Defender per i contenitori è progettato in modo diverso per ogni ambiente contenitore se sono in esecuzione:
Servizio Azure Kubernetes: servizio gestito da Microsoft per lo sviluppo, la distribuzione e la gestione di applicazioni in contenitori.
Amazon Elastic Kubernetes Service (EKS) in un account Amazon Web Services (AWS) connesso - Servizio gestito di Amazon per l'esecuzione di Kubernetes in AWS senza dover installare, operare e gestire un piano di controllo o nodi Kubernetes personalizzato.
Google Kubernetes Engine (GKE) in un progetto Google Cloud Platform (GCP) connesso - Ambiente gestito di Google per la distribuzione, la gestione e la scalabilità delle applicazioni usando l'infrastruttura GCP.
Distribuzione kubernetes non gestita (con Kubernetes abilitato per Azure Arc) - Cloud Native Computing Foundation (CNCF) certificati cluster Kubernetes ospitati in locale o in IaaS.
Nota
Defender per i contenitori supporta i cluster Kubernetes abilitati per Arc (AWS EKS e GCP GKE) è una funzionalità di anteprima.
Per proteggere i contenitori Kubernetes, Defender per contenitori riceve e analizza:
Log di controllo ed eventi di sicurezza dal server API
Informazioni sulla configurazione del cluster dal piano di controllo
Configurazione del carico di lavoro da Criteri di Azure
Segnali di sicurezza ed eventi dal livello del nodo
Diagramma dell'architettura di Defender per cluster cloud e servizio Azure Kubernetes
Quando Defender per il cloud protegge un cluster ospitato nel servizio Azure Kubernetes, la raccolta di dati dei log di controllo avviene senza agente e senza attriti.
Il profilo Defender distribuito in ogni nodo fornisce le protezioni di runtime e raccoglie i segnali dai nodi usando la tecnologia eBPF.
Il componente aggiuntivo Criteri di Azure per Kubernetes raccoglie la configurazione del cluster e del carico di lavoro per i criteri di controllo di ammissione, come illustrato in Proteggere i carichi di lavoro Kubernetes.
Set di contenitori che si concentrano sulla raccolta di eventi di inventario e sicurezza dall'ambiente Kubernetes che non sono associati a un nodo specifico.
Diagramma dell'architettura dei cluster Kubernetes abilitati per Defender per Cloud e Arc
Per tutti i cluster ospitati all'esterno di Azure, Kubernetes abilitato per Azure è necessario per connettere i cluster ad Azure e fornire servizi di Azure, ad esempio Defender per contenitori.
Quando un contenitore non azure è connesso ad Azure con Arc, l'estensione Arc raccoglie i dati dei log di controllo kubernetes da tutti i nodi del piano di controllo nel cluster. L'estensione invia i dati di log al back-end microsoft Defender for Cloud nel cloud per ulteriori analisi. L'estensione viene registrata con un'area di lavoro Log Analytics usata come pipeline di dati, ma i dati del log di controllo non vengono archiviati nell'area di lavoro Log Analytics.
Le informazioni sulla configurazione del carico di lavoro vengono raccolte da un componente aggiuntivo Criteri di Azure. Come illustrato in questa pagina Criteri di Azure per Kubernetes, il componente aggiuntivo estende il webhook del controller di ammissione gatekeeper v3 open source per Open Policy Agent. I controller di ammissione Kubernetes sono plug-in che stabiliscono la modalità di utilizzo dei cluster. Il componente aggiuntivo viene registrato come webhook nel controllo di ammissione Kubernetes e consente di applicare tutele e misure di sicurezza su larga scala per i cluster in modo centralizzato e coerente.
Nota
Il supporto di Defender per contenitori per i cluster Kubernetes abilitati per Arc è una funzionalità di anteprima.
Diagramma dell'architettura dei cluster Defender per cloud e servizio Azure Kubernetes
Questi componenti sono necessari per ricevere la protezione completa offerta da Microsoft Defender per i contenitori:
Log di controllo kubernetes : cloudwatch dell'account AWS abilita e raccoglie i dati del log di controllo tramite un agente di raccolta agenti e invia le informazioni raccolte al back-end di Microsoft Defender for Cloud per ulteriori analisi.
Kubernetes abilitato per Azure Arc : soluzione basata su agente che connette i cluster del servizio Azure Kubernetes ad Azure. Azure è quindi in grado di fornire servizi come Defender e Criteri come estensioni Arc.
Estensione Defender : DaemonSet che raccoglie i segnali dagli host usando la tecnologia eBPF e fornisce la protezione di runtime. L'estensione viene registrata con un'area di lavoro Log Analytics e usata come pipeline di dati. Tuttavia, i dati del log di controllo non vengono archiviati nell'area di lavoro Log Analytics.
Estensione Criteri di Azure: le informazioni di configurazione del carico di lavoro vengono raccolte dal componente aggiuntivo Criteri di Azure. Il componente aggiuntivo Criteri di Azure estende il webhook del controller di ammissione open source v3 per Open Policy Agent. L'estensione registra come un collegamento Web al controllo di ammissione Kubernetes e consente di applicare le imposizione su larga scala e di proteggere i cluster in modo centralizzato e coerente. Per altre informazioni, vedere Informazioni Criteri di Azure per i cluster Kubernetes.
Nota
Il supporto di Defender per contenitori per i cluster AWS EKS è una funzionalità di anteprima.
Diagramma dell'architettura di Defender per cluster Cloud e GKE
Questi componenti sono necessari per ricevere la protezione completa offerta da Microsoft Defender per i contenitori:
Log di controllo Kubernetes : GCP Cloud Logging abilita e raccoglie i dati del log di controllo tramite un agente di raccolta agenti e invia le informazioni raccolte al back-end microsoft Defender for Cloud per ulteriori analisi.
Kubernetes abilitato per Azure Arc : soluzione basata su agente che connette i cluster del servizio Azure Kubernetes ad Azure. Azure è quindi in grado di fornire servizi come Defender e Criteri come estensioni Arc.
Estensione Defender : DaemonSet che raccoglie i segnali dagli host usando la tecnologia eBPF e fornisce la protezione di runtime. L'estensione viene registrata con un'area di lavoro Log Analytics e usata come pipeline di dati. Tuttavia, i dati del log di controllo non vengono archiviati nell'area di lavoro Log Analytics.
Estensione Criteri di Azure: le informazioni di configurazione del carico di lavoro vengono raccolte dal componente aggiuntivo Criteri di Azure. Il componente aggiuntivo Criteri di Azure estende il webhook del controller di ammissione open source v3 per Open Policy Agent. L'estensione registra come un collegamento Web al controllo di ammissione Kubernetes e consente di applicare le imposizione su larga scala e di proteggere i cluster in modo centralizzato e coerente. Per altre informazioni, vedere Informazioni Criteri di Azure per i cluster Kubernetes.
Nota
Il supporto di Defender per contenitori per i cluster GKE GCP è una funzionalità di anteprima.
Passaggi successivi
In questa panoramica si è appresa l'architettura della sicurezza dei contenitori in Microsoft Defender for Cloud. Per abilitare il piano, vedere:
