Tárolóvédelem Felhőhöz készült Defender
A Microsoft Defender for Containers egy natív felhőbeli megoldás a tárolóalapú eszközök (Kubernetes-fürtök, Kubernetes-csomópontok, Kubernetes-számítási feladatok, tárolóregisztrációs adatbázisok, tárolólemezképek és egyebek) és alkalmazásaik biztonságának javítására, monitorozására és karbantartására többfelhős és helyszíni környezetekben.
A Defender for Containers négy alapvető tárolóbiztonsági tartományhoz nyújt segítséget:
A biztonsági helyzet kezelése a felhőBELI API-k, a Kubernetes API-k és a Kubernetes számítási feladatok folyamatos monitorozását futtatja a felhőbeli erőforrások felderítéséhez, átfogó leltározási képességek biztosításához, a hibaelhárítási irányelvekkel való helytelen konfigurációk észleléséhez, a környezeti kockázatértékeléshez, valamint lehetővé teszi a felhasználók számára a fokozott kockázatkeresési képességek elvégzését a Felhőhöz készült Defender Security Explorer használatával.
Sebezhetőségi felmérés – ügynök nélküli biztonságirés-felmérést végez a támogatott K8s-csomópontokról és tárolóregisztrációs adatbázisokról a szervizelési irányelvekkel, a nulla konfigurációval, a napi újravizsgálatokkal, az operációs rendszer és a nyelvi csomagok lefedettségével, valamint a kihasználhatósági megállapításokkal.
Futásidejű veszélyforrások elleni védelem – a Microsoft vezető fenyegetésintelligencia-alapú, Kubernetes-fürtökhöz, csomópontokhoz és számítási feladatokhoz készült gazdag fenyegetésészlelési csomag a MITRE ATT&CK-keretrendszerhez való leképezést biztosítja a kockázatok és a kapcsolódó környezetek egyszerű megértéséhez, valamint az automatizált reagáláshoz. A biztonsági operátorok a Microsoft Defender XDR portálon keresztül is kivizsgálhatják és megválaszolhatják a Kubernetes-szolgáltatásokat fenyegető fenyegetéseket.
Üzembe helyezés és figyelés – Figyeli a Kubernetes-fürtöket a hiányzó érzékelők számára, és zökkenőmentes, nagy léptékű üzembe helyezést biztosít az érzékelőalapú képességekhez, támogatja a standard Kubernetes-monitorozási eszközöket, és felügyeli a nem figyelt erőforrásokat.
Erről a Felhőhöz készült Defender a Microsoft Defender tárolókhoz készült videósorozatában olvashat bővebben.
A Microsoft Defender tárolókhoz csomag rendelkezésre állása
| Szempont | Részletek |
|---|---|
| Kiadási állapot: | Általános rendelkezésre állás (GA) Bizonyos funkciók előzetes verzióban érhetők el. A teljes listát a Tárolók támogatási mátrixában találja Felhőhöz készült Defender |
| Szolgáltatások rendelkezésre állása | A szolgáltatások kiadási állapotával és rendelkezésre állásával kapcsolatos további információkért tekintse meg a tárolók támogatási mátrixát Felhőhöz készült Defender |
| Díjszabás: | A Microsoft Defender for Containers számlázása a díjszabási oldalon látható módon történik |
| Szükséges szerepkörök és engedélyek: | * A szükséges összetevők üzembe helyezéséhez tekintse meg az egyes összetevők engedélyeit * A biztonsági rendszergazda elutasíthatja a riasztásokat * A biztonsági olvasó megtekintheti a sebezhetőségi felmérés eredményeit Lásd még : Szervizelési szerepkörök és Azure Container Registry-szerepkörök és engedélyek |
| Felhők: | A Felhőhöz készült Defender tárolók támogatási mátrixának megtekintése a felhő rendelkezésre állásának megtekintéséhez |
Biztonsági helyzet kezelése
Ügynök nélküli képességek
Ügynök nélküli felderítés a Kuberneteshez – a Kubernetes-fürtök , konfigurációk és üzemelő példányok api-alapú felderítését teszi lehetővé.
Ügynök nélküli biztonságirés-felmérés – biztonságirés-felmérést biztosít a fürtcsomópontokhoz és az összes tárolórendszerképhez, beleértve a beállításjegyzékre és a futtatókörnyezetre vonatkozó javaslatokat, az új képek gyors vizsgálatát, az eredmények napi frissítését, a kihasználhatósági megállapításokat stb. A biztonsági résekre vonatkozó információk hozzáadva lesznek a biztonsági gráfhoz a környezeti kockázatfelméréshez és a támadási útvonalak kiszámításához, valamint a vadászati képességekhez.
Átfogó leltározási képességek – lehetővé teszi erőforrások, podok, szolgáltatások, adattárak, rendszerképek és konfigurációk felfedezését a Security Explorer használatával az objektumok egyszerű monitorozásához és kezeléséhez.
Továbbfejlesztett kockázatkeresés – lehetővé teszi a biztonsági rendszergazdák számára, hogy aktívan keressenek a tárolóalapú objektumok helyzetével kapcsolatos problémákat lekérdezésekkel (beépített és egyéni) és biztonsági elemzésekkel a security explorerben
Vezérlősík-megkeményedés – folyamatosan értékeli a fürtök konfigurációit, és összehasonlítja őket az előfizetésekre alkalmazott kezdeményezésekkel. Ha helytelen konfigurációkat talál, Felhőhöz készült Defender biztonsági javaslatokat hoz létre, amelyek Felhőhöz készült Defender Javaslatok lapján érhetők el. A javaslatok lehetővé teszik a problémák kivizsgálását és elhárítását.
Az erőforrásszűrővel áttekintheti a tárolóhoz kapcsolódó erőforrásokra vonatkozó függő javaslatokat, akár az eszközleltárban, akár a javaslatok oldalon:
A funkcióval kapcsolatos részletekért tekintse át a tárolóra vonatkozó javaslatokat, és keressen "Vezérlősík" típusú javaslatokat
Érzékelőalapú képességek
Bináris eltérésészlelés – A Defender for Containers olyan érzékelőalapú képességet biztosít, amely riasztást küld a lehetséges biztonsági fenyegetésekről a tárolókon belüli jogosulatlan külső folyamatok észlelésével. Sodródási szabályzatokat határozhat meg a riasztások létrehozásának feltételeinek meghatározásához, így megkülönböztetheti a jogos tevékenységeket és a potenciális fenyegetéseket. További információ: Bináris sodródás elleni védelem (előzetes verzió).
A Kubernetes adatsíkjának megkeményedése – A Kubernetes-tárolók számítási feladatainak ajánlott eljárásokkal való védelméhez telepítheti a Kubernetes-hez készült Azure Policyt. További információ a Felhőhöz készült Defender monitorozási összetevőiről.
A Kubernetes-fürthöz definiált szabályzatok segítségével a Kubernetes API-kiszolgálóra irányuló minden kérést az előre meghatározott ajánlott eljárások alapján figyel a rendszer, mielőtt a fürtben megmarad. Ezután konfigurálhatja úgy, hogy kikényszerítse az ajánlott eljárásokat, és megbízhassa őket a jövőbeli számítási feladatokhoz.
Megadhatja például, hogy a kiemelt tárolók ne legyenek létrehozva, és az erre vonatkozó jövőbeli kérések le lesznek tiltva.
További információ a Kubernetes adatsík-megkeményedéséről.
Sebezhetőségi felmérés
A Defender for Containers megvizsgálja a fürtcsomópont operációs rendszerét és alkalmazásszoftverét, az Azure Container Registryben (ACR), az Amazon AWS Elastic Container Registryben (ECR), a Google Artifact Registryben (GAR), a Google Container Registryben (GCR) és a támogatott külső rendszerkép-nyilvántartásokban az ügynök nélküli sebezhetőség felméréséhez.
A Microsoft Defender biztonságirés-kezelés által működtetett biztonságirés-információk hozzáadva lesznek a felhőalapú biztonsági grafikonhoz a környezetfüggő kockázatok, a támadási útvonalak kiszámítása és a keresési képességek szempontjából.
További információ a sebezhetőségi felmérésről:
Tárolóregisztrációs adatbázisok –
- Az Azure biztonságirés-felmérései Microsoft Defender biztonságirés-kezelés
- Biztonságirés-felmérés az AWS-hez Microsoft Defender biztonságirés-kezelés
- Biztonságirés-felmérés a GCP-hez Microsoft Defender biztonságirés-kezelés
Fürtcsomópontok –
Futásidejű védelem Kubernetes-csomópontokhoz és -fürtökhöz
A Defender for Containers valós idejű fenyegetésvédelmet biztosít a támogatott tárolóalapú környezetekhez , és riasztásokat hoz létre gyanús tevékenységekhez. Ezen adatok alapján gyorsan elháríthatja a biztonsági problémákat, és javíthatja tárolói védelmét.
A Veszélyforrások elleni védelem a Kubernetes számára biztosított a fürt, a csomópont és a számítási feladatok szintjén. Mind a Defender-érzékelőt igénylő érzékelőalapú lefedettség, mind a Kubernetes-naplók elemzésén alapuló ügynök nélküli lefedettség a fenyegetések észlelésére szolgál. A biztonsági riasztások csak akkor aktiválódnak, ha engedélyezte a Defender for Containerst az előfizetésben.
Példák a Microsoft Defenders for Containers által figyelt biztonsági eseményekre:
- Közzétett Kubernetes-irányítópultok
- Magas jogosultsági szintű szerepkörök létrehozása
- Bizalmas csatlakoztatások létrehozása
További információ a Defender for Containers által észlelt riasztásokról, beleértve a Kubernetes-fürtök riasztásszimulációs eszközére vonatkozó riasztásokat.
A Defender for Containers több mint 60 Kubernetes-tudatos elemzéssel, mesterséges intelligenciával és anomáliadetektálással rendelkezik a futtatókörnyezeti számítási feladatok alapján.
Felhőhöz készült Defender figyeli a többfelhős Kubernetes-telepítések támadási felületét a MITRE ATT&CK® matrix for Containers, a Center for Threat-Informed Defense által a Microsofttal szoros együttműködésben kifejlesztett keretrendszer.
Felhőhöz készült Defender integrálva van a Microsoft Defender XDR-sel. Ha a Defender for Containers engedélyezve van, a biztonsági operátorok a Defender XDR-et használhatják a támogatott Kubernetes-szolgáltatások biztonsági problémáinak kivizsgálására és megválaszolására .
További információ
További információ a Defender for Containersről az alábbi blogokban:
Következő lépések
Ebben az áttekintésben megismerhette a tárolóbiztonság alapvető elemeit Felhőhöz készült Microsoft Defender. A terv engedélyezéséhez lásd: