Konfigurace programu Microsoft Defender pro kontejnery pro zabezpečení pracovního zatížení

Konfigurace programu Microsoft Defender pro kontejnery pro zabezpečení pracovního zatížení

14.04.2025

Tento technický a vzdělávací článek si klade za cíl vést bezpečnostní analytiky, IT administrátory a systémové inženýry při konfiguraci a optimalizaci programu Microsoft Defender pro kontejnery za účelem ochrany úloh založených na kontejnerech. Ve scénáři, kde se zvyšuje přijetí kontejnerů a orchestrátorů, jako je Kubernetes, se zabezpečení těchto prostředí stává komplexním a zásadním. Defender for Containers nabízí cloudové nativní řešení pro vylepšení, monitorování a udržování zabezpečení vašich kontejnerových aktiv od vývoje až po produkci [1].

Úvod

Kontejnery způsobily revoluci ve způsobu, jakým jsou aplikace vyvíjeny, nasazovány a spravovány, a nabízejí přenositelnost, škálovatelnost a efektivitu. Dynamická a distribuovaná povaha prostředí kontejnerů, zvláště když jsou organizována platformami jako Kubernetes (například Azure Kubernetes Service – AKS), přináší nové bezpečnostní výzvy. Chyby zabezpečení v obrazech kontejnerů, nesprávná konfigurace orchestrátoru, neautorizovaný runtime přístup a hrozby dodavatelského řetězce softwaru jsou jen některá z rizik, kterým organizace čelí [2].

Microsoft Defender for Containers, součást Microsoft Defender for Cloud, je komplexní řešení ochrany cloudové pracovní zátěže (CWPP), které se hladce integruje s Azure a dalšími multicloudovými prostředími. Poskytuje funkce zabezpečení v průběhu celého životního cyklu kontejneru, včetně: hodnocení zranitelnosti bez agentů pro obrazy kontejnerů v registru a za běhu; runtime ochrana pro clustery Kubernetes, detekující podezřelé aktivity a útoky; a monitorování hrozeb v reálném čase pro kontejnerizované úlohy. To pomáhá identifikovat a napravit zranitelná místa, chránit před útoky a zajistit dodržování předpisů [3].

Tato praktická příručka se bude zabývat aktivací Defenderu pro kontejnery na úrovni předplatného, ​​integrací s clustery Kubernetes (se zaměřením jako příklad na AKS), konfigurací výstrah zabezpečení a prozkoumáním možností hodnocení zranitelnosti a ochrany za běhu. Budou poskytnuty podrobné pokyny, praktické příklady a stručná vysvětlení, aby čtenář mohl tyto funkce implementovat, testovat a ověřovat. Kromě toho budou probrány bezpečnostní tipy, kontrola souladu a osvědčené postupy, aby bylo zajištěno, že vaše kontejnerová pracovní zátěž bude chráněna před nejnovějšími hrozbami autonomním, profesionálním a spolehlivým způsobem.

Proč je Microsoft Defender pro kontejnery zásadní?

  • Komplexní viditelnost: Poskytuje jednotný pohled na stav zabezpečení vašich prostředí kontejnerů, včetně clusterů Kubernetes, registrů kontejnerů a obrázků.
  • Posouzení zranitelnosti: Skenuje obrazy kontejnerů v registrech (Azure Container Registry, Docker Hub atd.) a za běhu, aby identifikovala zranitelná místa a poskytla praktická doporučení.
  • Runtime Protection: Nepřetržitě monitoruje aktivitu v clusterech Kubernetes, aby detekoval podezřelé aktivity, jako je provádění privilegovaných příkazů, přístup k citlivým datům, komunikace se škodlivými IP a další anomálie.
  • Nepřetržité monitorování: Poskytuje detekci hrozeb v reálném čase a bezpečnostní výstrahy, které týmům pomáhají rychle reagovat na incidenty.
  • Nativní integrace: Hladce se integruje s Azure Kubernetes Service (AKS), Azure Container Registry (ACR) a dalšími nástroji ekosystému Azure.
  • Multicloud/Hybrid Support: Rozšiřuje ochranu na clustery Kubernetes hostované v AWS, GCP a místních prostředích prostřednictvím Azure Arc.

