Inleiding tot Microsoft Defender voor Kubernetes

  • Artikel
  • 5 minuten om te lezen

Notitie

Azure Security Center en Azure Defender heten nu Microsoft Defender for Cloud. We hebben de naam van de abonnementen Azure Defender gewijzigd in Microsoft Defender-plannen. Een voorbeeld: Azure Defender voor Storage is nu Microsoft Defender voor Storage.

Meer informatie over de recente hernoeming van Microsoft-beveiligingsservices.

Microsoft Defender for Cloud biedt omgevingsbeveiliging, workloadbeveiliging en run-timebeveiliging, zoals wordt beschreven in Containerbeveiliging in Defender for Cloud.

Defender for Kubernetes beschermt uw Kubernetes-clusters, ongeacht of deze worden uitgevoerd in:

  • Azure Kubernetes Service (AKS) : de beheerde service van Microsoft voor het ontwikkelen, implementeren en beheren van toepassingen in containers.

  • Amazon Elastic Kubernetes Service (EKS) in een verbonden Amazon Web Services(AWS)-account (preview) - de beheerde service van Amazon voor het uitvoeren van Kubernetes op AWS zonder dat u uw eigen Kubernetes-besturingsvlak of -knooppunten hoeft te installeren, gebruiken en onderhouden.

  • Een niet-beherende Kubernetes-distributie: door Cloud Native Computing Foundation (CNCF) gecertificeerde Kubernetes-clusters on-premises of op IaaS. Meer informatie vindt u Azure Arc Kubernetes-clustersdie worden uitgevoerd in on-premises omgevingen en omgevingen met meerdere cloudomgevingen.

Detectie van bedreigingen op hostniveau voor uw Linux AKS-knooppunten is beschikbaar als u Microsoft Defender voor servers en de Log Analytics-agent inschakelen. Als uw cluster echter is geïmplementeerd op een virtuele-Azure Kubernetes Service-machineschaalset, wordt de Log Analytics-agent momenteel niet ondersteund.

Beschikbaarheid

Aspect Details
Releasestatus: Algemene beschikbaarheid (GA)
Beveiligingen voor EKS-clusters zijn preview. De Aanvullende voorwaarden voor Azure-previews omvatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.
Prijzen: Microsoft Defender voor Kubernetes wordt gefactureerd zoals wordt weergegeven op de pagina met prijzen.
Containers voor EKS-clusters in verbonden AWS-accounts zijn gratis in preview.
Vereiste rollen en machtigingen: Beveiligingsbeheerder kan waarschuwingen negeren.
Beveiligingslezer kan bevindingen bekijken.
Clouds: Commerciële clouds
National (Azure Government, Azure China 21Vianet)
Verbonden AWS-accounts (preview)

Wat zijn de voordelen van Microsoft Defender voor Kubernetes?

Ons wereldwijde team van beveiligingsonderzoekers bewaakt voortdurend het bedreigingslandschap. Wanneer containerspecifieke waarschuwingen en beveiligingsproblemen worden ontdekt, voegen deze onderzoekers ze toe aan onze feeds met bedreigingsinformatie en waarschuwt Defender for Cloud u voor alle waarschuwingen die relevant zijn voor uw omgeving.

Bovendien biedt Microsoft Defender voor Kubernetes beveiliging tegen bedreigingen op clusterniveau door de logboeken van uw clusters te bewaken. Dit betekent dat beveiligingswaarschuwingen alleen worden geactiveerd voor acties en implementaties die plaatsvinden nadat u Defender for Kubernetes hebt ingeschakeld voor uw abonnement.

Tip

Voor op EKS gebaseerde clusters bewaken we de controlelogboeken van het besturingsvlak. Deze zijn ingeschakeld in de configuratie van het containersplan: Schermopname van het containersplan van de AWS-connector met auditlogboeken ingeschakeld.

Voorbeelden van beveiligingsgebeurtenissen die door Microsoft Defender voor Kubernetes worden bewaakt, zijn:

  • Blootgestelde Kubernetes-dashboards
  • Maken van rollen met hoge bevoegdheden
  • Het maken van gevoelige bevestigingen.

Zie de referentietabel met waarschuwingen voor een volledige lijst met waarschuwingen op clusterniveau.

AKS Azure Kubernetes Service clusters (AKS) beveiligen

Als u uw AKS-clusters wilt beveiligen, moet u het Defender-abonnement inschakelen voor het relevante abonnement:

  1. Open omgevingsinstellingen in het menu van Defender for Cloud.

  2. Selecteer het betreffende abonnement.

  3. Stel op de pagina Defender-abonnementen de status van Microsoft Defender voor Kubernetes in op Aan.

    Schermopname van het ingeschakelde Microsoft Defender voor Kubernetes-abonnement.

  4. Selecteer Opslaan.

Amazon Elastic Kubernetes Service-clusters beveiligen

Belangrijk

Als u nog geen AWS-account hebt verbonden, doet u dit nu met behulp van de instructies in Verbinding maken uw AWS-accounts met Microsoft Defender for Cloud en gaat u verder met stap 3 hieronder.

Als u uw EKS-clusters wilt beveiligen, moet u het containersplan inschakelen op de relevante accountconnector:

  1. Open omgevingsinstellingen in het menu van Defender for Cloud.

  2. Selecteer de AWS-connector.

    Schermopname van de pagina met omgevingsinstellingen van Defender for Cloud met een AWS-connector.

  3. Stel de schakelknop voor het containersplan in op Aan.

    Schermopname van het inschakelen van Defender for Containers voor een AWS-connector.

  4. Als u eventueel de bewaarperiode voor uw auditlogboeken wilt wijzigen, selecteert u Configureren, voert u het gewenste tijdsbestek in en selecteert u Opslaan.

    Schermopname van het aanpassen van de bewaarperiode voor logboeken van het EKS-besturingselementdeelvenster.

  5. Ga door naar de resterende pagina's van de connectorwizard.

  6. Azure Arc Kubernetes en de Defender-extensie moeten worden geïnstalleerd en uitgevoerd op uw EKS-clusters. Een speciale aanbeveling voor Defender for Cloud implementeert de extensie (en Arc indien nodig):

    1. Zoek op de pagina Aanbevelingen Defender for Cloud naar EKS-clusters en Azure Defender extensie voor Azure Arc geïnstalleerd.

    2. Selecteer een cluster dat niet in orde is.

      Belangrijk

      U moet de clusters één voor één selecteren.

      Selecteer de clusters niet op hun hyperlinknamen: selecteer ergens anders in de relevante rij.

    3. Selecteer Herstellen.

    4. Defender for Cloud genereert een script in de taal van uw keuze: selecteer Bash (voor Linux) of PowerShell (voor Windows).

    5. Selecteer Herstellogica downloaden.

    6. Voer het gegenereerde script uit op uw cluster.

    Video over het gebruik van de aanbeveling van Defender for Cloud om een script te genereren voor uw EKS-clusters waarmee de extensie Azure Arc gegenereerd.

Aanbevelingen en waarschuwingen voor uw EKS-clusters weergeven

Tip

U kunt containerwaarschuwingen simuleren door de instructies in dit blogbericht te volgen.

Als u de waarschuwingen en aanbevelingen voor uw EKS-clusters wilt weergeven, gebruikt u de filters op de waarschuwingen, aanbevelingen en inventarispagina's om te filteren op resourcetype AWS EKS-cluster.

Schermopname van het gebruik van filters op de waarschuwingspagina van Microsoft Defender for Cloud om waarschuwingen weer te geven die betrekking hebben op AWS EKS-clusters.

Veelgestelde vragen - Microsoft Defender voor Kubernetes

Kan ik nog steeds clusterbeveiligingen krijgen zonder de Log Analytics-agent?

Microsoft Defender voor Kubernetes biedt beveiliging op clusterniveau. Als u ook de Log Analytics-agent van Microsoft Defender voor servers implementeert, krijgt u de beveiliging tegen bedreigingen voor de knooppunten die bij dat plan zijn meegeleverd. Meer informatie in Inleiding tot Microsoft Defender voor servers.

We raden u aan beide te implementeren voor de meest volledige beveiliging.

Als u ervoor kiest om de agent niet op uw hosts te installeren, krijgt u maar een subset van de voordelen van bedreigingsbeveiliging en beveiligingswaarschuwingen. U ontvangt nog steeds waarschuwingen met betrekking tot netwerkanalyse en communicatie met schadelijke servers.

Kan ik met AKS aangepaste VM-extensies installeren op mijn AKS-knooppunten?

Defender for Cloud kan uw AKS-knooppunten alleen bewaken als de Log Analytics-agent wordt uitgevoerd.

AKS is een beheerde service en omdat de Log Analytics-agent een door Microsoft beheerde extensie is, wordt deze ook ondersteund op AKS-clusters. Als uw cluster echter is geïmplementeerd op een virtuele-Azure Kubernetes Service-machineschaalset, wordt de Log Analytics-agent momenteel niet ondersteund.

Als op mijn cluster al een Azure Monitor voor containers-agent wordt uitgevoerd, heb ik dan ook de Log Analytics-agent nodig?

Defender for Cloud kan uw knooppunten alleen bewaken als de Log Analytics-agent wordt uitgevoerd.

Als op uw clusters al de Azure Monitor voor containers-agent wordt uitgevoerd, kunt u de Log Analytics-agent ook installeren en kunnen de twee agents zonder problemen naast elkaar worden gebruikt.

Meer informatie over de Azure Monitor voor containers-agent.

Ondersteunt Microsoft Defender voor Kubernetes AKS met knooppunten van virtuele-machineschaalsets?

Als uw cluster is geïmplementeerd op een virtuele Azure Kubernetes Service-machineschaalset, wordt de Log Analytics-agent momenteel niet ondersteund.

Volgende stappen

In dit artikel hebt u geleerd over Kubernetes-beveiliging in Defender for Cloud, waaronder Microsoft Defender voor Kubernetes.

Verbeterde beveiliging inschakelen

Raadpleeg de volgende artikelen voor gerelateerd materiaal: