Abilitare Microsoft Defender per contenitori

Microsoft Defender per contenitori è la soluzione nativa del cloud per la protezione dei contenitori.

Defender per contenitori protegge i cluster, indipendentemente dal fatto che siano in esecuzione:

  • servizio Azure Kubernetes (servizio Azure Kubernetes) - Servizio gestito di Microsoft per lo sviluppo, la distribuzione e la gestione di applicazioni in contenitori.

  • Amazon Elastic Kubernetes Service (EKS) in un account Amazon Web Services (AWS) connesso : il servizio gestito di Amazon per l'esecuzione di Kubernetes in AWS senza dover installare, gestire e gestire un piano di controllo o nodi Kubernetes personalizzati.

  • Google Kubernetes Engine (GKE) in un progetto Google Cloud Platform (GCP) connesso : ambiente gestito di Google per la distribuzione, la gestione e il ridimensionamento delle applicazioni tramite l'infrastruttura GCP.

  • Altre distribuzioni kubernetes (con Kubernetes con abilitazione di Azure Arc): cluster Kubernetes certificati CLOUD Native Computing Foundation (CNF) ospitati in locale o in IaaS. Per altre informazioni, vedere la sezione On-prem/IaaS (Arc) di Supported features by environment (Funzionalità supportate per ambiente).

Informazioni su questo piano in Panoramica di Microsoft Defender per contenitori.

Nota

Supporto di Defender per contenitori per i cluster Kubernetes abilitati per Arc, AWS EKS e GCP GKE. Questa è una funzionalità in anteprima.

Le condizioni aggiuntive per l'anteprima di Azure includono termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, anteprima o diversamente non ancora disponibili a livello generale.

Requisiti di rete

Verificare che gli endpoint seguenti siano configurati per l'accesso in uscita in modo che il profilo di Defender possa connettersi a Microsoft Defender for Cloud per inviare i dati e gli eventi di sicurezza:

Vedere le regole FQDN/applicazione necessarie per Microsoft Defender per contenitori.

Per impostazione predefinita, i cluster del servizio Azure Kubernetes hanno accesso a Internet in uscita senza restrizioni.

Requisiti di rete

Verificare che gli endpoint seguenti siano configurati per l'accesso in uscita in modo che l'estensione Defender possa connettersi a Microsoft Defender for Cloud per inviare dati ed eventi di sicurezza:

Per le distribuzioni di cloud pubblico di Azure:

Dominio Porta
*.ods.opinsights.azure.com 443
*.oms.opinsights.azure.com 443
login.microsoftonline.com 443

Sarà anche necessario convalidare i requisiti di rete Kubernetes abilitati per Azure Arc.

Abilitare il piano

  1. Dal menu di Defender for Cloud aprire la pagina Impostazioni ambiente e selezionare la sottoscrizione pertinente.

  2. Nella pagina Piani di Defender abilitare Defender per contenitori

    Suggerimento

    Se la sottoscrizione ha già Defender per Kubernetes e/o Defender per registri contenitori abilitati, viene visualizzato un avviso di aggiornamento. In caso contrario, l'unica opzione sarà Defender per contenitori.

    Defender for container registries and Defender for Kubernetes plans showing 'Deprecated' and upgrade information.

  3. Per impostazione predefinita, quando si abilita il piano tramite il portale di Azure, Microsoft Defender per contenitori è configurato per il provisioning automatico (installazione automatica) dei componenti necessari per fornire le protezioni offerte dal piano.

    Facoltativamente, è possibile modificare questa configurazione dalla pagina Piani di Defender o dalla pagina Provisioning automatico nella riga Componenti di Microsoft Defender per contenitori (anteprima):

    Screenshot of the auto provisioning options for Microsoft Defender for Containers.

    Nota

    Se si sceglie di disabilitare il piano in qualsiasi momento dopo l'abilitazione tramite il portale, come illustrato in precedenza, sarà necessario rimuovere manualmente i componenti di Defender per contenitori distribuiti nei cluster.

  4. Se si disabilita il provisioning automatico di qualsiasi componente, è possibile distribuire facilmente il componente in uno o più cluster usando la raccomandazione appropriata:

    Nota

    Microsoft Defender per contenitori è configurato per difendere automaticamente tutti i cloud. Quando si installano tutti i prerequisiti necessari e si abilitano tutte le funzionalità di provisioning automatico.

    Se si sceglie di disabilitare tutte le opzioni di configurazione di provisioning automatico, non verranno distribuiti agenti o componenti nei cluster. La protezione sarà limitata solo alle funzionalità senza agente. Informazioni sulle funzionalità senza agente nella sezione relativa alla disponibilità per Defender per contenitori.

Distribuire il profilo di Defender

È possibile abilitare il piano Defender per contenitori e distribuire tutti i componenti pertinenti dal portale di Azure, dall'API REST o con un modello di Resource Manager. Per i passaggi dettagliati, selezionare la scheda pertinente.

Il profilo di sicurezza di Defender è una funzionalità di anteprima. Le condizioni aggiuntive per l'anteprima di Azure includono termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, anteprima o diversamente non ancora disponibili a livello generale.

Usare il pulsante di correzione della raccomandazione di Defender for Cloud

Un processo semplificato, senza attrito, consente di usare le pagine portale di Azure per abilitare il piano Defender for Cloud e configurare il provisioning automatico di tutti i componenti necessari per difendere i cluster Kubernetes su larga scala.

Una raccomandazione dedicata di Defender for Cloud offre:

  • Visibilità su quale cluster è distribuito il profilo di Defender
  • Pulsante Correzione per distribuirlo in tali cluster senza l'estensione
  1. Dalla pagina delle raccomandazioni di Microsoft Defender for Cloud aprire il controllo Abilita sicurezza avanzata .

  2. Usare il filtro per trovare la raccomandazione denominata servizio Azure Kubernetes cluster deve avere abilitato il profilo Defender.

    Suggerimento

    Si noti l'icona Correzione nella colonna azioni

  3. Selezionare i cluster per visualizzare i dettagli delle risorse integre e non integre: cluster con e senza il profilo.

  4. Nell'elenco delle risorse non integre selezionare un cluster e selezionare Correggi per aprire il riquadro con la conferma della correzione.

  5. Selezionare Correggi [x] risorse.

Abilitare il piano

  1. Dal menu di Defender for Cloud aprire la pagina Impostazioni ambiente e selezionare la sottoscrizione pertinente.

  2. Nella pagina Piani Defender abilitare Defender per contenitori

    Suggerimento

    Se la sottoscrizione ha già Defender per Kubernetes e/o Defender per i registri contenitori abilitati, viene visualizzato un avviso di aggiornamento. In caso contrario, l'unica opzione sarà Defender per contenitori.

    Defender for container registries and Defender for Kubernetes plans showing 'Deprecated' and upgrade information.

  3. Per impostazione predefinita, quando si abilita il piano tramite il portale di Azure, Microsoft Defender per contenitori è configurato per il provisioning automatico (installazione automatica) dei componenti necessari per fornire le protezioni offerte dal piano.

    Facoltativamente, è possibile modificare questa configurazione dalla pagina piani Defender o dalla pagina Provisioning automatico nella riga Componenti di Microsoft Defender per contenitori (anteprima):

    Screenshot of the auto provisioning options for Microsoft Defender for Containers.

    Nota

    Se si sceglie di disabilitare il piano in qualsiasi momento dopo l'abilitazione tramite il portale, come illustrato in precedenza, sarà necessario rimuovere manualmente i componenti Defender per contenitori distribuiti nei cluster.

  4. Se si disabilita il provisioning automatico di qualsiasi componente, è possibile distribuire facilmente il componente in uno o più cluster usando la raccomandazione appropriata:

Prerequisiti

Prima di distribuire l'estensione, assicurarsi di:

Distribuire l'estensione Defender

È possibile distribuire l'estensione Defender usando un intervallo di metodi. Per i passaggi dettagliati, selezionare la scheda pertinente.

Usare il pulsante correzione dalla raccomandazione Defender for Cloud

Una raccomandazione dedicata di Defender for Cloud fornisce:

  • Visibilità su quale cluster ha l'estensione Defender per Kubernetes distribuita
  • Correzione del pulsante per distribuirlo in tali cluster senza l'estensione
  1. Dalla pagina dei consigli di Microsoft Defender for Cloud aprire il controllo Abilita sicurezza avanzata .

  2. Usare il filtro per trovare la raccomandazione denominata Cluster Kubernetes abilitati per Azure Arc deve avere l'estensione Defender for Cloud installata.

    Microsoft Defender for Cloud's recommendation for deploying the Defender extension for Azure Arc-enabled Kubernetes clusters.

    Suggerimento

    Si noti l'icona Correzione nella colonna azioni

  3. Selezionare l'estensione per visualizzare i dettagli delle risorse integre e non integre: cluster con e senza estensione.

  4. Nell'elenco risorse non integre selezionare un cluster e selezionare Correzione per aprire il riquadro con le opzioni di correzione.

  5. Selezionare l'area di lavoro Log Analytics pertinente e selezionare Correzione x risorsa.

    Deploy Defender extension for Azure Arc with Defender for Cloud's 'fix' option.

Verificare la distribuzione

Per verificare che nel cluster sia installata l'estensione Defender, seguire la procedura descritta in una delle schede seguenti:

Usare La raccomandazione di Defender for Cloud per verificare lo stato dell'estensione

  1. Dalla pagina dei consigli di Microsoft Defender for Cloud aprire il controllo Abilita sicurezza di Microsoft Defender for Cloud .

  2. Selezionare la raccomandazione denominata Cluster Kubernetes abilitati per Azure Arc in cui deve essere installata l'estensione di Microsoft Defender for Cloud.

    Microsoft Defender for Cloud's recommendation for deploying the Defender extension for Azure Arc-enabled Kubernetes clusters.

  3. Verificare che il cluster in cui è stata distribuita l'estensione sia elencato come Integro.

Proteggere i cluster del servizio Amazon Elastic Kubernetes

Importante

Se non è già stato connesso un account AWS, usare ora le istruzioni in Connessione gli account AWS a Microsoft Defender for Cloud.

Per proteggere i cluster del servizio Azure Kubernetes, abilitare il piano Contenitori nel connettore account pertinente:

  1. Dal menu di Defender for Cloud aprire Impostazioni ambiente.

  2. Selezionare il connettore AWS.

    Screenshot of Defender for Cloud's environment settings page showing an AWS connector.

  3. Impostare l'interruttore per il piano Contenitorisu Sì.

    Screenshot of enabling Defender for Containers for an AWS connector.

  4. (Facoltativo) Per modificare il periodo di conservazione per i log di controllo, selezionare Configura, immettere l'intervallo di tempo necessario e selezionare Salva.

    Screenshot of adjusting the retention period for EKS control pane logs.

    Nota

    Se si disabilita questa configurazione, la Threat detection (control plane) funzionalità verrà disabilitata. Altre informazioni sulla disponibilità delle funzionalità.

  5. Continuare con le pagine rimanenti della procedura guidata del connettore.

  6. Kubernetes abilitato per Azure Arc, l'estensione Defender e l'estensione Criteri di Azure devono essere installate e in esecuzione nei cluster del servizio Azure Kubernetes. Sono disponibili 2 consigli dedicati per Defender for Cloud per installare queste estensioni (e Azure Arc, se necessario):

    • EKS clusters should have Microsoft Defender's extension for Azure Arc installed
    • EKS clusters should have the Azure Policy extension installed

    Per ognuna delle raccomandazioni, seguire la procedura seguente per installare le estensioni necessarie.

    Per installare le estensioni necessarie:

    1. Nella pagina Consigli di Defender for Cloud cercare uno dei consigli in base al nome.

    2. Selezionare un cluster non integro.

      Importante

      È necessario selezionare i cluster uno alla volta.

      Non selezionare i cluster in base ai nomi con collegamento ipertestuale: selezionare un'altra posizione nella riga pertinente.

    3. Selezionare Correggi.

    4. Defender for Cloud genera uno script nel linguaggio desiderato: selezionare Bash (per Linux) o PowerShell (per Windows).

    5. Selezionare Scarica logica di correzione.

    6. Eseguire lo script generato nel cluster.

    7. Ripetere i passaggi da "a" a "f" per la seconda raccomandazione.

    Video of how to use the Defender for Cloud recommendation to generate a script for your EKS clusters that enables the Azure Arc extension.

Visualizzare raccomandazioni e avvisi per i cluster del servizio Azure Kubernetes

Suggerimento

È possibile simulare gli avvisi relativi ai contenitori seguendo le istruzioni riportate in questo post di blog.

Per visualizzare gli avvisi e le raccomandazioni per i cluster del servizio Azure Kubernetes, usare i filtri nelle pagine avvisi, raccomandazioni e inventario per filtrare in base al tipo di risorsa cluster AWS EKS.

Screenshot of how to use filters on Microsoft Defender for Cloud's alerts page to view alerts related to AWS EKS clusters.

Proteggere i cluster GKE (Google Kubernetes Engine)

Importante

Se non è già stato connesso un progetto GCP, usare ora le istruzioni in Connessione progetti GCP a Microsoft Defender for Cloud.

Per proteggere i cluster GKE, è necessario abilitare il piano Contenitori nel progetto GCP pertinente.

Per proteggere i cluster GKE (Google Kubernetes Engine):

  1. Accedere al portale di Azure.

  2. Passare alle impostazioni di Microsoft Defender forCloudEnvironment>.

  3. Selezionare il connettore GCP pertinente

    Screenshot showing an example GCP connector.

  4. Selezionare il pulsante Avanti: Selezionare piani > .

  5. Assicurarsi che il piano Contenitori sia attivato.

    Screenshot that shows the containers plan is toggled to on.

  6. (Facoltativo) Configurare il piano contenitori.

  7. Selezionare il pulsante Copia .

    Screenshot showing the location of the copy button.

  8. Selezionare il pulsante Cloud Shell >GCP.

  9. Incollare lo script nel terminale Cloud Shell ed eseguirlo.

Il connettore verrà aggiornato dopo l'esecuzione dello script. Il completamento di questo processo può richiedere fino a 6-8 ore.

Distribuire la soluzione in cluster specifici

Se è stata disabilitata una delle configurazioni di provisioning automatico predefinite su Disattivato, durante il processo di onboarding del connettore GCP o successivamente. È necessario installare manualmente Kubernetes abilitato per Azure Arc, l'estensione Defender e le estensioni Criteri di Azure a ognuno dei cluster GKE per ottenere il valore di sicurezza completo da Defender per contenitori.

Sono disponibili 2 consigli dedicati per Defender for Cloud che è possibile usare per installare le estensioni (e Arc, se necessario):

  • GKE clusters should have Microsoft Defender's extension for Azure Arc installed
  • GKE clusters should have the Azure Policy extension installed

Per distribuire la soluzione in cluster specifici:

  1. Accedere al portale di Azure.

  2. Passare a Microsoft Defender for Cloud>Consigli.

  3. Nella pagina Consigli di Defender for Cloud cercare uno dei consigli in base al nome.

    Screenshot showing how to search for the recommendation.

  4. Selezionare un cluster GKE non integro.

    Importante

    È necessario selezionare i cluster uno alla volta.

    Non selezionare i cluster in base ai nomi con collegamento ipertestuale: selezionare un'altra posizione nella riga pertinente.

  5. Selezionare il nome della risorsa non integra.

  6. Selezionare Correggi.

    Screenshot showing the location of the fix button.

  7. Defender for Cloud genererà uno script nel linguaggio preferito:

    • Per Linux selezionare Bash.
    • Per Windows selezionare PowerShell.
  8. Selezionare Scarica logica di correzione.

  9. Eseguire lo script generato nel cluster.

  10. Ripetere i passaggi da 3 a 8 per la seconda raccomandazione.

Visualizzare gli avvisi del cluster GKE

  1. Accedere al portale di Azure.

  2. Passare agli avvisidi Microsoft Defender for CloudSecurity>.

  3. Selezionare il pulsante .

  4. Nel menu a discesa Filtro selezionare Tipo di risorsa.

  5. Nel menu a discesa Valore selezionare GKE Cluster GKE GCP.

  6. Selezionare OK.

Simulare gli avvisi di sicurezza da Microsoft Defender per contenitori

Un elenco completo degli avvisi supportati è disponibile nella tabella di riferimento di tutti gli avvisi di sicurezza di Defender for Cloud.

  1. Per simulare un avviso di sicurezza, eseguire il comando seguente dal cluster:

    kubectl get pods --namespace=asc-alerttest-662jfi039n
    

    La risposta prevista è "Nessuna risorsa trovata".

    Entro 30 minuti, Defender for Cloud rileverà questa attività e attiverà un avviso di sicurezza.

  2. Nella portale di Azure aprire la pagina degli avvisi di sicurezza di Microsoft Defender for Cloud e cercare l'avviso nella risorsa pertinente:

    Sample alert from Microsoft Defender for Kubernetes.

Rimuovere l'estensione Defender

Per rimuovere questo - o qualsiasi estensione - Defender for Cloud, non è sufficiente disattivare il provisioning automatico:

  • L'abilitazione del provisioning automatico influisce potenzialmente sui computer esistenti e futuri .
  • La disabilitazione del provisioning automatico per un'estensione influisce solo sui computer futuri . Non viene disinstallato nulla disabilitando il provisioning automatico.

Tuttavia, per assicurarsi che il provisioning dei componenti di Defender per contenitori non venga eseguito automaticamente alle risorse da ora in poi, disabilitare il provisioning automatico delle estensioni come illustrato in Configurare il provisioning automatico per gli agenti e le estensioni da Microsoft Defender for Cloud.

È possibile rimuovere l'estensione usando portale di Azure, l'interfaccia della riga di comando di Azure o l'API REST, come illustrato nelle schede seguenti.

Usare portale di Azure per rimuovere l'estensione

  1. Dal portale di Azure aprire Azure Arc.

  2. Nell'elenco dell'infrastruttura selezionare Cluster Kubernetes e quindi selezionare il cluster specifico.

  3. Aprire la pagina delle estensioni. Le estensioni nel cluster sono elencate.

  4. Selezionare il cluster e selezionare Disinstalla.

    Removing an extension from your Arc-enabled Kubernetes cluster.

Rimuovere il profilo di Defender

Per rimuovere questo - o qualsiasi estensione - Defender for Cloud, non è sufficiente disattivare il provisioning automatico:

  • L'abilitazione del provisioning automatico influisce potenzialmente sui computer esistenti e futuri .
  • La disabilitazione del provisioning automatico per un'estensione influisce solo sui computer futuri . Non viene disinstallato nulla disabilitando il provisioning automatico.

Tuttavia, per assicurarsi che il provisioning dei componenti di Defender per contenitori non venga eseguito automaticamente alle risorse da ora in poi, disabilitare il provisioning automatico delle estensioni come illustrato in Configurare il provisioning automatico per gli agenti e le estensioni da Microsoft Defender for Cloud.

È possibile rimuovere il profilo usando l'API REST o un modello di Resource Manager, come illustrato nelle schede seguenti.

Usare l'API REST per rimuovere il profilo defender dal servizio Azure Kubernetes

Per rimuovere il profilo usando l'API REST, eseguire il comando PUT seguente:

https://management.azure.com/subscriptions/{{SubscriptionId}}/resourcegroups/{{ResourceGroup}}/providers/Microsoft.ContainerService/managedClusters/{{ClusterName}}?api-version={{ApiVersion}}
Nome Descrizione Obbligatorio
SubscriptionId ID sottoscrizione del cluster
ResourceGroup Gruppo di risorse del cluster
ClusterName Nome del cluster
ApiVersion La versione dell'API deve essere >= 2021-07-01

Corpo della richiesta:

{
  "location": "{{Location}}",
  "properties": {
    "securityProfile": {
            "azureDefender": {
                "enabled": false
            }
        }
    }
}

Parametri del corpo della richiesta:

Nome Descrizione Obbligatorio
posizione Posizione del cluster
properties.securityProfile.azureDefender.enabled Determina se abilitare o disabilitare Microsoft Defender per contenitori nel cluster