Předpoklady

Chcete-li nakonfigurovat Microsoft Defender pro kontejnery, budete potřebovat následující položky:

  1. Aktivní předplatné Azure: Předplatné Azure k vytváření a správě prostředků.
  2. Administrativní přístup: Účet s rolí Vlastník, Přispěvatel nebo Správce zabezpečení v předplatném nebo skupině prostředků, kde se nacházejí clustery Kubernetes.
  3. Stávající clustery Kubernetes: clustery Azure Kubernetes Service (AKS) nebo jiné clustery Kubernetes (prostřednictvím Azure Arc), které chcete chránit.
  4. Registry kontejnerů (volitelné): Registr kontejnerů Azure(ACR) nebo jiné registry kontejnerů pro posouzení zranitelnosti obrázků.

Krok za krokem: Konfigurace programu Microsoft Defender pro kontejnery

Pojďme povolit Defender for Containers a nakonfigurovat jeho funkce.

1. Povolení Defender pro kontejnery na úrovni předplatného

Nejlepším postupem je povolit Defender for Containers na úrovni předplatného, aby automaticky chránil všechny stávající a budoucí clustery Kubernetes a registry kontejnerů.

  1. Otevřete prohlížeč a přejděte na Azure Portal: https://portal.azure.com.
  2. Přihlaste se pomocí účtu, který má potřebná oprávnění.
  3. Do horního vyhledávacího pole zadejte „Microsoft Defender for Cloud“ a vyberte jej z výsledků.
  4. V levém navigačním panelu Defender for Cloud vyberte Nastavení prostředí.
  5. Vyberte předplatné, kde chcete povolit Defender for Containers.

  6. Na stránce plánů Defender najděte Kontejnery a přepněte stav na Povoleno.

  7. Kliknutím na Nastavení pro plán kontejnerů zobrazíte pokročilé možnosti.

    • Ujistěte se, že „Posouzení zranitelnosti registru kontejnerů“ a „Ochrana běhu pro clustery Kubernetes“ jsou „Povoleno“.

  8. Klikněte na Uložit.

    • Vysvětlení: Povolení Defender pro kontejnery na úrovni předplatného zajistí, že všechny clustery AKS a záznamy ACR v rámci tohoto předplatného (stávající i nové) budou chráněny. Pro clustery Kubernetes v jiných cloudech nebo on-premises je nutná integrace přes Azure Arc.

2. Ověření nasazení a komponent programu Defender for Containers

Po aktivaci Defender for Containers nasadí agenty a rozšíření do clusterů Kubernetes, aby shromáždili data a použili ochranu.

  1. Na webu Azure Portal přejděte do svého klastru AKS.
  2. V levém navigačním podokně pod Monitoring vyberte Insights.
  3. Zkontrolujte, zda je povoleno monitorování. Defender for Containers používá Azure Monitor ke shromažďování protokolů a událostí.
  4. V levém navigačním panelu Defender for Cloud vyberte Inventář.
  5. Filtrujte podle Resource Type = Kubernetes Clusters a Container Registres. Měli byste vidět své zdroje uvedené a chráněné aplikací Defender for Containers.

3. Posouzení zranitelnosti obrázku kontejneru

Defender for Containers automaticky skenuje obrázky ve vašich registrech kontejnerů a hledá chyby zabezpečení.

  1. V levém navigačním panelu Defender for Cloud vyberte Doporučení.
  2. Filtrujte podle Typ zdroje = Záznamy kontejneru.
  3. Hledejte doporučení související s Musí být opraveny chyby zabezpečení v obrazech registru kontejnerů.

  4. Kliknutím na doporučení zobrazíte podrobnosti, včetně dotčených obrázků, nalezených zranitelností (CVE) a kroků k nápravě.

    • Vysvětlení: Defender for Containers používá k identifikaci problémů skenery Microsoft hrozeb a skenery zranitelnosti (jako je Qualys). Doporučení obvykle zahrnují opravenou verzi obrázku nebo balíčků, které mají být aktualizovány.

4. Monitorování a ochrana za běhu pro clustery Kubernetes

Defender for Containers monitoruje aktivitu na vašich clusterech Kubernetes, aby detekoval hrozby v reálném čase.

  1. V levém navigačním podokně Defender for Cloud vyberte Security Alerts.
  2. Filtrujte podle Typ zdroje = Klustery Kubernetes.

  3. Zde uvidíte výstrahy generované Defenderem pro kontejnery na podezřelou aktivitu v clusteru, jako například:

    • Pokus o přístup k serveru Kubernetes se zvýšenými oprávněními.
    • Privilegované nasazení kontejneru.
    • Spuštění příkazu Shell v kontejneru.
    • Komunikace se škodlivou IP kontejneru.

  4. Klepnutím na výstrahu zobrazíte podrobnosti, včetně popisu hrozby, ovlivněných zdrojů, kroků vyšetřování a doporučených nápravných opatření.

Validace a testování

Je zásadní otestovat schopnost Defenderu pro kontejnery detekovat hrozby a generovat výstrahy.

1. Testování detekce zranitelnosti obrázku

  1. Scénář: Nasaďte bitovou kopii kontejneru se známými chybami zabezpečení do vašeho registru ACR (pokud jej máte) nebo clusteru AKS. Například starý obraz Dockeru webového serveru nebo aplikace se zastaralými závislostmi. *VMůžete použít obrázek jako vulnerable/web-dvwa (pro testovací účely) nebo obrázek založený na staré verzi operačního systému (např. ubuntu:16.04).
  2. Očekávaná akce: Defender for Containers by měl detekovat zranitelnosti obrazu a vygenerovat bezpečnostní doporučení.
  3. Ověření:
    • V Azure Portal přejděte na Microsoft Defender for Cloud > Doporučení.
    • Hledejte doporučení související s chybami zabezpečení v obrázcích kontejnerů, které odkazují na obrázek, který jste nasadili.

2. Testování ochrany za běhu (simulování škodlivé aktivity v clusteru AKS)

Pozor: Tento test provádějte v izolovaném vývojovém nebo testovacím prostředí, nikdy ve výrobě a s náležitým oprávněním. Simulace škodlivé činnosti může mít nezamýšlené následky.

  1. Scénář: Nasaďte modul do clusteru AKS a pokuste se v kontejneru provést privilegovaný příkaz nebo podezřelou aktivitu. Zkuste například připojit kořenový adresář hostitele nebo spustit příkaz síťového skenování.
    • Příklad nasazení privilegovaného modulu (pro testování): ```jaml apiVersion: v1 druh: pod metadata: jméno: privilegovaný-pod-test specifikace: kontejnery:
      • jméno: ubuntu obrázek: ubuntu:nejnovější příkaz: ["sleep", "3600"] securityContext: privilegovaný: pravda hostPID: true hostNetwork: true hostIPC: pravda ```
      • Příkaz pro aplikaci AKS: kubectl apply -f privilegovaný-pod-test.yaml
    • Příklad spuštění podezřelého příkazu uvnitř kontejneru (po nasazení normálního modulu): bash kubectl exec -it <název_podu> -- bash # Uvnitř kontejneru zkuste spustit něco jako: apt update && apt install -y nmap nmap localhost
  2. Očekávaná akce: Defender for Containers by měl detekovat podezřelou aktivitu (např. privilegované nasazení kontejneru, spuštění skenovacích nástrojů) a vygenerovat bezpečnostní upozornění.
  3. Ověření:
    • V Azure Portal přejděte na Microsoft Defender for Cloud > Výstrahy zabezpečení.
    • Hledejte upozornění související s aktivitou, kterou jste simulovali (např. Privilegované nasazení kontejneru, Spuštění nástroje pro skenování sítě).

Bezpečnostní tipy a doporučené postupy

  • Princip nejmenšího privilegia: Nakonfigurujte své moduly a kontejnery s co nejmenšími oprávněními. Kdykoli je to možné, nepoužívejte privilegované kontejnery a připojení hostPath.
  • Nepřetržité skenování obrázků: Integrujte hodnocení zranitelnosti obrázků do svého kanálu CI/CD a skenujte obrázky před jejich nasazením do produkce.
  • Bezpečné základní obrázky: Použijte minimální základní obrázky z důvěryhodných zdrojů. Udržujte své obrázky aktualizované, aby obsahovaly nejnovější opravy zabezpečení.
  • Zabezpečení registru kontejnerů: Zabezpečte svůj registr kontejnerů Azure (ACR) pomocí silného ověřování, RBAC a přísných zásad přístupu.
  • Nastavení zabezpečení Kubernetes: Dodržujte osvědčené bezpečnostní postupy pro Kubernetes, jako je použití síťových zásad, standardů zabezpečení pod (nebo řadičů přístupu) a RBAC k řízení přístupu a chování pod.
  • Monitorování a upozornění: Nakonfigurujte výstrahy pro všechny důležité detekce hrozeb Defender for Containers a integrujte je se svým SIEM/SOAR (např. Microsoft Sentinel) pro automatizovanou reakci.
  • Pravidelná kontrola doporučení: Pravidelně kontrolujte bezpečnostní doporučení poskytovaná Defenderem pro Cloud a jednejte podle nich, abyste neustále zlepšovali bezpečnostní pozici svých kontejnerů.

Běžné odstraňování problémů

  • Defender for Containers není povolen:
    • Ověřte, že plán „Kontejnery“ je „Povoleno“ v programu Microsoft Defender for Cloud na úrovni předplatného.
    • Potvrďte, že předplatné má odpovídající licencování (často součástí Security Center Standard).
  • Nebyly zjištěny zranitelnosti obrázků:
    • Ověřte, zda je registr kontejnerů správně integrován s aplikací Defender for Containers.
    • Po povolení Defenderu pro kontejnery zajistěte, aby byly obrázky stahovány do registru nebo clusteru.
    • Může dojít k mírnému zpoždění, než se zobrazí výsledky skenování. Výstrahy Runtijá nejsem generován:
    • Zajistěte, aby byla Runtime Protection for Kubernetes Clusters v nastavení Defender for Containers Enabled.
    • Potvrďte, že je agent Defender for Containers nasazen a správně funguje v clusteru AKS. Stav modulů souvisejících s Defenderem můžete zkontrolovat ve jmenném prostoru kube-system nebo azure-defender.
    • Ujistěte se, že aktivita, kterou testujete, skutečně spouští pravidlo detekce Defender for Containers. Některé činnosti mohou být považovány za normální v závislosti na kontextu.
  • Falešně pozitivní (Upozornění na legitimní aktivitu):
    • Prozkoumejte výstrahu na portálu Defender for Cloud, abyste pochopili důvod výstrahy.
    • Pokud se jedná o legitimní aktivitu, můžete výstrahu potlačit (opatrně) nebo upravit nastavení clusteru/aplikace, abyste zabránili označení aktivity jako podezřelé.
    • Poskytněte společnosti Microsoft zpětnou vazbu o falešně pozitivních zjištěních a pomozte tak zlepšit zpravodajství o hrozbách.

Závěr

Microsoft Defender for Containers je základní nástroj pro ochranu celého životního cyklu vašich kontejnerových úloh. Tím, že poskytuje hodnocení zranitelnosti obrazu, runtime ochranu pro clustery Kubernetes a nepřetržité monitorování hrozeb, umožňuje organizacím vytvářet a provozovat kontejnerová prostředí bezpečně. Efektivní implementace těchto schopností je zásadní pro zmírnění rizik spojených s přijetím kontejnerů, zajištění souladu a posílení vaší celkové pozice zabezpečení. Díky této praktické příručce budou odborníci na zabezpečení a správci IT dobře vybaveni ke konfiguraci, ověřování a správě aplikace Microsoft Defender for Containers a chrání tak svá nejcennější aktiva v kontejnerech.

Reference:

[1] Microsoft Learn. Co je Microsoft Defender pro kontejnery?. Dostupné na: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/defender-for-containers-introduction [2] Microsoft Learn. Architektura zabezpečení kontejnerů – Defender for Cloud. Dostupné na: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/defender-for-containers-architecture [3] Microsoft Learn. Zabezpečte své kontejnery Azure pomocí Defender for Containers. Dostupné na: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/tutorial-enable-containers-azure [4] Microsoft Learn. Nakonfigurujte Microsoft Defender pro komponenty kontejnerů. Dostupné na: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/defender-for-containers-enable [5] Microsoft Learn. Posouzení zranitelnosti pro podporovaná prostředí. Dostupné na: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/agentless-vulnerability-assessment-azure [6] Microsoft Learn. Bezpečnostní výstrahy v aplikaci Microsoft Defender for Cloud. Dostupné na: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/alerts-overview [7] Microsoft Learn. Matice podpory kontejnerů v Defenderu pro Cloud. Dostupné na: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/support-matrix-defender-for-containers