A Kuberneteshez használt Microsoft Defender (elavult) bemutatása

Megjegyzés

Azure Security Center és Azure Defender neve mostantól Microsoft Defender for Cloud. Új nevet adtunk a Azure DefenderMicrosoft Defender-csomagoknak. A microsoftos Azure Defender például Storage Microsoft Defender for Storage.

További információ a Microsoft biztonsági szolgáltatásainak legutóbbi újrananatálásáról.

A Microsoft Defender felhőhöz környezet-, munkaterhelés- és futásidő-védelmet biztosít a Tárolóbiztonság a Felhőhöz című témakörben ismertetettek szerint.

A Defender a Kuberneteshez védelmet nyújt a Kubernetes-fürtök számára, függetlenül attól, hogy a következő környezetben futnak:

  • Azure Kubernetes Service (AKS) – A Microsoft felügyelt szolgáltatása tárolóba helyezett alkalmazások fejlesztéséhez, üzembe helyezéséhez és kezeléséhez.

  • Amazon Elastic Kubernetes Service (EKS) csatlakoztatott Amazon Web Services-fiókban (előzetes verzió) – Az Amazon felügyelt szolgáltatása a Kubernetes AWS-en való futtatásához anélkül, hogy saját Kubernetes-vezérlősíkot vagy csomópontokat kellene telepítenie, működtetnie és karbantartania.

  • Nemmaned Kubernetes-disztribúció – A Cloud Native Computing Foundation (CNCF) által hitelesített Kubernetes-fürtök a helyszínen vagy az IaaS-en. További információ: Azure Arc helyszíni és többfelhős környezetekben futó, kompatibilis Kubernetes-fürtök megvédése.

A Linux AKS-csomópontok gazdagépszintű fenyegetésészlelése akkor érhető el, ha engedélyezi a Microsoft Defendert a kiszolgálókhoz és annak Log Analytics-ügynökéhez. Ha azonban a fürt egy virtuálisgép-méretezési Azure Kubernetes Service van üzembe állítva, a Log Analytics-ügynök jelenleg nem támogatott.

Rendelkezésre állás

Fontos

A Kuberneteshez használt Microsoft Defendert a Tárolókhoz való Microsoft Defender váltotta fel. Ha már engedélyezte a Defender for Kubernetes-t egy előfizetésben, továbbra is használhatja. A Defender for Containers fejlesztései és új funkciói azonban nem fognak elérhetővé lenni.

Ez a csomag már nem érhető el olyan előfizetések esetén, amelyek még nincsenek engedélyezve.

A Microsoft Defender for Containers szolgáltatásra való frissítéshez nyissa meg a Defender-csomagok lapot a portálon, és engedélyezze az új tervet:

Engedélyezze a Microsoft Defender for Containerst a Defender-csomagok lapon.

Erről a változásról a kibocsátási megjegyzésben olvashat bővebben.

Szempont Részletek
Kiadási állapot: Általános rendelkezésre állás (GA)
Az EKS-fürtök védelme előzetes verzióban érhető el. Az Azure előzetes verzió kiegészítő feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más, általánosan elérhető Azure-funkciókra vonatkoznak.
Árképzés: A Microsoft Defender for Kubernetes díjszabása a díjszabási oldalon látható módon lesz kiszámlázva.
A csatlakoztatott AWS-fiókokban található EKS-fürtökhöz ingyenesen tervezhető tárolók előzetes verzióban.
Szükséges szerepkörök és engedélyek: A biztonsági rendszergazda elvetheti a riasztásokat.
biztonsági olvasó megtekintheti az eredményeket.
Felhők: Kereskedelmi felhők
Országos (Azure Government, Azure China 21Vianet)
Csatlakoztatott AWS-fiókok (előzetes verzió)

Milyen előnyökkel jár a Microsoft Defender for Kubernetes?

A biztonsági kutatók globális csapata folyamatosan figyeli a fenyegetések környezetét. A tárolóspecifikus riasztások és biztonsági rések felderítése után ezek a kutatók hozzáadják őket a veszélyforrás-felderítési hírcsatornákhoz, és a Defender for Cloud riasztást küld minden olyan riasztáshoz, amely releváns a környezet szempontjából.

Emellett a Microsoft Defender for Kubernetes fürtszintű fenyegetésvédelmet biztosít a fürtök naplóinak figyelése által. Ez azt jelenti, hogy a biztonsági riasztások csak a Defender for Kubernetes előfizetésen való engedélyezése után előforduló műveletek és üzembe helyezések esetén aktiválódnak.

Tipp

EKS-alapú fürtök esetén monitorozjuk a vezérlősík auditnaplóit. Ezek engedélyezve vannak a tárolóterv konfigurációjában: Képernyőkép az AWS-összekötő tárolótervéről engedélyezett auditnaplókkal.

Példák a Microsoft Defender for Kubernetes által figyelt biztonsági eseményekre:

  • Kubernetes-irányítópultok elérhetővé téve
  • Magas jogosultsági szintű szerepkörök létrehozása
  • Bizalmas csatlakoztatások létrehozása.

A fürtszintű riasztások teljes listájáért tekintse meg a riasztások referenciatábláját.

A Azure Kubernetes Service (AKS-) fürtök védelme

Az AKS-fürtök védelméhez engedélyezze a Defender-tervet a megfelelő előfizetésen:

  1. A Defender felhőhöz menüjében nyissa meg a Környezeti beállítások elemet.

  2. Válassza ki az adott előfizetést.

  3. A Defender-csomagok lapon állítsa a Kuberneteshez használt Microsoft Defender állapotát Be állapotúra.

    Képernyőkép a Kuberneteshez készült Microsoft Defender-csomagról.

  4. Kattintson a Mentés gombra.

Amazon Elastic Kubernetes Service-fürtök védelme

Fontos

Ha még nem csatlakoztatott AWS-fiókot, most használja az AWS Csatlakozás fiókok a Microsoft Defender for Cloudhoz való használatával kapcsolatos utasításokat, és ugorjon az alábbi 3. lépésre.

Az EKS-fürtök védelméhez engedélyezze a Tárolótervet a megfelelő fiók-összekötőn:

  1. A Defender felhőhöz menüjében nyissa meg a Környezeti beállítások elemet.

  2. Válassza ki az AWS-összekötőt.

    A Felhőhöz készült Defender környezeti beállítások oldalának képernyőképe, amely egy AWS-összekötőt mutat.

  3. A Containers plan (Tárolók) csomag kapcsolóját állítsa On (Be) beállításra.

    Képernyőkép a Defender tárolókhoz AWS-összekötőhöz való engedélyezéséről.

  4. Ha módosítani szeretné az auditnaplók megőrzési idejét, válassza a Konfigurálás lehetőséget,adja meg a kívánt időkeretet, majd válassza a Mentés lehetőséget.

    Képernyőkép az EKS vezérlőpanel naplói megőrzési időtartamának módosításáról.

  5. Haladjon végig az összekötő varázsló többi oldalán.

  6. Azure Arc engedélyezett Kubernetes-t és a Defender bővítményt telepíteni kell, és futnia kell az EKS-fürtökön. Egy dedikált Defender for Cloud-javaslat telepíti a bővítményt (és szükség esetén az Arcot):

    1. A Defender for Cloud Javaslatok az EKS-fürtök kereséséhez telepítenie kell Azure Defender bővítményét a Azure Arc számára.

    2. Válasszon ki egy nem megfelelőnek megfelelő fürtöt.

      Fontos

      A fürtöt egyszerre csak egyszer kell kiválasztania.

      Ne válassza ki a fürtöt a hiperhivatkozásos neveik alapján: válasszon más lehetőséget a megfelelő sorban.

    3. Válassza a Javítás lehetőséget.

    4. A Defender for Cloud létrehoz egy szkriptet a választott nyelven: válassza a Bash (Linux rendszeren) vagy a PowerShell (a Windows).

    5. Válassza a Szervizelési logika letöltése lehetőséget.

    6. Futtassa a létrehozott szkriptet a fürtön.

    Videó arról, hogyan használható a Defender felhőhöz javaslat egy olyan szkript létrehozásához az EKS-fürtökhöz, amely engedélyezi Azure Arc bővítményt.

Az EKS-fürtökre vonatkozó javaslatok és riasztások megtekintése

Tipp

A tárolóriasztásokat a blogbejegyzés utasításait követve szimulálhatja.

Az EKS-fürtökkel kapcsolatos riasztások és javaslatok megtekintéséhez használja a riasztások, javaslatok és leltárlapok szűrőit az AWS EKS-fürterőforrástípusa alapján való szűréshez.

Képernyőkép a Microsoft Defender for Cloud riasztási oldalának szűrőiről az AWS EKS-fürtökkel kapcsolatos riasztások megtekintéséhez.

Gyakori kérdések – Microsoft Defender a Kuberneteshez

Továbbra is kaphatok fürtvédelmet a Log Analytics-ügynök nélkül?

A Microsoft Defender for Kubernetes fürtszintű védelmet nyújt. Ha a Kiszolgálókhozis telepíti a Microsoft Defender Log Analytics-ügynökét, az adott tervhez biztosított csomópontok veszélyforrások elleni védelmét is biztosítani fogja. További információ: A Kiszolgálókhoz való Microsoft Defender bemutatása.

Javasoljuk, hogy a lehető legnagyobb védelem érdekében mindkettőt telepítse.

Ha úgy dönt, hogy nem telepíti az ügynököt a gazdagépére, akkor csak a fenyegetések elleni védelem előnyeinek és a biztonsági riasztások egy részéhez fog részesülni. A hálózatelemzéssel és a kártékony kiszolgálókkal való kommunikációval kapcsolatos riasztásokat továbbra is megkapja.

Lehetővé teszi az AKS egyéni virtuálisgép-bővítmények telepítését az AKS-csomópontjaimra?

Ahhoz, hogy a Defender for Cloud monitorja az AKS-csomópontokat, a Log Analytics-ügynököt kell futniuk.

Az AKS egy felügyelt szolgáltatás, és mivel a Log Analytics-ügynök a Microsoft által felügyelt bővítmény, az AKS-fürtökön is támogatott. Ha azonban a fürt egy virtuálisgép-méretezési Azure Kubernetes Service van üzembe állítva, a Log Analytics-ügynök jelenleg nem támogatott.

Ha a fürtöm már futtat Azure Monitor tárolóügynökhöz, szükségem van a Log Analytics-ügynökre is?

Ahhoz, hogy a Defender for Cloud monitorja a csomópontokat, a Log Analytics-ügynököt kell futtatnunk.

Ha a fürtök már futtatják a Azure Monitor tárolókhoz ügynököt, a Log Analytics-ügynököt is telepítheti, és a két ügynök probléma nélkül együtt dolgozhat egymással.

További információ a tárolókhoz Azure Monitor ügynökről.

Támogatja a Microsoft Defender for Kubernetes az AKS-t a virtuálisgép-méretezési csoport csomópontjaival?

Ha a fürt egy virtuálisgép-méretezési Azure Kubernetes Service van üzembe állítva, a Log Analytics-ügynök jelenleg nem támogatott.

Következő lépések

Ebben a cikkben a Defender for Cloud kubernetes-védelemről, köztük a Microsoft Defender for Kubernetesről tanult.

Kapcsolódó anyagokért tekintse meg a következő cikkeket: