تكوين Microsoft Defender للحاويات لأمان أحمال العمل

تكوين Microsoft Defender للحاويات لأمان أحمال العمل

14/04/2025

تهدف هذه المقالة الفنية والتعليمية إلى توجيه محللي الأمان ومسؤولي تكنولوجيا المعلومات ومهندسي الأنظمة في تكوين Microsoft Defender للحاويات وتحسينه لحماية أحمال العمل المستندة إلى الحاويات. في السيناريو الذي يتزايد فيه اعتماد الحاويات والمنسقين مثل Kubernetes، يصبح أمان هذه البيئات معقدًا وحاسمًا. يقدم Defender for Containers حلاً سحابيًا أصليًا لتعزيز أمان أصولك الموجودة في الحاويات ومراقبتها والحفاظ عليها بدءًا من التطوير وحتى الإنتاج [1].

مقدمة

لقد أحدثت الحاويات ثورة في طريقة تطوير التطبيقات ونشرها وإدارتها، مما يوفر إمكانية النقل وقابلية التوسع والكفاءة. ومع ذلك، فإن الطبيعة الديناميكية والموزعة لبيئات الحاويات، خاصة عندما يتم تنسيقها بواسطة منصات مثل Kubernetes (خدمة Azure Kubernetes - AKS، على سبيل المثال)، تقدم تحديات أمنية جديدة. إن نقاط الضعف في صور الحاويات، والتكوينات الخاطئة للمنسق، والوصول غير المصرح به في وقت التشغيل، وتهديدات سلسلة توريد البرامج ليست سوى بعض المخاطر التي تواجهها المؤسسات [2].

يُعد Microsoft Defender for Containers، وهو جزء من Microsoft Defender for Cloud، حلاً شاملاً لحماية أحمال العمل السحابية (CWPP) يتكامل بسلاسة مع Azure والبيئات متعددة السحابية الأخرى. فهو يوفر إمكانات أمنية عبر دورة حياة الحاوية بأكملها، بما في ذلك: تقييم الثغرات الأمنية بدون وكيل لصور الحاوية في التسجيل وفي وقت التشغيل؛ حماية وقت التشغيل لمجموعات Kubernetes، والكشف عن الأنشطة والهجمات المشبوهة؛ ومراقبة التهديدات في الوقت الفعلي لأحمال العمل المعبأة في حاويات. ويساعد ذلك في تحديد نقاط الضعف ومعالجتها، والحماية من الهجمات، وضمان الامتثال [3].

سيغطي هذا الدليل العملي تمكين Defender للحاويات على مستوى الاشتراك، والتكامل مع مجموعات Kubernetes (مع التركيز على AKS كمثال)، وتكوين التنبيهات الأمنية، واستكشاف تقييم الثغرات الأمنية وقدرات الحماية في وقت التشغيل. سيتم توفير تعليمات خطوة بخطوة وأمثلة عملية وشروحات موجزة حتى يتمكن القارئ من تنفيذ هذه الميزات واختبارها والتحقق من صحتها. بالإضافة إلى ذلك، ستتم مناقشة نصائح الأمان والتحقق من الامتثال وأفضل الممارسات لضمان حماية أعباء العمل الخاصة بك ضد أحدث التهديدات بطريقة مستقلة واحترافية وموثوقة.

ما سبب أهمية برنامج Microsoft Defender للحاويات؟

  • الرؤية الشاملة: توفر رؤية موحدة للوضع الأمني ​​لبيئات الحاويات الخاصة بك، بما في ذلك مجموعات Kubernetes وسجلات الحاويات والصور.
  • تقييم الثغرات الأمنية: يقوم بفحص صور الحاويات في السجلات (Azure Container Registry وDocker Hub وما إلى ذلك) وفي وقت التشغيل لتحديد الثغرات الأمنية وتقديم توصيات قابلة للتنفيذ.
  • الحماية أثناء التشغيل: مراقبة النشاط بشكل مستمر في مجموعات Kubernetes للكشف عن الأنشطة المشبوهة مثل تنفيذ الأوامر المميزة، والوصول إلى البيانات الحساسة، والتواصل مع عناوين IP الضارة، وغيرها من الحالات الشاذة.
  • المراقبة المستمرة: توفر إمكانية الكشف عن التهديدات في الوقت الفعلي وتنبيهات الأمان لمساعدة الفرق على الاستجابة السريعة للحوادث.
  • التكامل الأصلي: يتكامل بسلاسة مع خدمة Azure Kubernetes (AKS) وAzure Container Registry (ACR) وأدوات النظام البيئي Azure الأخرى.
  • دعم Multicloud/Hybrid: يمتد الحماية إلى مجموعات Kubernetes المستضافة على AWS وGCP والبيئات المحلية عبر Azure Arc.

المتطلبات الأساسية

لتكوين Microsoft Defender للحاويات، ستحتاج إلى العناصر التالية:

  1. اشتراك Azure النشط: اشتراك Azure لإنشاء الموارد وإدارتها.
  2. الوصول الإداري: حساب بدور "المالك" أو "المساهم" أو "مسؤول الأمان" في الاشتراك أو مجموعة الموارد حيث توجد مجموعات Kubernetes.
  3. ** مجموعات Kubernetes الموجودة **: مجموعات خدمة Azure Kubernetes (AKS) أو مجموعات Kubernetes الأخرى (عبر Azure Arc) التي تريد حمايتها.
  4. سجلات الحاويات (اختياري): سجل حاوية Azure(ACR) أو سجلات الحاويات الأخرى لتقييم ثغرات الصورة.

خطوة بخطوة: تكوين Microsoft Defender للحاويات

لنقم بتمكين Defender للحاويات وتكوين ميزاته.

1. تمكين المدافع عن الحاويات عند مستوى الاشتراك

أفضل الممارسات هي تمكين Defender for Containers على مستوى الاشتراك لحماية جميع مجموعات Kubernetes وسجلات الحاويات الحالية والمستقبلية تلقائيًا.

  1. افتح المتصفح الخاص بك وانتقل إلى بوابة Azure: https://portal.azure.com.
  2. قم بتسجيل الدخول باستخدام حساب لديه الأذونات اللازمة.
  3. في حقل البحث العلوي، اكتب "Microsoft Defender for Cloud" وحدده من النتائج.
  4. في جزء التنقل الأيمن لـ Defender for Cloud، حدد إعدادات البيئة.
  5. حدد الاشتراك حيث تريد تمكين Defender للحاويات.

  6. في صفحة خطط Defender، ابحث عن "الحاويات" وقم بتبديل الحالة إلى "ممكّن".

  7. انقر فوق "الإعدادات" لخطة الحاويات لمراجعة الخيارات المتقدمة.

    • تأكد من تمكين "تقييم الثغرات الأمنية في سجل الحاوية" و"حماية وقت التشغيل لمجموعات Kubernetes".

  8. انقر حفظ.

    • شرح: يضمن تمكين Defender للحاويات على مستوى الاشتراك حماية جميع مجموعات AKS وسجلات ACR ضمن هذا الاشتراك (الحالي والجديد). بالنسبة لمجموعات Kubernetes الموجودة في السحابات الأخرى أو المحلية، يلزم التكامل عبر Azure Arc.

2. التحقق من Defender لنشر الحاويات ومكوناتها

عند التنشيط، يقوم Defender for Containers بنشر وكلاء وملحقات لمجموعات Kubernetes لجمع البيانات وتطبيق الحماية.

  1. في بوابة Azure، انتقل إلى مجموعة AKS.
  2. في جزء التنقل الأيمن، ضمن "المراقبة"، حدد الرؤى.
  3. تحقق من تمكين المراقبة. يستخدم Defender for Containers Azure Monitor لتجميع السجلات والأحداث.
  4. في جزء التنقل الأيمن لـ Defender for Cloud، حدد المخزون.
  5. قم بالتصفية حسب "نوع المورد" = "مجموعات Kubernetes" و"سجلات الحاويات". يجب أن ترى مواردك مدرجة ومحمية بواسطة Defender for Containers.

3. تقييم نقاط الضعف في صورة الحاوية

يقوم Defender for Containers بفحص الصور الموجودة في سجلات الحاويات الخاصة بك تلقائيًا بحثًا عن الثغرات الأمنية.

  1. في جزء التنقل الأيمن لـ Defender for Cloud، حدد التوصيات.
  2. قم بالتصفية حسب "نوع المورد" = "سجلات الحاوية".
  3. ابحث عن التوصيات المتعلقة بـ "يجب تصحيح الثغرات الأمنية في صور تسجيل الحاوية".

  4. انقر فوق توصية لعرض التفاصيل، بما في ذلك الصور المتأثرة ونقاط الضعف التي تم العثور عليها (CVEs) وخطوات العلاج.

    • الشرح: يستخدم Defender for Containers معلومات التهديدات من Microsoft وأدوات فحص الثغرات الأمنية (مثل Qualys) لتحديد المشكلات. تتضمن التوصيات عادةً الإصدار المصحح من الصورة أو الحزم المراد تحديثها.

4. مراقبة وقت التشغيل والحماية لمجموعات Kubernetes

يقوم Defender for Containers بمراقبة النشاط على مجموعات Kubernetes الخاصة بك لاكتشاف التهديدات في الوقت الفعلي.

  1. في جزء التنقل الأيمن لـ Defender for Cloud، حدد Security Alerts.
  2. قم بالتصفية حسب "نوع المورد" = "مجموعات Kubernetes".

  3. هنا سترى التنبيهات التي تم إنشاؤها بواسطة Defender للحاويات بشأن الأنشطة المشبوهة في المجموعة، مثل:

    • محاولة الوصول إلى خادم Kubernetes بامتيازات مرتفعة.
    • نشر الحاويات المميزة.
    • تشغيل أمر Shell في حاوية.
    • الاتصال باستخدام عنوان IP ضار للحاوية.

  4. انقر فوق تنبيه لعرض التفاصيل، بما في ذلك وصف التهديد والموارد المتأثرة وخطوات التحقيق وإجراءات العلاج الموصى بها.

التحقق والاختبار

من الضروري اختبار قدرة Defender for Containers على اكتشاف التهديدات وإنشاء التنبيهات.

1. اختبار اكتشاف ثغرات الصورة

  1. السيناريو: انشر صورة حاوية تحتوي على ثغرات أمنية معروفة في سجل ACR (إذا كان لديك واحدًا) أو في مجموعة AKS. على سبيل المثال، صورة Docker قديمة لخادم ويب أو تطبيق ذي تبعيات قديمة.
    • فيمكنك استخدام صورة مثل "vulnerable/web-dvwa" (لأغراض الاختبار) أو صورة تعتمد على إصدار قديم من نظام التشغيل (مثل "ubuntu:16.04").
  2. الإجراء المتوقع: يجب على Defender for Containers اكتشاف الثغرات الأمنية في الصورة وتقديم توصيات أمنية.
  3. التحقق:
    • في بوابة Azure، انتقل إلى Microsoft Defender for Cloud > التوصيات.
    • ابحث عن التوصيات المتعلقة بالثغرات الأمنية في صور الحاوية التي تشير إلى الصورة التي قمت بنشرها.

2. اختبار الحماية في وقت التشغيل (محاكاة النشاط الضار على مجموعة AKS)

تنبيه: قم بإجراء هذا الاختبار في بيئة تطوير أو اختبار معزولة، وليس في مرحلة الإنتاج مطلقًا، ومع الحصول على التفويض اللازم. يمكن أن يكون لمحاكاة النشاط الضار عواقب غير مقصودة.

  1. السيناريو: انشر حجرة إلى مجموعة AKS الخاصة بك وحاول تنفيذ أمر مميز أو نشاط مشبوه داخل الحاوية. على سبيل المثال، حاول تثبيت الدليل الجذر للمضيف أو تشغيل أمر فحص الشبكة.
    • مثال على نشر البودات المميزة (للاختبار): ``يامل نسخة API: v1 النوع: جراب البيانات الوصفية: الاسم: اختبار جراب الامتياز المواصفات: الحاويات:
      • الاسم: أوبونتو الصورة: أوبونتو: الأحدث الأمر: ["النوم"، "3600"] سياق الأمان: متميز: صحيح معرف المضيف: صحيح شبكة المضيف: صحيح المضيفIPC: صحيح ```
      • أمر التقديم على AKS: kubectl Apply -f premium-pod-test.yaml
    • مثال على تنفيذ أمر مريب داخل حاوية (بعد نشر حجرة عادية): باش kubectl exec -it <pod_name> - bash # داخل الحاوية، حاول تشغيل شيء مثل: التحديث المناسب && التثبيت المناسب -y nmap المضيف المحلي nmap
  2. الإجراء المتوقع: يجب أن يكتشف Defender for Containers النشاط المشبوه (على سبيل المثال، نشر الحاوية المميزة، وتشغيل أدوات الفحص) وإنشاء تنبيه أمني.
  3. التحقق:
    • في بوابة Azure، انتقل إلى Microsoft Defender for Cloud > التنبيهات الأمنية.
    • ابحث عن التنبيهات المتعلقة بالنشاط الذي قمت بمحاكاته (على سبيل المثال، نشر الحاوية المميزة، تنفيذ أداة فحص الشبكة).

نصائح أمنية وأفضل الممارسات

  • مبدأ الامتياز الأقل: قم بتكوين حجراتك وحاوياتك بأقل امتياز ممكن. تجنب استخدام الحاويات ذات الامتيازات وعمليات التثبيت "hostPath" كلما أمكن ذلك.
  • المسح الضوئي المستمر للصور: قم بدمج تقييم ثغرات الصورة في مسار CI/CD الخاص بك لمسح الصور ضوئيًا قبل نشرها في الإنتاج.
  • الصور الأساسية الآمنة: استخدم الحد الأدنى من الصور الأساسية من مصادر موثوقة. حافظ على تحديث صورك لتشمل أحدث الإصلاحات الأمنية.
  • أمان سجل الحاويات: قم بتأمين سجل حاوية Azure (ACR) الخاص بك من خلال المصادقة القوية وRBAC وسياسات الوصول الصارمة.
  • إعدادات أمان Kubernetes: اتبع أفضل ممارسات الأمان لـ Kubernetes، مثل استخدام سياسات الشبكة، ومعايير أمان Pod (أو وحدات التحكم في القبول)، وRBAC للتحكم في الوصول إلى الحجرة وسلوكها.
  • المراقبة والتنبيه: قم بتكوين التنبيهات لجميع اكتشافات تهديدات Defender for Containers المهمة ودمجها مع SIEM/SOAR (على سبيل المثال، Microsoft Sentinel) للاستجابة التلقائية.
  • المراجعة المنتظمة للتوصيات: قم بمراجعة التوصيات الأمنية المقدمة من Defender for Cloud بشكل منتظم والتصرف بناءً عليها لتحسين الوضع الأمني ​​للحاويات الخاصة بك بشكل مستمر.

