Introducción a Microsoft Defender para Kubernetes
Nota
Azure Security Center y Azure Defender ahora se denominan Microsoft Defender for Cloud. También hemos cambiado el nombre de los planes de Azure Defender a planes de Microsoft Defender. Por ejemplo, Azure Defender para Storage ahora es Microsoft Defender para Storage.
Microsoft Defender para Kubernetes es el plan de seguridad mejorada que proporciona protecciones para los clústeres de Kubernetes dondequiera que se ejecuten.
Defender for Cloud puede proteger clústeres en:
Azure Kubernetes Service (AKS) : servicio administrado por Microsoft para desarrollar, implementar y administrar aplicaciones en contenedores.
Entornos locales y de varias nubes: mediante una extensión para Kubernetes habilitado para Azure Arc
Microsoft Defender for Cloud y AKS forman una oferta de seguridad de Kubernetes nativa de nube con protección del entorno, protección de la carga de trabajo y protección en tiempo de ejecución, tal y como se describe en Seguridad de contenedores en Defender for Cloud.
La detección de amenazas de nivel de host en los nodos de AKS de Linux está disponible si habilita Microsoft Defender para servidores y su agente de Log Analytics. Sin embargo, si el clúster se implementa en un conjunto de escalado de máquinas virtuales de Azure Kubernetes Service, el agente de Log Analytics no se admite actualmente.
Disponibilidad
| Aspecto | Detalles |
|---|---|
| Estado de la versión: | Disponibilidad general (GA) |
| Precios: | Microsoft Defender para Kubernetes se factura como se muestra en la página de precios. |
| Roles y permisos necesarios: | Administración de seguridad puede descartar las alertas. El lector de seguridad puede ver los resultados. |
| Nubes: | 
Nubes comerciales
Nacional (Azure Government, Azure China 21Vianet) |
¿Cuáles son las ventajas de Microsoft Defender para Kubernetes?
Microsoft Defender para Kubernetes proporciona protección frente a amenazas de nivel de clúster mediante la supervisión de los registros del clúster.
Entre los ejemplos de eventos de seguridad que supervisa Microsoft Defender para Kubernetes, se incluyen los paneles de Kubernetes expuestos y la creación de roles con privilegios elevados y de montajes confidenciales. Para la lista completa de las alertas de nivel de clúster, consulte la tabla de referencia de alertas.
Sugerencia
Puede simular las alertas de contenedor al seguir las instrucciones de esta entrada de blog.
Además, nuestro equipo global de investigadores de seguridad supervisa constantemente el panorama de las amenazas. Agregan alertas específicas del contenedor y vulnerabilidades a medida que se detectan.
Nota
Defender for Cloud genera alertas de seguridad para las acciones e implementaciones que se producen después de habilitar el plan de Defender para Kubernetes en la suscripción.
Preguntas frecuentes: Microsoft Defender para Kubernetes
- ¿Puedo obtener protecciones del clúster aún sin el agente de Log Analytics?
- ¿Me permite AKS instalar extensiones de máquina virtual personalizadas en mis nodos de AKS?
- Si el clúster ya está ejecutando un agente de Azure Monitor para contenedores, ¿necesito también el agente de Log Analytics?
- ¿Microsoft Defender para Kubernetes admite AKS con nodos del conjunto de escalado de máquinas virtuales?
¿Puedo obtener protecciones del clúster aún sin el agente de Log Analytics?
El plan de Microsoft Defender para Kubernetes proporciona protecciones de nivel de clúster. Si implementa también el agente de Log Analytics de Microsoft Defender para servidores, obtendrá la protección contra amenazas para los nodos que se proporciona con ese plan. Más información en Introducción a Microsoft Defender para servidores.
Se recomienda implementar ambos para obtener la protección más completa posible.
Si decide no instalar el agente en los hosts, solo recibirá un subconjunto de las ventajas de la protección contra amenazas y las alertas de seguridad. Aún así, seguirá recibiendo alertas relacionadas con el análisis de redes y las comunicaciones con servidores malintencionados.
¿Me permite AKS instalar extensiones de máquina virtual personalizadas en mis nodos de AKS?
Para que Defender for Cloud supervise los nodos de AKS, estos deben ejecutar el agente de Log Analytics.
AKS es un servicio administrado y, como el agente de Log Analytics es una extensión administrada por Microsoft, también es compatible con los clústeres de AKS. Sin embargo, si el clúster se implementa en un conjunto de escalado de máquinas virtuales de Azure Kubernetes Service, el agente de Log Analytics no se admite actualmente.
Si el clúster ya está ejecutando un agente de Azure Monitor para contenedores, ¿necesito también el agente de Log Analytics?
Para que Defender for Cloud supervise los nodos, estos deben ejecutar el agente de Log Analytics.
Si los clústeres ya ejecutan el agente de Azure Monitor para contenedores, puede instalar el agente de Log Analytics y los dos agentes pueden trabajar junto con otros sin problemas.
Más información sobre el agente de Azure Monitor para contenedores.
¿Microsoft Defender para Kubernetes admite AKS con nodos del conjunto de escalado de máquinas virtuales?
Si el clúster está implementado en un conjunto de escalado de máquinas virtuales de Azure Kubernetes Service, el agente de Log Analytics no se admite actualmente.
Pasos siguientes
En este artículo, ha aprendido sobre la protección para Kubernetes de Defender for Cloud, incluido Microsoft Defender para Kubernetes.
Para obtener material relacionado, consulte los siguientes artículos: