delle minacce in tempo realeRun-time protection - Real-time threat detection

Il Centro sicurezza fornisce il rilevamento delle minacce in tempo reale per gli ambienti in contenitori e genera avvisi per le attività sospette.Security Center provides real-time threat detection for your containerized environments and generates alerts for suspicious activities. È possibile usare queste informazioni per risolvere rapidamente i problemi di sicurezza e migliorare la sicurezza dei contenitori.You can use this information to quickly remediate security issues and improve the security of your containers.

Le minacce vengono rilevate a livello di host e del cluster AKS.We detect threats at the host and AKS cluster level. Per informazioni dettagliate, vedere rilevamento delle minacce per i contenitori di Azure.For full details, see threat detection for Azure containers.

Domande frequenti sulla sicurezza del contenitoreContainer security FAQ

Quali tipi di immagini possono essere analizzati dal centro sicurezza di Azure?What types of images can Azure Security Center scan?

Il Centro sicurezza analizza le immagini basate sul sistema operativo Linux che forniscono l'accesso alla Shell.Security Center scans Linux OS based images that provide shell access.

Lo scanner Qualys non supporta immagini estremamente minimaliste come immagini Scratch di Docker o immagini "senza distribuzione" che contengono solo l'applicazione e le relative dipendenze di runtime senza gestione pacchetti, Shell o sistema operativo.The Qualys scanner doesn't support super minimalist images such as Docker scratch images, or "Distroless" images that only contain your application and its runtime dependencies without a package manager, shell, or OS.

In che modo il Centro sicurezza di Azure esegue l'analisi di un'immagine?How does Azure Security Center scan an image?

Viene eseguito il pull dell'immagine dal registro di sistema.The image is pulled from the registry. Viene quindi eseguito in una sandbox isolata con lo scanner Qualys che estrae un elenco di vulnerabilità note.It's then run in an isolated sandbox with the Qualys scanner that extracts a list of known vulnerabilities.

Il Centro sicurezza filtra e classifica i risultati dallo scanner.Security Center filters and classifies findings from the scanner. Quando un'immagine è integra, il Centro sicurezza le contrassegna come tali.When an image is healthy, Security Center marks it as such. Il Centro sicurezza genera raccomandazioni sulla sicurezza solo per le immagini che presentano problemi da risolvere.Security Center generates security recommendations only for images that have issues to be resolved. Inviando notifiche solo quando si verificano problemi, il Centro sicurezza riduce il rischio di avvisi indesiderati informativi.By only notifying when there are problems, Security Center reduces the potential for unwanted informational alerts.

Con quale frequenza il Centro sicurezza di Azure analizza le immagini?How often does Azure Security Center scan my images?

Le analisi delle immagini vengono attivate a ogni push.Image scans are triggered on every push.

È possibile ottenere i risultati dell'analisi tramite l'API REST?Can I get the scan results via REST API?

Sì.Yes. I risultati si trovano nell' API REST delle sottovalutazioni.The results are under Sub-Assessments Rest API. È anche possibile usare Azure Resource Graph (ARG), l'API simile a kusto per tutte le risorse: una query può recuperare un'analisi specifica.Also, you can use Azure Resource Graph (ARG), the Kusto-like API for all of your resources: a query can fetch a specific scan.

Passaggi successiviNext steps

Per altre informazioni sulla sicurezza del contenitore nel centro sicurezza di Azure, vedere gli articoli correlati:To learn more about container security in Azure Security Center, see these related articles: