컨테이너용 Microsoft Defender 구성 요소 구성

컨테이너용 Microsoft Defender는 컨테이너 보호를 위한 클라우드 네이티브 솔루션입니다.

컨테이너용 Defender는 클러스터가 실행되고 있는지 여부에 관계없이 클러스터를 보호합니다.

  • AKS(Azure Kubernetes Service) - 컨테이너화된 애플리케이션 개발, 배포 및 관리를 위한 Microsoft의 관리형 서비스입니다.

  • 연결된 AWS(Amazon Web Services) 계정의 Amazon EKS(Elastic Kubernetes Service) - 자체 Kubernetes 컨트롤 플레인 또는 노드를 설치, 운영, 유지 관리할 필요 없이 AWS에서 Kubernetes를 실행하기 위한 Amazon 관리되는 서비스입니다.

  • 연결된 GCP(Google Cloud Platform) 프로젝트의 GKE(Google Kubernetes Engine) - GCP 인프라를 사용하여 애플리케이션을 배포, 관리 및 크기 조정하기 위한 Google의 관리 환경입니다.

  • 기타 Kubernetes 배포(Azure Arc 지원 Kubernetes 사용) - 온-프레미스 또는 IaaS에서 호스트되는 CNCF(Cloud Native Computing Foundation) 인증 Kubernetes 클러스터입니다. 자세한 내용은 환경별로 지원되는 기능온-프레미스/IaaS(Arc) 섹션을 참조하세요.

컨테이너용 Microsoft Defender 개요에서 이 계획에 대해 알아봅니다.

먼저 다음 문서에서 컨테이너를 연결하고 보호하는 방법을 알아볼 수 있습니다.

또한 필드의 클라우드용 Defender 비디오 시리즈에서 이러한 비디오를 보고 자세히 알아볼 수도 있습니다.

참고 항목

Arc 지원 Kubernetes 클러스터, AWS EKS 및 GCP GKE에 대한 컨테이너용 Defender 지원은 미리 보기 기능입니다. 미리 보기 기능은 셀프 서비스에서 옵트인하여 사용할 수 있습니다.

미리 보기는 “있는 그대로” 그리고 “사용 가능한 상태로” 제공되며, 서비스 수준 계약 및 제한적 보증에서 제외됩니다.

지원되는 운영 체제, 기능 가용성, 아웃바운드 프록시 등에 대한 자세한 내용은 컨테이너용 Defender 기능 가용성을 참조하세요.

네트워크 요구 사항

Defender 센서가 클라우드용 Microsoft Defender 연결하여 보안 데이터 및 이벤트를 보낼 수 있도록 아웃바운드 액세스를 위해 다음 엔드포인트가 구성되어 있는지 확인합니다.

컨테이너용 Microsoft Defender에 대한 필수 FQDN/애플리케이션 규칙을 참조하세요.

기본적으로 AKS 클러스터에는 무제한 아웃바운드(송신) 인터넷 액세스가 있습니다.

네트워크 요구 사항

주의

이 문서에서는 EOL(수명 종료) 상태에 가까워진 Linux 배포판인 CentOS를 참조하세요. 이에 따라 사용 및 계획을 고려하세요. 자세한 내용은 CentOS 수명 종료 지침을 참조 하세요.

Defender 센서가 클라우드용 Microsoft Defender 연결하여 보안 데이터 및 이벤트를 보낼 수 있도록 아웃바운드 액세스를 위해 다음 엔드포인트가 구성되어 있는지 확인합니다.

퍼블릭 클라우드 배포의 경우:

Azure 도메인 Azure Government 도메인 21Vianet에서 운영하는 Microsoft Azure 도메인 포트
*.ods.opinsights.azure.com *.ods.opinsights.azure.us *.ods.opinsights.azure.cn 443
*.oms.opinsights.azure.com *.oms.opinsights.azure.us *.oms.opinsights.azure.cn 443
login.microsoftonline.com login.microsoftonline.us login.chinacloudapi.cn 443

다음 도메인은 관련 OS를 사용하는 경우에만 필요합니다. 예를 들어 AWS에서 실행 중인 EKS 클러스터가 있는 경우 Amazon Linux 2 (Eks): Domain: "amazonlinux.*.amazonaws.com/2/extras/*" 도메인만 적용하면 됩니다.

도메인 포트 호스트 운영 체제
amazonlinux.*.amazonaws.com/2/extras/* 443 Amazon Linux 2
yum 기본 리포지토리 - RHEL/CentOS
apt 기본 리포지토리 - Debian

Azure Arc 사용 Kubernetes 네트워크 요구 사항의 유효성도 검사해야 합니다.

계획 사용

플랜을 사용하도록 설정:

  1. 클라우드용 Defender의 메뉴에서 설정 페이지를 열고 관련 구독을 선택합니다.

  2. Defender 플랜 페이지에서 컨테이너용 Defender를 선택하고 설정을 선택합니다.

    Defender 플랜 페이지의 스크린샷

    구독에 이미 Kubernetes용 Defender 및/또는 컨테이너용 Defender 레지스트리가 사용하도록 설정되어 있는 경우 업데이트 알림이 표시됩니다. 그렇지 않으면 유일한 옵션은 컨테이너용 Defender입니다.

    '더 이상 사용되지 않음' 및 업그레이드 정보를 표시하는 컨테이너 레지스트리용 Defender 및 Kubernetes용 Defender 계획

  3. 관련 구성 요소를 켜서 사용하도록 설정합니다.

    구성 요소를 켜는 스크린샷

    참고 항목

    • 컨테이너용 Defender 고객이 2023년 8월 이전에 가입했으며 플랜을 사용하도록 설정할 때 Defender CSPM의 일부로 Kubernetes에 대한 에이전트 없는 검색을 포함하지 않은 경우, 컨테이너용 Defender 플랜 내에서 Kubernetes 확장에 대한 에이전트 없는 검색을 수동으로 사용하도록 설정해야 합니다.
    • 컨테이너용 Defender를 끄면 구성 요소가 끄기로 설정되고 더 이상 컨테이너에 배포되지 않지만 이미 설치된 컨테이너에서 제거되지는 않습니다.

기능별 사용 설정 메서드

기본적으로 Azure Portal을 통해 플랜을 사용하도록 설정하면 컨테이너용 Microsoft Defender는 자동으로 모든 기능을 사용하도록 설정하고 모든 필수 구성 요소를 설치하여 기본 작업 영역 할당을 포함하여 플랜에서 제공하는 보호를 제공하도록 구성됩니다.

플랜의 모든 기능을 사용하도록 설정하고 싶지는 않다면 컨테이너 플랜에 대한 구성 편집을 선택하여 사용하도록 설정할 특정 기능을 수동으로 선택할 수 있습니다. 그런 다음 설정 및 모니터링 페이지에서 사용하도록 설정할 기능을 선택합니다. 또한 플랜의 초기 구성 후 Defender 플랜 페이지에서 이 구성을 수정할 수 있습니다.

각 기능에 대한 사용 설정 메서드에 대한 자세한 내용은 지원 매트릭스를 참조하세요.

역할 및 권한

컨테이너용 Defender 확장을 프로비전하는 데 사용되는 역할에 대해 자세히 알아봅니다.

Defender 센서에 대한 사용자 지정 작업 영역 할당

Azure Policy를 통해 사용자 지정 작업 영역을 할당할 수 있습니다.

권장 사항을 사용하여 자동 프로비저닝하지 않고 Defender 센서 또는 Azure 정책 에이전트 수동 배포

센서 설치가 필요한 기능은 적절한 권장 사항을 사용하여 하나 이상의 Kubernetes 클러스터에 배포할 수도 있습니다.

센서 추천
Kubernetes용 Defender 센서 Azure Kubernetes Service 클러스터에는 Defender 프로필이 사용하도록 설정되어 있어야 합니다.
Arc 지원 Kubernetes용 Defender 센서 Azure Arc 지원 Kubernetes 클러스터에 Defender의 확장이 설치되어 있어야 합니다.
Kubernetes용 Azure Policy 에이전트 Azure Kubernetes Service 클러스터에 Kubernetes용 Azure Policy 추가 기능이 설치되어 있어야 합니다.
Arc 지원 Kubernetes용 Azure Policy 에이전트 Azure Arc 지원 Kubernetes 클러스터에 Azure Policy 확장이 설치되어 있어야 합니다.

특정 클러스터에 Defender 센서 배포를 수행하려면 다음 단계를 수행합니다.

  1. 클라우드용 Microsoft Defender의 권장 사항 페이지에서 향상된 보안 제어 사용 보안 제어를 열거나 위의 권장 사항 중 하나를 직접 검색합니다(또는 위의 링크를 사용하여 권장 사항 직접 열기).

  2. 비정상 탭을 통해 센서가 없는 모든 클러스터를 봅니다.

  3. 원하는 센서를 배포할 클러스터를 선택하고 수정을 선택합니다.

  4. X 리소스 수정을 선택합니다.

Defender 센서 배포 - 모든 옵션

컨테이너용 Defender를 사용하도록 설정하고 Azure Portal, REST API 또는 Resource Manager 템플릿에서 모든 관련 구성 요소를 배포할 수 있습니다. 자세한 단계는 관련 탭을 선택합니다.

Defender 센서가 배포되면 기본 작업 영역이 자동으로 할당됩니다. Azure Policy를 통해 기본 작업 영역 대신 사용자 지정 작업 영역을 할당할 수 있습니다.

참고 항목

Defender 센서는 각 노드에 배포되어 런타임 보호를 제공하고 eBPF 기술을 사용하여 해당 노드에서 신호를 수집합니다.

클라우드용 Defender 권장 사항의 수정 단추 사용

능률적이고 원활한 프로세스를 통해 Azure Portal 페이지를 사용하여 클라우드용 Defender 계획을 사용하도록 설정하고 Kubernetes 클러스터를 대규모로 방어하는 데 필요한 모든 구성 요소의 자동 프로비저닝을 설정할 수 있습니다.

클라우드용 Defender 권장 사항은 다음을 제공합니다.

  • Defender 센서가 배포된 클러스터에 대한 가시성
  • 센서 없이 해당 클러스터에 배포하는 수정 단추
  1. 클라우드용 Microsoft Defender의 권장 사항 페이지에서 강화된 보안 사용 보안 제어를 엽니다.

