Úvod do Microsoft Defenderu pro Kubernetes

  • Článek
  • 5 min ke čtení

Poznámka

Azure Security Center a Azure Defender se teď označují jako Microsoft Defender pro Cloud. Také jsme plány Azure Defender přejmenovaly na plány Microsoft Defenderu . například Azure defender pro Storage je nyní Microsoft Defender pro Storage.

Přečtěte si další informace o nedávných přejmenování služeb zabezpečení společnosti Microsoft.

Microsoft Defender for Cloud poskytuje ochranu prostředí, ochranu úloh a ochranu za běhu, jak je uvedeno v článku Zabezpečení kontejnerů v Defenderu for Cloud.

Defender for Kubernetes chrání clustery Kubernetes bez ohledu na to, jestli běží v:

  • Azure Kubernetes Service (AKS) – spravovaná služba Microsoftu pro vývoj, nasazování a správu kontejnerizovaných aplikací.

  • Amazon Elastic Kubernetes Service (EKS) v připojeném účtu Amazon Web Services (AWS) (Preview) – spravovaná služba Amazonu pro spouštění Kubernetes v AWS bez nutnosti instalovat, provozovat a udržovat vlastní řídicí rovinu Nebo uzly Kubernetes.

  • Nespravovaná distribuce Kubernetes – clustery Kubernetes certifikované v místním prostředí nebo na IaaS certifikované službou CLOUDF (Cloud Native Computing Foundation). Další informace najdete v Azure Arc s podporou clusterů Kubernetesspuštěných v místních a více cloudových prostředích.

Detekce hrozeb na úrovni hostitele pro uzly Linux AKS je dostupná, pokud povolíte Microsoft Defender pro servery a jeho agenta Log Analytics. Pokud je ale cluster nasazený ve škálovací sadě Azure Kubernetes Service virtuálních počítačů, agent Log Analytics se v současné době nepodporuje.

Dostupnost

Aspekt Podrobnosti
Stav vydání: Všeobecná dostupnost (GA)
Ochrana clusterů EKS je ve verzi Preview. Doplňkové podmínky Azure Preview zahrnují další právní podmínky, které se vztahují na funkce Azure, které jsou ve verzi beta, Preview nebo jinak ještě nedostupné ve všeobecné dostupnosti.
Ceny: Microsoft Defender for Kubernetes se účtuje, jak je znázorněno na stránce s cenami.
Kontejnery plánují clustery EKS v připojených účtech AWS, pokud jsou ve verzi Preview.
Požadované role a oprávnění: Správce zabezpečení může výstrahy zamítt.
Čtenář zabezpečení můžete zobrazit závěry.
Mraky: Komerční cloudy
Národní (Azure Government, Azure China 21Vianet)
Připojené účty AWS (Preview)

Jaké jsou výhody Microsoft Defenderu pro Kubernetes?

Náš globální tým výzkumníků v oblasti zabezpečení neustále monitoruje prostředí hrozeb. Když se objeví výstrahy a ohrožení zabezpečení specifické pro kontejnery, tito výzkumníci je přidávají do našich informačních kanálů detekce hrozeb a Defender for Cloud vás upozorní na případy, které jsou pro vaše prostředí relevantní.

Kromě toho Microsoft Defender for Kubernetes poskytuje ochranu před hrozbami na úrovni clusteru monitorováním protokolů clusterů. To znamená, že výstrahy zabezpečení se spouštějí jenom pro akce a nasazení, ke kterým dochází po povolení defenderu pro Kubernetes ve vašem předplatném.

Tip

U clusterů založených na EKS monitorujeme protokoly auditu roviny řízení. Tyto možnosti jsou povolené v konfiguraci plánu kontejnerů: Snímek obrazovky s plánem kontejnerů konektoru AWS s povolenými protokoly auditu.

Mezi příklady událostí zabezpečení, které Microsoft Defender pro Kubernetes monitoruje, patří:

  • Vystavené řídicí panely Kubernetes
  • Vytváření vysoce privilegovaných rolí
  • Vytváření citlivých připojení.

Úplný seznam výstrah na úrovni clusteru najdete v referenční tabulce výstrah.

Ochrana Azure Kubernetes Service (AKS)

Pokud chcete clustery AKS chránit, povolte plán Defenderu v příslušném předplatném:

  1. V nabídce služby Defender for Cloud otevřete Nastavení prostředí.

  2. Vyberte příslušné předplatné.

  3. Na stránce Plány defenderu nastavte stav Microsoft Defenderu pro Kubernetes na Hodnotu On (On).

    Snímek obrazovky s povoleným plánem Microsoft Defenderu pro Kubernetes

  4. Vyberte Uložit.

Ochrana clusterů Amazon Elastic Kubernetes Service

Důležité

Pokud jste ještě ne připojili účet AWS, proveďte to teď podle pokynů v tématu Připojení a účty AWS k Microsoft Defenderu for Cloud a přejděte ke kroku 3 níže.

Pokud chcete chránit clustery EKS, povolte plán Kontejnery na příslušném konektoru účtu:

  1. V nabídce služby Defender for Cloud otevřete Nastavení prostředí.

  2. Vyberte konektor AWS.

    Snímek obrazovky se stránkou nastavení prostředí služby Defender for Cloud zobrazující konektor AWS

  3. Nastavte přepínač pro plán Kontejnery na Hodnotu .

    Snímek obrazovky s povolením služby Defender for Containers pro konektor AWS

  4. Pokud chcete volitelně změnit dobu uchovávání protokolů auditu, vyberte Konfigurovat, zadejte požadovaný časový rámec a vyberte Uložit.

    Snímek obrazovky s úpravou doby uchovávání protokolů v řídicím podokně EKS

  5. Pokračujte zbývajícími stránkami průvodce konektorem.

  6. Azure Arc na clusterech EKS musí být nainstalované a spuštěné Kubernetes a rozšíření Defender. Vyhrazené doporučení služby Defender for Cloud nasadí rozšíření (a v případě potřeby arc):

    1. Na stránce služby Defender for Cloud Recommendations vyhledejte clustery EKS, ve Azure Defender rozšíření služby Azure Arc nainstalované.

    2. Vyberte cluster, který není v pořádku.

      Důležité

      Clustery musíte vybrat po jednom.

      Nevyberte clustery podle názvů v hypertextových odkazech: vyberte kdekoli jinde na příslušném řádku.

    3. Vyberte Opravit.

    4. Defender for Cloud vygeneruje skript v jazyce podle vašeho výběru: vyberte Bash (pro Linux) nebo PowerShell (například Windows).

    5. Vyberte Download remediation logic (Stáhnout logiku nápravy).

    6. Spusťte vygenerovaný skript v clusteru.

    Video s doporučením služby Defender for Cloud k vygenerování skriptu pro clustery EKS, který Azure Arc rozšíření.

Zobrazení doporučení a upozornění pro clustery EKS

Tip

Upozornění kontejneru můžete simulovat podle pokynů v tomto blogovém příspěvku.

Pokud chcete zobrazit výstrahy a doporučení pro clustery EKS, použijte filtry na stránce výstrah, doporučení a inventáře k filtrování podle typu prostředku clusteru AWS EKS.

Snímek obrazovky se stránkou s upozorněními v programu Microsoft Defender for Cloud s použitím filtrů k zobrazení výstrah souvisejících s clustery AWS EKS

Nejčastější dotazy – Microsoft Defender for Kubernetes

Můžu stále získat ochranu clusteru bez agenta Log Analytics?

Microsoft Defender for Kubernetes poskytuje ochranu na úrovni clusteru. Pokud nasadíte také agenta Log Analytics programu Microsoft Defender pro servery, získáte ochranu před hrozbami pro uzly, které jsou součástí tohoto plánu. Další informace najdete v tématu Úvod do Microsoft Defenderu pro servery.

Pro zajištění co nejúplnější ochrany doporučujeme nasadit obojí.

Pokud se rozhodnete agenta neinstalovat na hostitele, budete dostávat pouze podmnožinu výhod ochrany před hrozbami a výstrah zabezpečení. Stále budete dostávat výstrahy související s analýzou sítě a komunikací se škodlivými servery.

Umožňuje mi AKS nainstalovat na uzly AKS vlastní rozšíření virtuálního počítače?

Aby služba Defender for Cloud monitoruje uzly AKS, musí mít spuštěného agenta Log Analytics.

AKS je spravovaná služba, a protože agent Log Analytics je rozšíření spravované Microsoftem, podporuje se také v clusterech AKS. Pokud je ale cluster nasazený ve škálovací sadě Azure Kubernetes Service virtuálních počítačů, agent Log Analytics se v současné době nepodporuje.

Pokud v mém clusteru už běží agent Azure Monitor pro kontejnery, potřebuji také agenta Log Analytics?

Aby služba Defender for Cloud monitoruje vaše uzly, musí mít spuštěného agenta Log Analytics.

Pokud už vaše clustery s agentem Azure Monitor pro kontejnery běží, můžete nainstalovat i agenta Log Analytics a oba agenti spolu mohou bez problémů spolupracovat.

Další informace o agentovi Azure Monitor pro kontejnery.

Podporuje Microsoft Defender for Kubernetes AKS s uzly škálovací sady virtuálních počítačů?

Pokud je cluster nasazený ve škálovací sadě Azure Kubernetes Service virtuálních počítačů, agent Log Analytics se v současné době nepodporuje.

Další kroky

V tomto článku jste se dozvěděli o ochraně Kubernetes v Defenderu pro cloud, včetně Microsoft Defenderu pro Kubernetes.

Povolení rozšířené ochrany

Související materiály najdete v následujících článcích: