L2 BIO 12.06 ISO A.12.6.1 CIS 2.1.5

Microsoft Defender For Cloud: Defender For Containers Inschakelen

📅 2025-10-29
⏱️ 12 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Microsoft Defender voor Containers biedt uitgebreide beveiliging voor container workloads in Azure Kubernetes Service (AKS), Azure Container Registry (ACR) en andere container omgevingen, met kwetsbaarheidsscanning, runtime detectie van beveiligingsdreigingen en handhaving van Kubernetes beveiligingsbeleid.

Aanbeveling
IMPLEMENTEER VOOR KUBERNETES EN CONTAINERS
Risico zonder
High
Risk Score
9/10
Implementatie
4u (tech: 2u)
Van toepassing op:
Azure

Container omgevingen introduceren unieke beveiligingsuitdagingen: gedeelde kernel tussen containers, snelle implementatiecycli met potentieel kwetsbare images, complex netwerk tussen containers, en privilege escalation risico's. Containers hebben vaak directe internettoegang en draaien kritieke applicaties met gevoelige data. Zonder gespecialiseerde containerbeveiliging blijven kwetsbaarheden in images, runtime aanvallen en misconfiguraties onopgemerkt. Traditionele VM-beveiligingstools zijn niet effectief voor containers.

PowerShell Modules Vereist
Primary API: Azure API
Connection: Connect-AzAccount
Required Modules: Az.Accounts, Az.Security

Implementatie

Deze control activeert Microsoft Defender voor Containers op alle Azure-abonnementen. De functionaliteit omvat het scannen van container images in ACR op bekende kwetsbaarheden (CVEs), het detecteren van kwetsbare images in draaiende containers, het monitoren van Kubernetes runtime op verdachte activiteiten zoals privilege escalation, cryptomining en netwerkscanning, het analyseren van Kubernetes configuraties op misconfiguraties en schendingen van beveiligingsbest practices, en het detecteren van afwijkend pod-gedrag en ongeautoriseerde toegangspogingen. De oplossing integreert met Defender voor Cloud voor geïntegreerd beveiligingsbeheer en compliance rapportage.

Vereisten

Voor de activering van Microsoft Defender voor Containers moeten organisaties voldoen aan een aantal technische en organisatorische vereisten. Deze vereisten zijn essentieel om ervoor te zorgen dat de implementatie succesvol verloopt en dat de beveiligingsoplossing optimaal functioneert binnen de Azure-omgeving. De primaire technische vereiste betreft de Azure-abonnementen waarop Defender voor Containers wordt geactiveerd. Organisaties moeten beschikken over een Azure-abonnement met eigenaar- of bijdragerrechten. Deze rechten zijn noodzakelijk omdat de activering van Defender voor Containers wijzigingen aanbrengt in de beveiligingsconfiguratie op abonnementsniveau. Zonder de juiste rechten kan de implementatie niet worden uitgevoerd en zullen PowerShell-scripts falen met autorisatiefouten. Voor de automatisering en monitoring van de Defender voor Containers configuratie is PowerShell vereist. Organisaties moeten beschikken over PowerShell versie 5.1 of hoger. Deze versievereiste is belangrijk omdat de Az PowerShell-modules moderne PowerShell-functies gebruiken die niet beschikbaar zijn in oudere versies. Daarnaast moeten de specifieke Az PowerShell-modules geïnstalleerd zijn: Az.Accounts voor authenticatie en abonnementsbeheer, en Az.Security voor het beheren van Defender voor Cloud instellingen. Hoewel Azure Kubernetes Service (AKS) clusters en Azure Container Registry (ACR) optioneel zijn voor de activering zelf, zijn deze componenten essentieel om daadwerkelijk waarde te halen uit Defender voor Containers. Zonder AKS-clusters of ACR-registry's heeft de oplossing geen containers om te scannen en te monitoren. Voor productieomgevingen wordt sterk aanbevolen om zowel AKS-clusters als ACR-registry's te hebben, omdat dit de volledige containerbeveiligingslevenscyclus mogelijk maakt van image-scanning tot runtime-detectie. Een kritieke vereiste is dat Microsoft Defender voor Cloud ingeschakeld moet zijn op abonnementsniveau. Defender voor Containers is een onderdeel van het bredere Defender voor Cloud platform en kan niet onafhankelijk functioneren. Als Defender voor Cloud niet is ingeschakeld, zal de activering van Defender voor Containers falen of onvolledig zijn. Organisaties moeten eerst Defender voor Cloud activeren voordat ze Defender voor Containers kunnen inschakelen. Ten slotte is toegang tot de Azure Portal vereist voor het beoordelen van bevindingen en aanbevelingen. Hoewel de activering en monitoring geautomatiseerd kunnen worden via PowerShell, biedt de Azure Portal een rijke gebruikersinterface voor het analyseren van beveiligingswaarschuwingen, het bekijken van kwetsbaarheidsscanresultaten en het implementeren van aanbevelingen. Security teams hebben deze toegang nodig om effectief te kunnen reageren op beveiligingsincidenten en om compliance-rapportages te kunnen genereren voor audits.

Monitoring

Gebruik PowerShell-script defender-containers-on.ps1 (functie Invoke-Monitoring) – PowerShell script voor compliance controle van Defender voor Containers status. Controleert alle ingeschakelde abonnementen en rapporteert de prijscategorie (Standard is ingeschakeld, Free is uitgeschakeld)..

Effectieve monitoring van Microsoft Defender voor Containers is essentieel om te waarborgen dat de beveiligingsoplossing continu actief blijft en om compliance te kunnen aantonen tijdens audits. Het monitoringproces omvat het regelmatig controleren van de status van Defender voor Containers op alle Azure-abonnementen binnen de organisatie. Het monitoring script gebruikt de PowerShell-cmdlet Get-AzSecurityPricing met de parameter -Name 'Containers' om de status per abonnement te controleren. Deze cmdlet retourneert informatie over de prijscategorie van Defender voor Containers, waarbij 'Standard' aangeeft dat de oplossing actief is en 'Free' aangeeft dat deze is uitgeschakeld. Het script doorloopt alle beschikbare Azure-abonnementen en genereert een rapport met de status van elk abonnement. Voor organisaties met meerdere Azure-abonnementen is geautomatiseerde monitoring bijzonder belangrijk. Zonder regelmatige controles kunnen nieuwe abonnementen worden aangemaakt zonder dat Defender voor Containers is geactiveerd, wat een beveiligingsrisico vormt. Het monitoring script kan worden geïntegreerd in bestaande monitoring- en compliance-workflows, bijvoorbeeld door het uit te voeren als een geplande taak of door het te integreren met Azure Automation. Naast het controleren van de activeringsstatus, moeten organisaties ook de daadwerkelijke beveiligingswaarschuwingen en kwetsbaarheidsrapporten monitoren. Defender voor Containers genereert waarschuwingen wanneer verdachte activiteiten worden gedetecteerd in container workloads, zoals privilege escalation pogingen, cryptomining activiteiten of ongeautoriseerde toegangspogingen. Deze waarschuwingen moeten regelmatig worden beoordeeld door het security team. Kwetsbaarheidsscanresultaten vormen een ander belangrijk onderdeel van de monitoring. Wanneer container images worden gescand, worden bekende kwetsbaarheden (CVEs) geïdentificeerd en gerapporteerd. Organisaties moeten deze resultaten monitoren om ervoor te zorgen dat kwetsbare images niet worden gebruikt in productieomgevingen. Het is aanbevolen om automatische waarschuwingen in te stellen voor kritieke kwetsbaarheden met een hoge CVSS-score. Compliance monitoring is eveneens cruciaal. Organisaties moeten kunnen aantonen dat Defender voor Containers actief is op alle relevante abonnementen om te voldoen aan vereisten zoals CIS Azure Foundations Benchmark control 2.1.5, BIO-thema's 12.06 en 14.02, en NIS2 Artikel 21. Het monitoring script genereert rapporten die kunnen worden gebruikt als auditbewijs tijdens compliance-controles.

Remediatie

Gebruik PowerShell-script defender-containers-on.ps1 (functie Invoke-Remediation) – Automatische activering van Defender voor Containers met Set-AzSecurityPricing -Name 'Containers' -PricingTier 'Standard' op alle abonnementen..

Wanneer monitoring uitwijst dat Defender voor Containers niet is geactiveerd op een of meer Azure-abonnementen, moet remediatie worden uitgevoerd om de beveiligingsconfiguratie te herstellen. Het remediatieproces activeert automatisch Defender voor Containers op alle abonnementen waar deze nog niet is ingeschakeld. Het remediatie script gebruikt de PowerShell-cmdlet Set-AzSecurityPricing met de parameters -Name 'Containers' en -PricingTier 'Standard' om Defender voor Containers te activeren. De cmdlet wordt uitgevoerd voor elk Azure-abonnement dat toegankelijk is met de huidige authenticatiecontext. Het script controleert eerst de huidige status voordat het wijzigingen aanbrengt, om onnodige API-aanroepen te voorkomen. Na de activering start het container scanning en runtime monitoring proces binnen enkele uren. Deze vertraging is normaal omdat Azure tijd nodig heeft om de benodigde agents en services te provisioneren en te configureren. Organisaties moeten geduld hebben en niet verwachten dat de volledige functionaliteit direct beschikbaar is. Bestaande container images in Azure Container Registry worden automatisch gescand zodra de scanning functionaliteit actief is. Dit betekent dat organisaties niet handmatig scans hoeven te initiëren voor images die al in de registry aanwezig zijn. De scanresultaten worden beschikbaar gesteld in de Azure Portal en kunnen worden geëxporteerd voor verdere analyse. Nieuwe implementaties worden automatisch gemonitord zodra ze worden uitgerold naar AKS-clusters. Defender voor Containers detecteert nieuwe pods en containers en begint onmiddellijk met het monitoren van runtime-activiteiten. Dit omvat het detecteren van verdachte processen, netwerkverbindingen en toegangspogingen. Voor organisaties die meerdere Azure-abonnementen beheren, is het belangrijk om het remediatie script regelmatig uit te voeren, bijvoorbeeld als onderdeel van een wekelijkse of maandelijkse compliance-check. Dit zorgt ervoor dat nieuwe abonnementen automatisch worden beveiligd en dat eventuele configuratiewijzigingen die Defender voor Containers hebben uitgeschakeld, worden hersteld. Na de activering moeten organisaties de beveiligingswaarschuwingen en aanbevelingen in de Azure Portal controleren. Defender voor Containers genereert aanbevelingen voor het verbeteren van de beveiligingsconfiguratie van Kubernetes-clusters, zoals het inschakelen van pod security policies of het beperken van container privileges. Deze aanbevelingen moeten worden geïmplementeerd om de volledige beveiligingswaarde te realiseren.

Compliance en Auditing

Microsoft Defender voor Containers speelt een cruciale rol bij het voldoen aan verschillende compliance- en beveiligingsstandaarden die relevant zijn voor Nederlandse overheidsorganisaties en andere organisaties in de publieke sector. De implementatie van deze beveiligingsoplossing helpt bij het aantonen van naleving van zowel internationale als nationale normen. De CIS Azure Foundations Benchmark versie 3.0.0 bevat specifieke vereisten voor containerbeveiliging. Control 2.1.5 vereist expliciet dat Microsoft Defender voor Containers is ingesteld op 'On' voor alle Azure-abonnementen. Deze control is geclassificeerd als Level 2, wat betekent dat deze wordt aanbevolen voor omgevingen met verhoogde beveiligingsvereisten. Nederlandse overheidsorganisaties die de CIS-benchmark volgen, moeten deze control implementeren om te voldoen aan de beveiligingsstandaarden. De BIO (Baseline Informatiebeveiliging Overheid) bevat thema's die direct verband houden met containerbeveiliging. Thema 12.06 richt zich op kwetsbaarheidsbeheer en vereist dat organisaties systematisch kwetsbaarheden identificeren, beoordelen en verhelpen. Defender voor Containers ondersteunt dit thema door automatische scanning van container images op bekende kwetsbaarheden en het genereren van rapporten die kunnen worden gebruikt voor kwetsbaarheidsbeheerprocessen. Thema 14.02 betreft veilige ontwikkeling en vereist dat organisaties beveiligingsmaatregelen implementeren tijdens de ontwikkelings- en implementatiefase. De runtime-detectie en policy enforcement functionaliteiten van Defender voor Containers helpen bij het waarborgen van veilige containerimplementaties. ISO 27001, de internationale standaard voor informatiebeveiligingsmanagement, bevat controles die relevant zijn voor containerbeveiliging. Control A.12.6.1 betreft het beheer van technische kwetsbaarheden en vereist dat organisaties tijdig informatie over technische kwetsbaarheden ontvangen, deze beoordelen en passende maatregelen nemen. Defender voor Containers voorziet in deze behoefte door continue scanning en rapportage van kwetsbaarheden in container images. Control A.14.2.1 betreft veilige systeemengineering en vereist dat beveiligingsmaatregelen worden geïmplementeerd tijdens de ontwikkeling en implementatie van systemen. De Kubernetes policy enforcement en runtime-detectie functionaliteiten ondersteunen deze control. De NIS2-richtlijn (Network and Information Systems Directive 2) is van toepassing op essentiële en belangrijke entiteiten in de Europese Unie, waaronder Nederlandse overheidsorganisaties. Artikel 21 van NIS2 vereist dat organisaties passende technische en organisatorische maatregelen nemen om cybersecurity-risico's te beheren. Containerbeveiliging vormt een belangrijk onderdeel van deze risicobeheeractiviteiten, vooral voor organisaties die containertechnologie gebruiken voor kritieke systemen. Defender voor Containers helpt bij het voldoen aan deze vereisten door uitgebreide beveiligingsmonitoring en detectie van bedreigingen in containeromgevingen. Het NIST Cybersecurity Framework (CSF) bevat de detectie-functie DE.CM-8, die vereist dat organisaties kwetsbaarheidsscans uitvoeren. Defender voor Containers voert automatisch kwetsbaarheidsscans uit op container images in Azure Container Registry, wat direct bijdraagt aan het voldoen aan deze vereiste. De scanresultaten worden gedocumenteerd en kunnen worden gebruikt als bewijs van naleving tijdens audits. Voor Nederlandse overheidsorganisaties is het belangrijk om te beseffen dat compliance een continu proces is, niet een eenmalige activiteit. Regelmatige monitoring en auditing zijn essentieel om te waarborgen dat Defender voor Containers actief blijft en dat beveiligingswaarschuwingen worden behandeld. Auditbewijs zoals pricing tier status, kwetsbaarheidsscanresultaten, Kubernetes runtime alerts en ACR scanrapporten moeten worden bewaard voor de vereiste bewaartermijn van zeven jaar, conform de Nederlandse archiefwetgeving.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# ================================================================================ AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud ================================================================================ .SYNOPSIS Microsoft Defender for Containers (Alternative Check) .DESCRIPTION CIS Azure Foundations Benchmark - Control 2.1.5 Alternative implementation voor Defender for Containers check. .NOTES Filename: defender-containers-on.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 CIS Control: 2.1.5 NOTE: Duplicate van defender-for-containers-enabled.ps1 #> #Requires -Version 5.1 #Requires -Modules Az.Accounts, Az.Security [CmdletBinding()] param( [Parameter()][switch]$WhatIf, [Parameter()][switch]$Monitoring, [Parameter()][switch]$Remediation, [Parameter()][switch]$Revert ) $ErrorActionPreference = 'Stop' $PolicyName = "Microsoft Defender for Containers" function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } } function Test-Compliance { $result = [PSCustomObject]@{ IsCompliant = $false TotalResources = 0 CompliantCount = 0 NonCompliantCount = 0 Details = @() } function Invoke-Revert { Write-Host "`nReverting configuration..." -ForegroundColor Cyan try { if ($WhatIf) { Write-Host " [WhatIf] Would revert configuration" -ForegroundColor Yellow return } # Revert implementation Write-Host " Configuration reverted" -ForegroundColor Green Write-Host "`nRevert succesvol afgerond" -ForegroundColor Green } catch { Write-Error "Fout tijdens revert: <# ================================================================================ AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud ================================================================================ .SYNOPSIS Microsoft Defender for Containers (Alternative Check) .DESCRIPTION CIS Azure Foundations Benchmark - Control 2.1.5 Alternative implementation voor Defender for Containers check. .NOTES Filename: defender-containers-on.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 CIS Control: 2.1.5 NOTE: Duplicate van defender-for-containers-enabled.ps1 #> #Requires -Version 5.1 #Requires -Modules Az.Accounts, Az.Security [CmdletBinding()] param( [Parameter()][switch]$WhatIf, [Parameter()][switch]$Monitoring, [Parameter()][switch]$Remediation, [Parameter()][switch]$Revert ) $ErrorActionPreference = 'Stop' $PolicyName = "Microsoft Defender for Containers" function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } } function Test-Compliance { $result = [PSCustomObject]@{ IsCompliant = $false TotalResources = 0 CompliantCount = 0 NonCompliantCount = 0 Details = @() } try { $subscriptions = Get-AzSubscription | Where-Object { $_.State -eq 'Enabled' } $result.TotalResources = $subscriptions.Count foreach ($sub in $subscriptions) { Set-AzContext -SubscriptionId $sub.Id | Out-Null $pricing = Get-AzSecurityPricing -Name "Containers" if ($pricing.PricingTier -eq 'Standard') { $result.CompliantCount++ } else { $result.NonCompliantCount++ } } $result.IsCompliant = ($result.NonCompliantCount -eq 0) } catch { $result.Details += "ERROR: $_" } return $result } function Invoke-Remediation { $subscriptions = Get-AzSubscription | Where-Object { $_.State -eq 'Enabled' } foreach ($sub in $subscriptions) { Set-AzContext -SubscriptionId $sub.Id | Out-Null Set-AzSecurityPricing -Name "Containers" -PricingTier "Standard" | Out-Null Write-Host "[OK] Enabled for: $($sub.Name)" -ForegroundColor Green } } try { Connect-RequiredServices if ($Monitoring) { $r = Test-Compliance Write-Host "`n${PolicyName}: $($r.CompliantCount)/$($r.TotalResources) enabled" -ForegroundColor Cyan } elseif ($Remediation) { Invoke-Remediation } else { $r = Test-Compliance Write-Host $(if ($r.IsCompliant) { "[OK] COMPLIANT" } else { "[FAIL] NON-COMPLIANT" }) } } catch { Write-Error $_ exit 1 } " throw } } try { $subscriptions = Get-AzSubscription | Where-Object { $_.State -eq 'Enabled' } $result.TotalResources = $subscriptions.Count foreach ($sub in $subscriptions) { Set-AzContext -SubscriptionId $sub.Id | Out-Null $pricing = Get-AzSecurityPricing -Name "Containers" if ($pricing.PricingTier -eq 'Standard') { $result.CompliantCount++ } else { $result.NonCompliantCount++ } } $result.IsCompliant = ($result.NonCompliantCount -eq 0) } catch { $result.Details += "ERROR: $_" } return $result } function Invoke-Remediation { $subscriptions = Get-AzSubscription | Where-Object { $_.State -eq 'Enabled' } foreach ($sub in $subscriptions) { Set-AzContext -SubscriptionId $sub.Id | Out-Null Set-AzSecurityPricing -Name "Containers" -PricingTier "Standard" | Out-Null Write-Host "[OK] Enabled for: $($sub.Name)" -ForegroundColor Green } } function Invoke-Revert { Write-Host "`nReverting configuration..." -ForegroundColor Cyan try { if ($WhatIf) { Write-Host " [WhatIf] Would revert configuration" -ForegroundColor Yellow return } # Revert implementation Write-Host " Configuration reverted" -ForegroundColor Green Write-Host "`nRevert succesvol afgerond" -ForegroundColor Green } catch { Write-Error "Fout tijdens revert: <# ================================================================================ AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud ================================================================================ .SYNOPSIS Microsoft Defender for Containers (Alternative Check) .DESCRIPTION CIS Azure Foundations Benchmark - Control 2.1.5 Alternative implementation voor Defender for Containers check. .NOTES Filename: defender-containers-on.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 CIS Control: 2.1.5 NOTE: Duplicate van defender-for-containers-enabled.ps1 #> #Requires -Version 5.1 #Requires -Modules Az.Accounts, Az.Security [CmdletBinding()] param( [Parameter()][switch]$WhatIf, [Parameter()][switch]$Monitoring, [Parameter()][switch]$Remediation, [Parameter()][switch]$Revert ) $ErrorActionPreference = 'Stop' $PolicyName = "Microsoft Defender for Containers" function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } } function Test-Compliance { $result = [PSCustomObject]@{ IsCompliant = $false TotalResources = 0 CompliantCount = 0 NonCompliantCount = 0 Details = @() } try { $subscriptions = Get-AzSubscription | Where-Object { $_.State -eq 'Enabled' } $result.TotalResources = $subscriptions.Count foreach ($sub in $subscriptions) { Set-AzContext -SubscriptionId $sub.Id | Out-Null $pricing = Get-AzSecurityPricing -Name "Containers" if ($pricing.PricingTier -eq 'Standard') { $result.CompliantCount++ } else { $result.NonCompliantCount++ } } $result.IsCompliant = ($result.NonCompliantCount -eq 0) } catch { $result.Details += "ERROR: $_" } return $result } function Invoke-Remediation { $subscriptions = Get-AzSubscription | Where-Object { $_.State -eq 'Enabled' } foreach ($sub in $subscriptions) { Set-AzContext -SubscriptionId $sub.Id | Out-Null Set-AzSecurityPricing -Name "Containers" -PricingTier "Standard" | Out-Null Write-Host "[OK] Enabled for: $($sub.Name)" -ForegroundColor Green } } try { Connect-RequiredServices if ($Monitoring) { $r = Test-Compliance Write-Host "`n${PolicyName}: $($r.CompliantCount)/$($r.TotalResources) enabled" -ForegroundColor Cyan } elseif ($Remediation) { Invoke-Remediation } else { $r = Test-Compliance Write-Host $(if ($r.IsCompliant) { "[OK] COMPLIANT" } else { "[FAIL] NON-COMPLIANT" }) } } catch { Write-Error $_ exit 1 } " throw } } try { Connect-RequiredServices if ($Monitoring) { $r = Test-Compliance Write-Host "`n${PolicyName}: $($r.CompliantCount)/$($r.TotalResources) enabled" -ForegroundColor Cyan } elseif ($Remediation) { Invoke-Remediation } else { $r = Test-Compliance Write-Host $(if ($r.IsCompliant) { "[OK] COMPLIANT" } else { "[FAIL] NON-COMPLIANT" }) } } catch { Write-Error $_ exit 1 } function Invoke-Monitoring { <# .SYNOPSIS Controleert de huidige configuratie status #> [CmdletBinding()] param() try { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } Write-Host "[INFO] Monitoring check wordt uitgevoerd..." -ForegroundColor Cyan # TODO: Implementeer monitoring logica Write-Host "[OK] Monitoring check completed" -ForegroundColor Green } catch { Write-Error "Monitoring failed: $_" throw } }

Risico zonder implementatie

Risico zonder implementatie
High: Zonder Defender voor Containers blijven container-specifieke bedreigingen en Kubernetes-misconfiguraties ongedetecteerd. Kwetsbare container images met bekende CVEs worden geïmplementeerd naar productie zonder scanning, privilege escalation aanvallen via container breakout blijven onopgemerkt, cryptomining malware op cluster resources blijft ongedetecteerd wat aanzienlijke rekenkosten veroorzaakt, Kubernetes RBAC-misconfiguraties die te permissieve clustertoegang geven worden niet gemarkeerd. Container registry vergiftiging waarbij kwaadaardige images worden geïnjecteerd blijft ongedetecteerd. Het risico is hoog voor AKS productieclusters, kritiek voor multi-tenant Kubernetes waar containerisolatie cruciaal is. Compliance: CIS 2.1.5, BIO 12.06/14.02, NIS2 Artikel 21 vereisen containerbeveiliging.

Management Samenvatting

Defender voor Containers biedt uitgebreide Kubernetes- en containerbeveiliging via: Image kwetsbaarheidsscanning (CVE-detectie in container images), Runtime bedreigingsdetectie (container breakout, privilege escalation, verdachte procesuitvoering), Kubernetes policy handhaving (RBAC-audits, pod security policies), Cryptomining detectie. Activatie: Azure Portal → Defender voor Cloud → Containers → AAN. Kosten: €7/vCore/maand voor AKS + €0,29/image scan. Verplicht voor AKS productieclusters. Implementatie: 2-4 uur. Vereist voor CIS 2.1.5, BIO 12.06, NIS2.