استكشاف الأخطاء وإصلاحها الشائعة

  • لم يتم تمكين المدافع عن الحاويات:
    • تأكد من أن خطة "الحاويات" "ممكّنة" في Microsoft Defender for Cloud على مستوى الاشتراك.
    • تأكد من أن الاشتراك لديه الترخيص المناسب (غالبًا ما يكون مضمنًا في Security Center Standard).
  • لم يتم اكتشاف ثغرات الصورة:
    • تحقق من دمج سجل الحاوية بشكل صحيح مع Defender for Containers.
    • تأكد من سحب الصور إلى السجل أو المجموعة بعد تمكين Defender للحاويات.
    • قد يكون هناك تأخير بسيط في ظهور نتائج الفحص.
  • ** تنبيهات رونتيلم يتم إنشاء لي **:
    • تأكد من تمكين "حماية وقت التشغيل لمجموعات Kubernetes" في إعدادات Defender للحاويات.
    • تأكد من نشر وكيل Defender for Containers وأنه يعمل بشكل صحيح على مجموعة AKS. يمكنك التحقق من حالة البودات المتعلقة بـ Defender في مساحة الاسم kube-system أو azure-defender.
    • تأكد من أن النشاط الذي تختبره يقوم بالفعل بتشغيل قاعدة الكشف عن Defender for Containers. قد تعتبر بعض الأنشطة طبيعية حسب السياق.
  • الإيجابيات الكاذبة (تنبيهات بشأن النشاط المشروع):
    • تحقق من التنبيه في بوابة Defender for Cloud لفهم سبب التنبيه.
    • إذا كان نشاطًا مشروعًا، فيمكنك إيقاف التنبيه (بحذر) أو ضبط إعدادات المجموعة/التطبيق لمنع وضع علامة على النشاط على أنه مشبوه.
    • تقديم تعليقات إلى Microsoft حول النتائج الإيجابية الخاطئة للمساعدة في تحسين الاستخبارات المتعلقة بالتهديدات.

الخلاصة

يعد Microsoft Defender for Containers أداة أساسية لحماية دورة الحياة الكاملة لأعباء العمل الموجودة في الحاويات. ومن خلال توفير تقييم لضعف الصورة، وحماية وقت التشغيل لمجموعات Kubernetes، والمراقبة المستمرة للتهديدات، فإنه يمكّن المؤسسات من إنشاء بيئات الحاويات وتشغيلها بشكل آمن. يعد التنفيذ الفعال لهذه القدرات أمرًا بالغ الأهمية لتخفيف المخاطر المرتبطة باعتماد الحاويات، وضمان الامتثال، وتعزيز الوضع الأمني ​​العام لديك. باستخدام هذا الدليل العملي، سيكون متخصصو الأمان ومسؤولو تكنولوجيا المعلومات مجهزين جيدًا لتكوين Microsoft Defender للحاويات والتحقق من صحتها وإدارتها، مما يؤدي إلى حماية أصولهم الأكثر قيمة الموجودة في الحاويات.

المراجع:

[1] مايكروسوفت تعلم. ما هو Microsoft Defender للحاويات؟. متوفر على: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/defender-for-containers-introduction [2] مايكروسوفت تعلم. بنية أمان الحاويات - Defender for Cloud. متوفر على: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/defender-for-containers-architecture [3] مايكروسوفت تعلم. تأمين حاويات Azure الخاصة بك باستخدام Defender للحاويات. متوفر على: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/tutorial-enable-containers-azure [4] مايكروسوفت تعلم. تكوين Microsoft Defender لمكونات الحاويات. متوفر على: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/defender-for-containers-enable [5] مايكروسوفت تعلم. تقييمات الضعف للبيئات المدعومة. متوفر على: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/agentless-vulnerability-assessment-azure [6] مايكروسوفت تعلم. تنبيهات الأمان في Microsoft Defender للسحابة. متوفر على: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/alerts-overview [7] مايكروسوفت تعلم. مصفوفة دعم الحاوية في Defender for Cloud. متوفر على: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/support-matrix-defender-for-containers