  2. 필터를 사용하여 Azure Kubernetes Service 클러스터에 Defender 프로필이 사용하도록 설정되어 있어야 함이라는 권장 사항을 찾습니다.

    작업 열에서 수정 아이콘을 확인합니다.

  3. 클러스터를 선택하여 정상 및 비정상 리소스의 세부 정보(센서가 있는 클러스터 및 비정상 리소스)를 확인합니다.

  4. 비정상 리소스 목록에서 클러스터를 선택하고 수정을 선택하여 수정 확인 창을 엽니다.

  5. X 리소스 수정을 선택합니다.

계획 사용

플랜을 사용하도록 설정:

  1. 클라우드용 Defender의 메뉴에서 설정 페이지를 열고 관련 구독을 선택합니다.

  2. Defender 플랜 페이지에서 컨테이너용 Defender를 선택하고 설정을 선택합니다. Defender 플랜 페이지의 스크린샷

    구독에 이미 Kubernetes용 Defender 또는 컨테이너 레지스트리용 Defender가 사용하도록 설정되어 있는 경우 업데이트 알림이 표시됩니다. 그렇지 않으면 유일한 옵션은 컨테이너용 Defender입니다.

    '더 이상 사용되지 않음' 및 업그레이드 정보를 표시하는 컨테이너 레지스트리용 Defender 및 Kubernetes용 Defender 계획

  3. 관련 구성 요소를 켜서 사용하도록 설정합니다.

    구성 요소를 켜는 스크린샷

    참고 항목

    컨테이너용 Defender를 끄면 구성 요소가 끄기로 설정되고 더 이상 컨테이너에 배포되지 않지만 이미 설치된 컨테이너에서 제거되지는 않습니다.

기본적으로 Azure Portal을 통해 플랜을 사용하도록 설정하는 경우 컨테이너용 Microsoft Defender는 기본 작업 영역의 할당을 비롯하여 플랜에서 제공하는 보호를 제공하기 위해 필수 구성 요소를 자동으로 설치하도록 구성됩니다.

온보딩 프로세스 중에 구성 요소의 자동 설치를 사용하지 않도록 설정하려면 컨테이너 플랜에 대한 구성 편집을 선택합니다. 고급 옵션이 표시되고 각 구성 요소에 대해 자동 설치를 사용하지 않도록 설정할 수 있습니다.

또한 Defender 플랜 페이지에서 이 구성을 수정할 수 있습니다.

참고 항목

위에 표시된 대로 포털을 통해 사용하도록 설정한 후 언제든지 계획을 사용하지 않도록 설정하도록 선택한 경우 클러스터에 배포된 컨테이너용 Defender 구성 요소를 수동으로 제거해야 합니다.

Azure Policy를 통해 사용자 지정 작업 영역을 할당할 수 있습니다.

구성 요소의 자동 설치를 사용하지 않도록 설정하면 적절한 권장 사항을 사용하여 구성 요소를 하나 이상의 클러스터에 쉽게 배포할 수 있습니다.

컨테이너용 Defender 확장을 프로비전하는 데 사용되는 역할에 대해 자세히 알아봅니다.

필수 조건

센서를 배포하기 전에 다음을 확인합니다.

Defender 센서 배포

다양한 방법을 사용하여 Defender 센서를 배포할 수 있습니다. 자세한 단계는 관련 탭을 선택합니다.

클라우드용 Defender 권장 사항의 수정 단추 사용

클라우드용 Defender 권장 사항은 다음을 제공합니다.

  • Defender 센서가 배포된 클러스터에 대한 가시성
  • 센서 없이 해당 클러스터에 배포하는 수정 단추
  1. 클라우드용 Microsoft Defender의 권장 사항 페이지에서 강화된 보안 사용 보안 제어를 엽니다.

  2. 필터를 사용하여 Azure Arc 지원 Kubernetes 클러스터에 클라우드용 Defender 확장이 설치되어 있어야 함이라는 권장 사항을 찾습니다.

    클라우드용 Microsoft Defender Azure Arc 지원 Kubernetes 클러스터용 Defender 센서를 배포하기 위한 권장 사항입니다.

    작업 열에서 수정 아이콘을 확인합니다.

  3. 센서를 선택해 정상 및 비정상 리소스의 세부 정보(센서가 있는 클러스터 및 비정상 리소스)를 확인합니다.

  4. 비정상 리소스 목록에서 클러스터를 선택하고 재구성을 선택하여 수정 옵션이 있는 창을 엽니다.

  5. 관련 Log Analytics 작업 영역을 선택하고 x 리소스 재구성을 선택합니다.

    클라우드용 Defender '수정' 옵션을 사용하여 Azure Arc용 Defender 센서를 배포합니다.

배포 확인

클러스터에 Defender 센서가 설치되어 있는지 확인하려면 아래 탭 중 하나의 단계를 수행합니다.

클라우드용 Defender 권장 사항을 사용하여 센서의 상태 확인

  1. 클라우드용 Microsoft Defender의 권장 사항 페이지에서 클라우드용 Microsoft Defender 사용 보안 제어를 엽니다.

  2. Azure Arc 지원 Kubernetes 클러스터에 클라우드용 Microsoft Defender 확장이 설치되어 있어야 함이라는 권장 사항을 선택합니다.

    클라우드용 Microsoft Defender Azure Arc 지원 Kubernetes 클러스터용 Defender 센서를 배포하기 위한 권장 사항입니다.

  3. 센서를 배포한 클러스터가 정상으로 나열되어 있는지 확인합니다.

계획 사용

Important

  • AWS 계정을 아직 연결하지 않은 경우 AWS 계정을 클라우드용 Microsoft Defender에 연결합니다.
  • 커넥터에서 플랜을 이미 사용하도록 설정했으며 선택적 구성을 변경하거나 새 기능을 사용하도록 설정하려면 4단계로 직접 이동합니다.

EKS 클러스터를 보호하려면 관련 계정 커넥터에서 컨테이너 계획을 사용하도록 설정합니다.

  1. Defender for Cloud 메뉴에서 환경 설정을 엽니다.

  2. AWS 커넥터를 선택합니다.

    AWS 커넥터를 보여주는 Defender for Cloud의 환경 설정 페이지 스크린샷.

  3. 컨테이너 플랜의 토글이 켜기로 설정되어 있는지 확인합니다.

    AWS 커넥터에 Defender for Containers를 사용하도록 설정하는 스크린샷.

  4. 플랜에 대한 선택적 구성을 변경하려면 설정을 선택합니다.

    컨테이너 계획에 대한 설정을 보여 주는 클라우드용 Defender 환경 설정 페이지의 스크린샷

    • 컨테이너용 Defender에는 런타임 위협 방지를 제공하기 위해 컨트롤 플레인 감사 로그가 필요합니다. Kubernetes 감사 로그를 Microsoft Defender로 보내려면 설정을 켜기로 전환합니다. 감사 로그의 보존 기간을 변경하려면 필요한 시간 프레임을 입력합니다.

      참고 항목

      이 구성을 사용하지 않도록 설정하면 Threat detection (control plane) 기능이 사용하지 않도록 설정됩니다. 사용 가능한 기능에 대해 자세히 알아봅니다.

    • Kubernetes용 에이전트 없는 검색은 Kubernetes 클러스터의 API 기반 검색을 제공합니다. Kubernetes용 에이전트 없는 검색 기능을 사용하려면 설정을 켜기로 전환합니다.

    • 에이전트 없는 컨테이너 취약성 평가는 ECR에 저장된 이미지와 EKS 클러스터에서 실행 중인 이미지에 대한 취약성 관리를 제공합니다. 에이전트 없는 컨테이너 취약성 평가 기능을 사용하려면 설정을 켜기로 전환합니다.

  5. 커넥터 마법사의 나머지 페이지를 계속 진행합니다.

  6. Kubernetes용 에이전트 없는 검색 기능을 사용하도록 설정하는 경우 클러스터에 대한 컨트롤 플레인 권한을 부여해야 합니다. 다음 방법 중 하나로 해당 작업을 수행할 수 있습니다.

    • 이 Python 스크립트를 실행하여 사용 권한을 부여합니다. 이 스크립트는 온보딩하려는 EKS 클러스터의 aws-auth ConfigMap에 클라우드용 Defender 역할 MDCContainersAgentlessDiscoveryK8sRole을 추가합니다.

    • 클러스터와 상호 작용하는 기능을 사용하여 각 Amazon EKS 클러스터에 MDCContainersAgentlessDiscoveryK8sRole 역할을 부여합니다. eksctl을 사용하여 기존 및 새로 만든 모든 클러스터에 로그인하고 다음 스크립트를 실행합니다.

          eksctl create iamidentitymapping \ 
          --cluster my-cluster \ 
          --region region-code \ 
          --arn arn:aws:iam::account:role/MDCContainersAgentlessDiscoveryK8sRole \ 
          --group system:masters\ 
          --no-duplicate-arns
      

      자세한 내용은 클러스터에 대한 IAM 보안 주체 액세스 사용 설정을 참조하세요.

  7. Azure Arc 지원 Kubernetes, Defender 센서 및 Kubernetes용 Azure Policy를 설치하고 EKS 클러스터에서 실행해야 합니다. 이러한 확장(및 필요한 경우 Azure Arc)을 설치하기 위한 클라우드용 Defender 전용 권장 사항이 있습니다.

    • EKS clusters should have Microsoft Defender's extension for Azure Arc installed

    각 권장 사항에 대해 아래 단계에 따라 필요한 확장을 설치합니다.

    필요한 확장을 설치하려면:

    1. 클라우드용 Defender의 권장 사항 페이지에서 권장 사항 중 하나를 이름으로 검색합니다.

    2. 비정상 클러스터를 선택합니다.

      Important

      클러스터를 한 번에 하나씩 선택해야 합니다.

      하이퍼링크된 이름으로 클러스터를 선택하지 마세요. 관련 행의 다른 곳을 선택합니다.

    3. 수정을 선택합니다.

    4. Defender for Cloud는 원하는 언어로 스크립트를 생성합니다. Bash(Linux의 경우) 또는 PowerShell(Windows의 경우)을 선택합니다.

    5. 수정 논리 다운로드를 선택합니다.

    6. 클러스터에서 생성된 스크립트를 실행합니다.

    7. 두 번째 권장 사항에 대해 "a"에서 "f" 단계를 반복합니다.

    Defender for Cloud 권장 사항을 사용하여 Azure Arc 확장을 사용하도록 설정하는 EKS 클러스터에 대한 스크립트를 생성하는 방법에 대한 비디오입니다.

EKS 클러스터에 대한 권장 사항 및 경고 보기

이 블로그 게시물의 지침에 따라 컨테이너 경고를 시뮬레이션할 수 있습니다.

EKS 클러스터에 대한 경고 및 권장 사항을 보려면 경고, 권장 사항 및 인벤토리 페이지에 대한 필터를 사용하여 리소스 유형 AWS EKS 클러스터를 기준으로 필터링합니다.

클라우드용 Microsoft Defender의 보안 경고 페이지에서 필터를 사용하여 AWS EKS 클러스터와 관련된 경고를 보는 방법의 스크린샷

계획 사용

Important

GCP 프로젝트를 아직 연결하지 않은 경우 GCP 프로젝트를 클라우드용 Microsoft Defender에 연결합니다.

GKE 클러스터를 보호하려면 관련 GCP 프로젝트에서 컨테이너 계획을 사용하도록 설정해야 합니다.

참고 항목

Arc 설치를 방지하는 Azure 정책이 없는지 확인합니다.

GKE(Google Kubernetes Engine) 클러스터를 보호하려면:

  1. Azure Portal에 로그인합니다.

  2. 클라우드용 Microsoft Defender>환경 설정으로 이동합니다.

  3. 관련 GCP 커넥터 선택

    GCP 커넥터의 예를 보여 주는 스크린샷

  4. 다음: 계획 선택 > 단추를 선택합니다.

  5. 컨테이너 계획이 켜기로 전환되었는지 확인합니다.

    컨테이너 계획이 켜짐으로 전환되었음을 보여 주는 스크린샷

  6. 플랜에 대한 선택적 구성을 변경하려면 설정을 선택합니다.

    컨테이너 계획에 대한 설정을 보여 주는 클라우드용 Defender 환경 설정 페이지의 스크린샷

    • Kubernetes 감사 로그를 클라우드용 Defender: 기본적으로 사용하도록 설정합니다. 이 구성은 GCP 프로젝트 수준에서만 사용할 수 있습니다. 이는 추가 분석을 위해 GCP Cloud Logging을 통해 클라우드용 Microsoft Defender 백 엔드에 에이전트 없는 감사 로그 데이터 컬렉션을 제공합니다. 컨테이너용 Defender에는 런타임 위협 방지를 제공하기 위해 컨트롤 플레인 감사 로그가 필요합니다. Kubernetes 감사 로그를 Microsoft Defender로 보내려면 설정을 켜기로 전환합니다.

      참고 항목

      이 구성을 사용하지 않도록 설정하면 Threat detection (control plane) 기능이 사용하지 않도록 설정됩니다. 사용 가능한 기능에 대해 자세히 알아봅니다.

    • Azure Arc 에 대한 Defender 센서 자동 프로비전 및 Azure Arc용 Azure Policy 확장 자동 프로비전: 기본적으로 사용하도록 설정됩니다. 다음 세 가지 방법으로 Azure Arc 지원 Kubernetes 및 해당 확장을 GKE 클러스터에 설치할 수 있습니다.

    • Kubernetes용 에이전트 없는 검색은 Kubernetes 클러스터의 API 기반 검색을 제공합니다. Kubernetes용 에이전트 없는 검색 기능을 사용하려면 설정을 켜기로 전환합니다.

    • 에이전트 없는 컨테이너 취약성 평가는 Google 레지스트리(GAR 및 GCR)에 저장된 이미지와 GKE 클러스터에서 실행 중인 이미지에 대한 취약성 관리를 제공합니다. 에이전트 없는 컨테이너 취약성 평가 기능을 사용하려면 설정을 켜기로 전환합니다.

  7. 복사 단추를 선택합니다.

    복사 단추의 위치를 보여 주는 스크린샷

  8. GCP Cloud Shell > 단추를 선택합니다.

  9. 스크립트를 Cloud Shell 터미널에 붙여넣고 실행합니다.

커넥터는 스크립트가 실행된 후 업데이트됩니다. 이 프로세스를 완료하는 데 최대 6-8시간이 소요될 수 있습니다.

특정 클러스터에 솔루션 배포

GCP 커넥터 온보딩 프로세스 또는 그 이후에 기본 자동 프로비저닝 구성을 끄기로 사용하지 않도록 설정한 경우 Defender for Containers에서 전체 보안 값을 얻으려면 각 GKE 클러스터에 Azure Arc 지원 Kubernetes, Defender 센서 및 Kubernetes용 Azure Policy를 수동으로 설치해야 합니다.

확장(필요한 경우 Arc)을 설치하는 데 사용할 수 있는 2개의 클라우드용 Defender 전용 권장 사항이 있습니다.

  • GKE clusters should have Microsoft Defender's extension for Azure Arc installed
  • GKE clusters should have the Azure Policy extension installed

참고 항목

Arc 확장을 설치할 때 제공되는 GCP 프로젝트가 해당 커넥터의 프로젝트와 동일한지 확인해야 합니다.

특정 클러스터에 솔루션을 배포하려면:

  1. Azure Portal에 로그인합니다.

  2. 클라우드용 Microsoft Defender>권장 사항으로 이동합니다.

  3. 클라우드용 Defender의 권장 사항 페이지에서 권장 사항 중 하나를 이름으로 검색합니다.

    권장을 검색하는 방법을 보여 주는 스크린샷

  4. 비정상 GKE 클러스터를 선택합니다.

    Important

    클러스터를 한 번에 하나씩 선택해야 합니다.

    하이퍼링크된 이름으로 클러스터를 선택하지 마세요. 관련 행의 다른 곳을 선택합니다.

  5. 비정상 리소스의 이름을 선택합니다.

  6. 수정을 선택합니다.

    수정 단추의 위치를 보여 주는 스크린샷

  7. 클라우드용 Defender는 선택한 언어로 스크립트를 생성합니다.

    • Linux의 경우 Bash를 선택합니다.
    • Windows의 경우 PowerShell을 선택합니다.
  8. 수정 논리 다운로드를 선택합니다.

  9. 클러스터에서 생성된 스크립트를 실행합니다.

  10. 두 번째 권장 사항에 대해 3~8단계를 반복합니다.

GKE 클러스터 경고 보기

  1. Azure Portal에 로그인합니다.

  2. 클라우드용 Microsoft Defender>보안 경고으로 이동합니다.

  3. 단추를 선택합니다.

  4. [필터] 드롭다운 메뉴에서 리소스 종류를 선택합니다.

  5. [값] 드롭다운 메뉴에서 GCP GKE 클러스터를 선택합니다.

  6. 확인을 선택합니다.

컨테이너용 Microsoft Defender의 보안 경고 시뮬레이션

지원되는 경고의 전체 목록은 모든 클라우드용 Defender 보안 경고의 참조 테이블에서 사용할 수 있습니다.

  1. 보안 경고를 시뮬레이션하려면 클러스터에서 다음 명령을 실행합니다.

    kubectl get pods --namespace=asc-alerttest-662jfi039n
    

    예상 응답은 No resource found입니다.

    30분 이내에 클라우드용 Defender가 이 작업을 검색하고 보안 경고를 트리거합니다.

    참고 항목

    Azure Arc는 컨테이너용 Defender에 대한 에이전트 없는 경고를 시뮬레이션하기 위한 필수 구성 요소가 아닙니다.

  2. Azure Portal에서 클라우드용 Microsoft Defender의 보안 경고 페이지를 열고 관련 리소스에서 경고를 찾습니다.

    Microsoft Defender for Kubernetes의 샘플 경고

Defender 센서 제거

이 확장 또는 모든 것을 제거하려면 자동 프로비저닝을 끄는 것만으로는 충분하지 않습니다.

  • 자동 프로비저닝을 사용하도록 설정하면 기존향후 컴퓨터에 잠재적으로 영향을 미칩니다.
  • 확장에 대한 자동 프로비저닝을 사용하지 않도록 설정하면 향후 컴퓨터에만 영향을 미치며 자동 프로비저닝을 사용하지 않도록 설정해도 제거되는 것은 없습니다.

참고 항목

Defender for Containers 계획을 완전히 해제하려면 환경 설정으로 이동하여 Microsoft Defender for Containers 계획을 사용하지 않도록 설정합니다.

그럼에도 불구하고 지금부터 컨테이너용 Defender 구성 요소가 리소스에 자동으로 프로비저닝되지 않도록 하려면 클라우드용 Microsoft Defender에서 에이전트 및 확장에 대한 자동 프로비저닝 구성에 설명된 대로 확장의 자동 프로비저닝을 사용하지 않도록 설정합니다.

아래 탭에 설명된 대로 Azure Portal, Azure CLI 또는 REST API를 사용하여 확장을 제거할 수 있습니다.

Azure Portal을 사용하여 확장 제거

  1. Azure Portal에서 Azure Arc를 엽니다.

  2. 인프라 목록에서 Kubernetes 클러스터를 선택한 다음, 특정 클러스터를 선택합니다.

  3. 확장 페이지를 엽니다. 클러스터의 확장이 나열됩니다.

  4. 클러스터를 선택하고 제거를 선택합니다.

    Arc 지원 Kubernetes 클러스터에서 확장을 제거합니다.

AKS에 대한 기본 Log Analytics 작업 영역

Log Analytics 작업 영역은 Log Analytics 작업 영역 자체에 데이터를 보관하지 않고 클러스터에서 클라우드용 Defender 데이터를 보내는 데이터 파이프라인으로 Defender 센서에서 사용됩니다. 따라서 이 사용 사례에서는 사용자에게 요금이 청구되지 않습니다.

Defender 센서는 기본 Log Analytics 작업 영역을 사용합니다. 기본 Log Analytics 작업 영역이 아직 없는 경우 클라우드용 Defender Defender 센서가 설치될 때 새 리소스 그룹 및 기본 작업 영역을 만듭니다. 기본 작업 영역은 지역에 따라 만들어집니다.

기본 Log Analytics 작업 영역 및 리소스 그룹의 명명 규칙은 다음과 같습니다.

  • 작업 영역: DefaultWorkspace-[subscription-ID]-[geo]
  • 리소스 그룹: DefaultResourceGroup-[geo]

사용자 지정 작업 영역 할당

자동 프로비전 옵션을 사용하도록 설정하면 기본 작업 영역이 자동으로 할당됩니다. Azure Policy를 통해 사용자 지정 작업 영역을 할당할 수 있습니다.

할당된 작업 영역이 있는지 확인하려면:

  1. Azure Portal에 로그인합니다.

  2. 정책을 검색하고 선택합니다.

    정책 페이지를 찾는 방법을 보여 주는 스크린샷

  3. 정의를 선택합니다.

  4. 정책 ID 64def556-fbad-4622-930e-72d1d5589bf5를 검색합니다.

    ID 번호로 정책을 검색할 수 있는 위치를 보여 주는 스크린샷

  5. Defender 프로필을 사용하도록 Azure Kubernetes Service 클러스터 구성을 선택합니다.

  6. 할당을 선택합니다.

    할당 탭의 위치를 보여 주는 스크린샷

  7. 정책이 관련 범위에 아직 할당되지 않은 경우 사용자 지정 작업 영역을 사용하여 새 할당 만들기 단계를 따릅니다. 또는 정책이 이미 할당되어 있고 사용자 지정 작업 영역을 사용하도록 해당 정책을 변경하려는 경우 사용자 지정 작업 영역을 사용하여 할당 업데이트 단계를 따릅니다.

사용자 지정 작업 영역을 사용하여 새 할당 만들기

정책이 할당되지 않은 경우 Assignments (0)이 표시됩니다.

할당된 작업 영역이 없음을 보여 주는 스크린샷

사용자 지정 작업 영역을 할당하려면 다음을 수행합니다.

  1. 할당을 선택합니다.

  2. 매개 변수 탭에서 입력 또는 검토 옵션이 필요한 매개 변수만 표시를 선택 취소합니다.

  3. 드롭다운 메뉴에서 LogAnalyticsWorkspaceResource ID를 선택합니다.

    드롭다운 메뉴가 있는 위치를 보여 주는 스크린샷

  4. 검토 + 만들기를 선택합니다.

  5. 만들기를 선택합니다.

사용자 지정 작업 영역을 사용하여 할당 업데이트

정책이 이미 작업 영역에 할당된 경우 Assignments (1)이 표시됩니다.

작업 영역이 이미 할당되었음을 의미하는 할당(1)을 보여 주는 스크린샷

참고 항목

둘 이상의 구독이 있는 경우 숫자가 더 높을 수 있습니다.

사용자 지정 작업 영역을 할당하려면 다음을 수행합니다.

  1. 관련 할당을 선택합니다.

    관련 할당을 선택할 수 있는 위치를 보여 주는 스크린샷

  2. 할당 편집을 선택합니다.

  3. 매개 변수 탭에서 입력 또는 검토 옵션이 필요한 매개 변수만 표시를 선택 취소합니다.

  4. 드롭다운 메뉴에서 LogAnalyticsWorkspaceResource ID를 선택합니다.

    드롭다운 메뉴가 있는 위치를 보여 주는 스크린샷

  5. 검토 + 저장을 선택합니다.

  6. 저장을 선택합니다.

Arc에 대한 기본 Log Analytics 작업 영역

Log Analytics 작업 영역은 Log Analytics 작업 영역 자체에 데이터를 보관하지 않고 클러스터에서 클라우드용 Defender 데이터를 보내는 데이터 파이프라인으로 Defender 센서에서 사용됩니다. 따라서 이 사용 사례에서는 사용자에게 요금이 청구되지 않습니다.

Defender 센서는 기본 Log Analytics 작업 영역을 사용합니다. 기본 Log Analytics 작업 영역이 아직 없는 경우 클라우드용 Defender Defender 센서가 설치될 때 새 리소스 그룹 및 기본 작업 영역을 만듭니다. 기본 작업 영역은 지역에 따라 만들어집니다.

기본 Log Analytics 작업 영역 및 리소스 그룹의 명명 규칙은 다음과 같습니다.

  • 작업 영역: DefaultWorkspace-[subscription-ID]-[geo]
  • 리소스 그룹: DefaultResourceGroup-[geo]

사용자 지정 작업 영역 할당

자동 프로비전 옵션을 사용하도록 설정하면 기본 작업 영역이 자동으로 할당됩니다. Azure Policy를 통해 사용자 지정 작업 영역을 할당할 수 있습니다.

할당된 작업 영역이 있는지 확인하려면:

  1. Azure Portal에 로그인합니다.

  2. 정책을 검색하고 선택합니다.

    Arc에 대한 정책 페이지를 찾는 방법을 보여 주는 스크린샷

  3. 정의를 선택합니다.

  4. 정책 ID 708b60a6-d253-4fe0-9114-4be4c00f012c를 검색합니다.

    Arc의 ID 번호로 정책을 검색할 위치를 보여 주는 스크린샷

  5. 클라우드용 Microsoft Defender 확장을 설치하도록 Azure Arc 사용 Kubernetes 클러스터 구성을 선택합니다.

  6. 할당을 선택합니다.

    Arc에 대한 할당 탭의 위치를 보여 주는 스크린샷

  7. 정책이 관련 범위에 아직 할당되지 않은 경우 사용자 지정 작업 영역을 사용하여 새 할당 만들기 단계를 따릅니다. 또는 정책이 이미 할당되어 있고 사용자 지정 작업 영역을 사용하도록 해당 정책을 변경하려는 경우 사용자 지정 작업 영역을 사용하여 할당 업데이트 단계를 따릅니다.

사용자 지정 작업 영역을 사용하여 새 할당 만들기

정책이 할당되지 않은 경우 Assignments (0)이 표시됩니다.

Arc에 대한 작업 영역이 할당되지 않은 것을 보여 주는 스크린샷

사용자 지정 작업 영역을 할당하려면 다음을 수행합니다.

  1. 할당을 선택합니다.

  2. 매개 변수 탭에서 입력 또는 검토 옵션이 필요한 매개 변수만 표시를 선택 취소합니다.

  3. 드롭다운 메뉴에서 LogAnalyticsWorkspaceResource ID를 선택합니다.

    Arc에 대한 드롭다운 메뉴가 있는 위치를 보여 주는 스크린샷

  4. 검토 + 만들기를 선택합니다.

  5. 만들기를 선택합니다.

사용자 지정 작업 영역을 사용하여 할당 업데이트

정책이 이미 작업 영역에 할당된 경우 Assignments (1)이 표시됩니다.

참고 항목

둘 이상의 구독이 있는 경우 숫자가 더 높을 수 있습니다. 1 이상의 숫자가 있는 경우 할당이 여전히 관련 범위에 없을 수 있습니다. 이 경우 사용자 지정 작업 영역을 사용하여 새 할당 만들기 단계를 따를 수 있습니다.

Arc에 작업 영역이 이미 할당되었음을 의미하는 할당(1)을 보여 주는 스크린샷

사용자 지정 작업 영역을 할당하려면 다음을 수행합니다.

  1. 관련 할당을 선택합니다.

    Arc에 대한 관련 할당을 선택할 위치를 보여 주는 스크린샷

  2. 할당 편집을 선택합니다.

  3. 매개 변수 탭에서 입력 또는 검토 옵션이 필요한 매개 변수만 표시를 선택 취소합니다.

  4. 드롭다운 메뉴에서 LogAnalyticsWorkspaceResource ID를 선택합니다.

    Arc에 대한 드롭다운 메뉴가 있는 위치를 보여 주는 스크린샷

  5. 검토 + 저장을 선택합니다.

  6. 저장을 선택합니다.

Defender 센서 제거

이 확장 또는 모든 것을 제거하려면 자동 프로비저닝을 끄는 것만으로는 충분하지 않습니다.

  • 자동 프로비저닝을 사용하도록 설정하면 기존향후 컴퓨터에 잠재적으로 영향을 미칩니다.
  • 확장에 대한 자동 프로비저닝을 사용하지 않도록 설정하면 향후 컴퓨터에만 영향을 미치며 자동 프로비저닝을 사용하지 않도록 설정해도 제거되는 것은 없습니다.

참고 항목

Defender for Containers 계획을 완전히 해제하려면 환경 설정으로 이동하여 Microsoft Defender for Containers 계획을 사용하지 않도록 설정합니다.

그럼에도 불구하고 지금부터 컨테이너용 Defender 구성 요소가 리소스에 자동으로 프로비저닝되지 않도록 하려면 클라우드용 Microsoft Defender에서 에이전트 및 확장에 대한 자동 프로비저닝 구성에 설명된 대로 확장의 자동 프로비저닝을 사용하지 않도록 설정합니다.

아래 탭에 설명된 대로 REST API 또는 Resource Manager 템플릿을 사용하여 확장을 제거할 수 있습니다.

REST API를 사용하여 AKS에서 Defender 센서 제거

REST API를 사용하여 확장을 제거하려면 다음 PUT 명령을 실행합니다.

https://management.azure.com/subscriptions/{{SubscriptionId}}/resourcegroups/{{ResourceGroup}}/providers/Microsoft.ContainerService/managedClusters/{{ClusterName}}?api-version={{ApiVersion}}
이름 설명 필수
SubscriptionId 클러스터의 구독 ID
ResourceGroup 클러스터의 리소스 그룹
ClusterName 클러스터 이름
ApiVersion API 버전은 2022-06-01 이상이어야 합니다.

요청 본문.:

{
  "location": "{{Location}}",
  "properties": {
    "securityProfile": {
            "defender": {
                "securityMonitoring": {
                    "enabled": false
                }
            }
        }
    }
}

요청 본문 매개 변수:

이름 설명 필수
location 클러스터의 위치
properties.securityProfile.defender.securityMonitoring.enabled 클러스터에서 컨테이너용 Microsoft Defender를 사용하거나 사용하지 않도록 설정할지 여부를 결정합니다.

자세한 정보

다음 블로그를 확인할 수 있습니다.

다음 단계

이제 컨테이너용 Defender를 사용하도록 설정했으므로 다음을 수행할 수 있습니다.