Zabraňte clusterům Kubernetes s povolenou podporou Azure ARC v prostředích místních i cloudových prostředí.

Rozšíření clustery Azure Defenderu pro Kubernetes můžou chránit vaše místní clustery se stejnými možnostmi detekce hrozeb, které nabízí clustery služby Azure Kubernetes. Povolte na svých clusterech Kubernetes s povoleným ARC Azure a nasaďte rozšíření podle pokynů na této stránce.

Rozšíření může také chránit clustery Kubernetes u jiných poskytovatelů cloudů, i když nejsou na svých spravovaných Kubernetes službách.

Tip

Vložili jsme několik ukázkových souborů, které vám pomůžou s instalačním procesem v příkladech instalace na GitHubu.

Dostupnost

Aspekt Podrobnosti
Stav vydaných verzí Preview
Doplňkové podmínky Azure Preview zahrnují další právní podmínky, které se vztahují na funkce Azure, které jsou ve verzi beta, Preview nebo jinak ještě nedostupné ve všeobecné dostupnosti.
Požadované role a oprávnění Správce zabezpečení může zrušit výstrahy.
Čtenář zabezpečení může zobrazit zjištění
Ceny Vyžaduje Azure Defender pro Kubernetes .
Podporované distribuce Kubernetes Služba Azure Kubernetes na Azure Stack HCL
Kubernetes
Modul AKS
Red Hat OpenShift (verze 4,6 nebo novější)
Mřížka Kubernetes VMware Tanzu
Rancher Kubernetes Engine
Omezení Služba Azure ARC s povoleným Kubernetes a rozšířením Azure Defender nepodporuje spravované nabídky Kubernetes, jako je Google Kubernetes Engine a elastické služby Kubernetes. Služba Azure Defender je nativně dostupná pro Azure Kubernetes Service (AKS) a nevyžaduje připojení clusteru ke službě Azure ARC.
Prostředí a oblasti Dostupnost pro toto rozšíření je stejná jako Kubernetes s povoleným ARC Azure .

Přehled architektury

Pro všechny Kubernetes clustery kromě AKS budete muset připojit cluster ke službě Azure ARC. Po připojení můžete Azure Defender pro Kubernetes nasadit na prostředky Kubernetes s podporou ARC Azure jako rozšíření clusteru.

Komponenty rozšíření shromažďují data protokolů Kubernetes audit ze všech uzlů řídicích rovin v clusteru a odesílají je do Azure Defenderu pro Kubernetes back-endu v cloudu pro další analýzu. Rozšíření je zaregistrované u Log Analytics pracovního prostoru, který se používá jako datový kanál, ale data protokolu auditu se neukládají v pracovním prostoru Log Analytics.

Tento diagram znázorňuje interakci mezi Azure Defenderem pro Kubernetes a clusterem Kubernetes s povoleným ARC Azure:

Diagram architektury vysoké úrovně znázorňuje interakci mezi Azure Defenderem pro Kubernetes a clustery Kubernetes s podporou ARC Azure.

Požadavky

Nasazení rozšíření v programu Azure Defender

Rozšíření pro Azure Defender můžete nasadit pomocí různých metod. Podrobný postup si můžete vybrat na příslušné kartě.

Použijte tlačítko opravit z doporučení Security Center.

Vyhrazené doporučení v Azure Security Center poskytuje:

  • Přehled o tom, které clustery mají nasazené rozšíření Defender for Kubernetes
  • Tlačítko opravit pro nasazení do těchto clusterů bez rozšíření
  1. Na stránce doporučení Azure Security Center otevřete ovládací prvek zabezpečení Azure Defenderu .

  2. Pomocí filtru vyhledejte doporučení s názvem clustery Kubernetes s povoleným ARC Azure, která by měla mít nainstalované rozšíření v programu Azure Defender.

    Azure Security Center doporučení pro nasazení rozšíření Azure Defenderu pro clustery s podporou Azure ARC s povoleným Kubernetes.

    Tip

    Všimněte si ikony opravit ve sloupci Actions (akce).

  3. Kliknutím na rozšíření zobrazíte podrobnosti o zdravých a špatných prostředcích – clustery s rozšířením a bez něj.

  4. V seznamu zdroje, který není v pořádku vyberte cluster a výběrem možnosti opravit otevřete podokno s možnostmi oprav.

  5. Vyberte relevantní pracovní prostor Log Analytics a vyberte možnost napravit x prostředek.

    Nasaďte rozšíření Azure Defenderu pro Azure ARC s možností opravy Security Center.

Ověření nasazení

Pokud chcete ověřit, jestli je v clusteru nainstalované rozšíření Azure Defender, postupujte podle kroků uvedených na jedné z následujících karet:

Pomocí Security Center doporučení ověřte stav rozšíření.

  1. Na stránce doporučení Azure Security Center otevřete ovládací prvek zabezpečení Azure Defenderu .

  2. Vyberte doporučení s názvem clustery Kubernetes s povoleným rozšířením Azure ARC, aby bylo nainstalované rozšíření programu Azure Defender.

    Azure Security Center doporučení pro nasazení rozšíření Azure Defenderu pro clustery s podporou Azure ARC s povoleným Kubernetes.

  3. Ověřte, že cluster, na který jste rozšíření nasadili, je uvedený v pořádku.

Simulace výstrah zabezpečení z Azure Defenderu pro Kubernetes

Úplný seznam podporovaných výstrah je k dispozici v referenční tabulce všech výstrah zabezpečení v Azure Security Center.

  1. Pokud chcete simulovat upozornění v programu Azure Defender, spusťte následující příkaz:

    kubectl get pods --namespace=asc-alerttest-662jfi039n
    

    Očekávaná odpověď je "žádný prostředek nebyl nalezen".

    Během 30 minut bude Azure Defender tuto aktivitu detekovat a aktivovat výstrahu zabezpečení.

  2. V Azure Portal otevřete stránku výstrahy zabezpečení Azure Security Center a vyhledejte příslušnou výstrahu v příslušném prostředku:

    Ukázka upozornění z Azure Defenderu pro Kubernetes.

Odebírá se rozšíření programu Azure Defender.

Rozšíření můžete odebrat pomocí Azure Portal, Azure CLI nebo REST API, jak je vysvětleno na kartách níže.

Odebrání rozšíření pomocí Azure Portal

  1. Z Azure Portal otevřete Azure ARC.

  2. V seznamu infrastruktura vyberte clustery Kubernetes a pak vyberte konkrétní cluster.

  3. Otevřete stránku rozšíření. Jsou uvedena rozšíření v clusteru.

  4. Vyberte cluster a vyberte odinstalovat.

    Odebrání rozšíření z clusteru Kubernetes s povoleným ARC.

Další kroky

Tato stránka vysvětluje, jak nasadit rozšíření Azure Defender pro clustery Kubernetes s podporou ARC Azure. Přečtěte si další informace o službě Azure Defender a o funkcích zabezpečení kontejnerů Azure Security Center na následujících stránkách: