Introduzione a Microsoft Defender per Kubernetes (deprecato)

Nota

Centro sicurezza di Azure e Azure Defender sono ora denominati Microsoft Defender per cloud. Sono stati anche rinominati i Azure Defender in piani di Microsoft Defender. Ad esempio, Azure Defender per Archiviazione è ora Microsoft Defender per Archiviazione.

Altre informazioni sulla ridenominazione recente dei servizi di sicurezza Microsoft.

Microsoft Defender per cloud offre protezione avanzata dell'ambiente, protezione dei carichi di lavoro e protezione in fase di esecuzione, come descritto in Sicurezza dei contenitori in Defender for Cloud.

Defender per Kubernetes protegge i cluster Kubernetes indipendentemente dal fatto che siano in esecuzione in:

  • servizio Azure Kubernetes servizio gestito di Microsoft per lo sviluppo, la distribuzione e la gestione di applicazioni in contenitori.

  • Servizio Amazon Elastic Kubernetes (EKS) in un account connected Amazon Web Services (AWS) (anteprima): servizio gestito di Amazon per l'esecuzione di Kubernetes in AWS senza dover installare, operare e gestire il proprio piano di controllo o nodi Kubernetes.

  • Una distribuzione Kubernetes non gestita : cluster Kubernetes certificati cloud Native Computing Foundation (CNCF) in locale o in IaaS. Per altre informazioni, vedere Defend Azure Arc cluster Kubernetesabilitati per l'esecuzione in ambienti locali e multi-cloud.

Il rilevamento delle minacce a livello di host per i nodi del servizio Sdk di Linux è disponibile se si abilita Microsoft Defender per i server e il relativo agente di Log Analytics. Tuttavia, se il cluster viene distribuito in un set servizio Azure Kubernetes di scalabilità di macchine virtuali, l'agente di Log Analytics non è attualmente supportato.

Disponibilità

Importante

Microsoft Defender per Kubernetes è stato sostituito con Microsoft Defender per contenitori. Se Defender per Kubernetes è già stato abilitato in una sottoscrizione, è possibile continuare a usarlo. Tuttavia, non si otterrà i miglioramenti e le nuove funzionalità di Defender for Containers.

Questo piano non è più disponibile per le sottoscrizioni in cui non è già abilitato.

Per eseguire l'aggiornamento a Microsoft Defender per contenitori, aprire la pagina Piani defender nel portale e abilitare il nuovo piano:

Abilitare Microsoft Defender per i contenitori dalla pagina Dei piani di Defender.

Per altre informazioni su questa modifica, vedere la nota sulla versione.

Aspetto Dettagli
Stato della versione: Disponibilità generale (GA)
Le protezioni per i cluster EKS sono in anteprima. Le condizioni aggiuntive per l'anteprima di Azure includono termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, anteprima o diversamente non ancora disponibili a livello generale.
Prezzi: Microsoft Defender per Kubernetes viene fatturato come illustrato nella pagina dei prezzi.
Il piano di contenitori per i cluster EKS negli account AWS connessi è gratuito mentre è in anteprima.
Autorizzazioni e ruoli obbligatori: Il ruolo Amministratore della sicurezza può ignorare gli avvisi.
Il ruolo con autorizzazioni di lettura per la sicurezza può visualizzare i risultati.
Cloud: Cloud commerciali
Nazionale (Azure per enti pubblici, Azure China (21Vianet))
Account AWS connessi (anteprima)

Quali sono i vantaggi di Microsoft Defender per Kubernetes?

Il team globale di ricercatori di sicurezza monitora costantemente il panorama delle minacce. Quando vengono individuati avvisi e vulnerabilità specifici del contenitore, questi ricercatori li aggiungono ai feed di intelligence per le minacce e Defender for Cloud avvisa l'utente di qualsiasi elemento rilevante per l'ambiente.

Microsoft Defender per Kubernetes offre anche la protezione dalle minacce a livello di cluster monitorando i log dei cluster. Ciò significa che gli avvisi di sicurezza vengono attivati solo per le azioni e le distribuzioni che si verificano dopo aver abilitato Defender per Kubernetes nella sottoscrizione.

Suggerimento

Per i cluster basati su EKS, vengono monitorati i log di controllo del piano di controllo. Questi sono abilitati nella configurazione del piano dei contenitori: screenshot del piano dei contenitori del connettore AWS con i log di controllo abilitati.

Esempi di eventi di sicurezza monitorati da Microsoft Defender per Kubernetes includono:

  • Dashboard di Kubernetes esposti
  • Creazione di ruoli con privilegi elevati
  • Creazione di montanti sensibili.

Per un elenco completo degli avvisi a livello di cluster, vedere la tabella di riferimento degli avvisi.

Proteggere servizio Azure Kubernetes cluster (AKS)

Per proteggere i cluster del servizio AzureKs, abilitare il piano Defender nella sottoscrizione pertinente:

  1. Dal menu di Defender for Cloud aprire Impostazioni ambiente.

  2. Selezionare la sottoscrizione pertinente.

  3. Nella pagina Piani di Defender impostare lo stato di Microsoft Defender per Kubernetes su On.

    Screenshot del piano Microsoft Defender per Kubernetes abilitato.

  4. Selezionare Salva.

Proteggere i cluster del servizio Amazon Elastic Kubernetes

Importante

Se non è già stato connesso un account AWS, seguire le istruzioni riportate in Connessione gli account AWS Connessione Microsoft Defender per Cloud e andare al passaggio 3 seguente.

Per proteggere i cluster EKS, abilitare il piano Contenitori nel connettore di account pertinente:

  1. Dal menu di Defender for Cloud aprire Impostazioni ambiente.

  2. Selezionare il connettore AWS.

    Screenshot della pagina delle impostazioni di ambiente di Defender for Cloud che mostra un connettore AWS.

  3. Impostare l'interruttore per il piano Contenitori su On.

    Screenshot dell'abilitazione di Defender per i contenitori per un connettore AWS.

  4. Facoltativamente, per modificare il periodo di conservazione per i log di controllo, selezionare Configura, immettere l'intervallo di tempo desiderato e selezionare Salva.

    Screenshot della modifica del periodo di conservazione per i log del riquadro di controllo EKS.

  5. Continuare con le pagine rimanenti della procedura guidata del connettore.

  6. Azure Arc Kubernetes e l'estensione Defender abilitati per l'utilizzo devono essere installati e in esecuzione nei cluster EKS. Una raccomandazione dedicata di Defender for Cloud distribuisce l'estensione (e Arc, se necessario):

    1. Nella pagina del servizio Consigli di Defender per Cloud cercare i cluster EKS Azure Defender'estensioneper Azure Arc installata.

    2. Selezionare un cluster non integro.

      Importante

      È necessario selezionare i cluster uno alla volta.

      Non selezionare i cluster in base ai nomi con collegamento ipertestuale: selezionare un altro punto nella riga pertinente.

    3. Selezionare Correggi.

    4. Defender for Cloud genera uno script nel linguaggio preferito: selezionare Bash (per Linux) o PowerShell (per Windows).

    5. Selezionare Scarica logica di correzione.

    6. Eseguire lo script generato nel cluster.

    Video su come usare la raccomandazione Defender for Cloud per generare uno script per i cluster EKS che abilita l'Azure Arc predefinita.

Visualizzare raccomandazioni e avvisi per i cluster EKS

Suggerimento

È possibile simulare gli avvisi relativi ai contenitori seguendo le istruzioni riportate in questo post di blog.

Per visualizzare gli avvisi e le raccomandazioni per i cluster EKS, usare i filtri nelle pagine avvisi, raccomandazioni e inventario per filtrare in base al tipo di risorsa AWS EKS cluster.

Screenshot che illustra come usare i filtri nella pagina degli avvisi di Microsoft Defender per Cloud per visualizzare gli avvisi correlati ai cluster AWS EKS.

Domande frequenti - Microsoft Defender per Kubernetes

È comunque possibile ottenere le protezioni del cluster senza l'agente di Log Analytics?

Microsoft Defender per Kubernetes offre protezioni a livello di cluster. Se si distribuisce anche l'agente di Log Analytics di Microsoft Defenderper i server , si otterrà la protezione dalle minacce per i nodi forniti con tale piano. Per altre informazioni, vedere Introduzione a Microsoft Defender per server.

È consigliabile distribuire entrambi per ottenere la protezione più completa possibile.

Se si sceglie di non installare gli agenti negli host, si riceverà solo una parte dei vantaggi della protezione dalle minacce e degli avvisi di sicurezza. Si riceveranno comunque gli avvisi relativi all'analisi di rete e alle comunicazioni con server dannosi.

Il servizio Azure Kubernetes consente di installare estensioni di VM personalizzate nei nodi del servizio?

Perché Defender for Cloud monitori i nodi del servizio Web Del servizio App, deve eseguire l'agente di Log Analytics.

Il servizio AKS è un servizio gestito e, poiché l'agente di Log Analytics è un'estensione gestita da Microsoft, è supportato anche nei cluster del servizio Web Del servizio Microsoft. Tuttavia, se il cluster viene distribuito in un set servizio Azure Kubernetes di scalabilità di macchine virtuali, l'agente di Log Analytics non è attualmente supportato.

Se il cluster esegue già un agente di Monitoraggio di Azure per i contenitori, è necessario anche l'agente di Log Analytics?

Per poter monitorare i nodi, Defender for Cloud deve eseguire l'agente di Log Analytics.

Se i cluster eseguono già l'agente di Monitoraggio di Azure per i contenitori, è possibile installare anche l'agente di Log Analytics e i due agenti possono interagire tra loro senza problemi.

Altre informazioni sull'agente di Monitoraggio di Azure per i contenitori.

Microsoft Defender per Kubernetes supporta il servizio Kubernetes con nodi del set di scalabilità di macchine virtuali?

Se il cluster viene distribuito in un set servizio Azure Kubernetes di scalabilità di macchine virtuali, l'agente di Log Analytics non è attualmente supportato.

Passaggi successivi

In questo articolo è stata illustrata la protezione di Kubernetes in Defender for Cloud, incluso Microsoft Defender per Kubernetes.

Per i materiali correlati, vedere gli articoli seguenti: