Architettura defender per contenitori

Defender per i contenitori è progettato in modo diverso per ogni ambiente contenitore se sono in esecuzione:

  • Servizio Azure Kubernetes: servizio gestito da Microsoft per lo sviluppo, la distribuzione e la gestione di applicazioni in contenitori.

  • Amazon Elastic Kubernetes Service (EKS) in un account Amazon Web Services (AWS) connesso - Servizio gestito di Amazon per l'esecuzione di Kubernetes in AWS senza dover installare, operare e gestire un piano di controllo o nodi Kubernetes personalizzato.

  • Google Kubernetes Engine (GKE) in un progetto Google Cloud Platform (GCP) connesso - Ambiente gestito di Google per la distribuzione, la gestione e la scalabilità delle applicazioni usando l'infrastruttura GCP.

  • Distribuzione kubernetes non gestita (con Kubernetes abilitato per Azure Arc) - Cloud Native Computing Foundation (CNCF) certificati cluster Kubernetes ospitati in locale o in IaaS.

Nota

Defender per i contenitori supporta i cluster Kubernetes abilitati per Arc (AWS EKS e GCP GKE) è una funzionalità di anteprima.

Per proteggere i contenitori Kubernetes, Defender per contenitori riceve e analizza:

  • Log di controllo ed eventi di sicurezza dal server API
  • Informazioni sulla configurazione del cluster dal piano di controllo
  • Configurazione del carico di lavoro da Criteri di Azure
  • Segnali di sicurezza ed eventi dal livello del nodo

Architettura per ogni ambiente contenitore

Diagramma dell'architettura di Defender per cluster cloud e servizio Azure Kubernetes

Quando Defender per il cloud protegge un cluster ospitato nel servizio Azure Kubernetes, la raccolta di dati dei log di controllo avviene senza agente e senza attriti.

Il profilo Defender distribuito in ogni nodo fornisce le protezioni di runtime e raccoglie i segnali dai nodi usando la tecnologia eBPF.

Il componente aggiuntivo Criteri di Azure per Kubernetes raccoglie la configurazione del cluster e del carico di lavoro per i criteri di controllo di ammissione, come illustrato in Proteggere i carichi di lavoro Kubernetes.

Diagramma dell'architettura di alto livello dell'interazione tra Microsoft Defender per contenitori, servizio Azure Kubernetes e Criteri di Azure.

Dettagli del componente del profilo Defender

Nome pod Spazio dei nomi Tipo Descrizione breve Funzionalità Limiti delle risorse Uscita obbligatoria
azuredefender-collector-ds-* kube-system DaemonSet Set di contenitori che si concentrano sulla raccolta di eventi di inventario e sicurezza dall'ambiente Kubernetes. SYS_ADMIN,
SYS_RESOURCE,
SYS_PTRACE
memoria: 64Mi

CPU: 60m
No
azuredefender-collector-misc-* kube-system Distribuzione Set di contenitori che si concentrano sulla raccolta di eventi di inventario e sicurezza dall'ambiente Kubernetes che non sono associati a un nodo specifico. N/D memoria: 64Mi

CPU: 60m
No
azuredefender-publisher-ds-* kube-system DaemonSet Pubblicare i dati raccolti nel servizio back-end Microsoft Defender per contenitori in cui i dati verranno elaborati per e analizzati. N/D memoria: 200Mi

CPU: 60m
Https 443

Altre informazioni sui prerequisiti di accesso in uscita

* i limiti delle risorse non sono configurabili

Passaggi successivi

In questa panoramica si è appresa l'architettura della sicurezza dei contenitori in Microsoft Defender for Cloud. Per abilitare il piano, vedere: