身兼公有雲服務業者與系統軟體廠商,微軟深知容器與Kubernetes安全的重要性,過去持續呼籲用戶重視這方面的議題,也與趨勢科技等資安廠商合作,強化相關防護。

至於微軟本身的容器安全解決方案,也經歷了好幾個階段的發展,在2021年12月他們宣布Microsoft Defender for Containers,當時發表了公開預覽版,不久之後正式上線。

回顧過去,微軟早先於2019年推出Defender for Kubernetes、Defender for container registries,當時它們都屬於Azure Defender所提供的功能,

  

  

到了2021年11月,微軟決定將Azure Security Center與Azure Defender這兩項服務,整併為Microsoft Defender for Cloud,上述兩款容器相關防護功能也納入、進行整合,隨後也造就了Microsoft Defender for Containers。

對於微軟而言,這是他們針對雲端工作負載防護新增的服務訂閱計畫,

  

是專為容器環境獨特需求所設計的解決方案,可涵蓋Azure Kubernetes Service(AKS)、Amazon Elastic Kubernetes Service(EKS)等公有雲服務的容器即服務平臺,以及企業內部自行建置與管理的容器管理環境,可支援多雲環境的使用,並為其提供Kubernetes原生的大規模註冊、強化控制、弱點評估,以及執行時期的保護。

      

以Kubernetes原生支援的特色而言,微軟提供自動部署功能,能讓用戶在Microsoft Defender for Cloud的網站入口當中,輕鬆地對全部的Kubernetes資源啟用Defender for Containers防護。

   

而此項特色之所以能涵蓋任何Kubernetes環境,主要是因微軟運用Kubernetes的DaemonSet架構──由於它能部署在Kubernetes的控制層,管理者也能對其進行維護,使得用戶可直接透過這項Kubernetes原生工具,了解運作狀態與操作管理功能。微軟也將DaemonSet整合至自家的容器即服務平臺AKS,以及混合雲管理框架Azure Arc,藉此支援多雲與內部建置環境。

就運作架構而言,Defender for Containers需要兩種元件。首先是Defender profile,若需防護的容器環境是坐落在微軟AKS叢集,Defender for Containers稽核記錄資料的收集時,可透過無代理程式的作法進行——在叢集的每臺節點上,會部署Defender profile元件(當中有部分運用了Kubernetes的DaemonSet技術),提供執行時期防護,並且運用eBPF技術(extended Berkeley Packet Filter)從節點收集信號。

其次是Azure Policy的Kubenetes外掛,可藉此收集叢集與工作負載的組態,用於許可控制政策(admission control policies)。

若是用於支援Azure Arc的Kubernetes叢集,Arc延伸套件會收集源自所有控制層的稽核記錄資料,再將其送至Defender for Cloud後端,進行後續的進階分析,這套件本身會透過Log Analytics workspace這個資料層來進行註冊。

至於工作負載的組態資訊,則由Azure Policy外掛收集,這個外掛機制會延伸開放原始碼的Gatekeeper v3許可控制器,並註冊成webhook的方式掛載在 Open Policy Agent,置入Kubernetes許可控制功能,之後集集套用不同規模的強制實施,進而以集中、一致的方式防護用戶的叢集

相較於市面上容器安全解決方案較著重在系統層面的管理,Defender for Containers內建了進階威脅偵測功能,能提供主機層級的防護能力,可提供60種以上具備Kubernetes感知能力的分析機制,並且可運用人工智慧技術,根據執行時期的工作負載去判定異常行為。

對於多雲Kubernetes部署之下持續擴增的攻擊表面(attack surface),微軟Defender for Containers會持續進行監督,並且追蹤網路威脅框架MITRE ATT&CK for Containers的最新進展。

弱點評估也是Defender for Containers提供的功能之一,可定義檢查用戶雲端原生環境的弱點──對於正在執行的系統映像,Defender for Cloud的推薦機制會偵測出已知弱點,讓用戶更容易排定需優先處理的高風險資安漏洞。

微軟對於從容器登錄服務Azure Container Registry(ACR)拉取的系統映像,也強化了定期掃描功能,可持續掃描Kubernetes叢集執行的全部ACR映像。

產品資訊

微軟Defender for Containers
●原廠:微軟
●建議售價:每顆虛擬核心每小時為0.0095美元
●解決方案形式:SaaS
●支援雲端服務:Azure AKS(商業雲、政府雲包含Azure Government、Azure China 21Vianet)、Amazon EKS、GKE、Azure Arc-enabled Kubernetes
●主要提供功能:運作環境強化(Control plane recommendations、Kubernetes data plane recommendations)、弱點評估(Registry scan、View vulnerabilities for running images)、執行時期防護(Threat detection:control plane、workload)、探查與建立(Discovery of unprotected clusters、Collection of control plane threat data、Auto provisioning of Defender profile、Auto provisioning of Azure policy add-on)、法規遵循(Docker CIS)

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商】


熱門新聞

Advertisement