Introdução ao Azure Defender para KubernetesIntroduction to Azure Defender for Kubernetes

O AKS (Serviço de Kubernetes do Azure) é o serviço gerenciado da Microsoft para desenvolver, implantar e gerenciar aplicativos em contêineres.Azure Kubernetes Service (AKS) is Microsoft's managed service for developing, deploying, and managing containerized applications.

A Central de Segurança do Azure e o AKS formam uma oferta de segurança nativa de nuvem do Kubernetes com proteção de ambiente, proteção de cargas de trabalho e proteção em tempo de execução, conforme descrito em Segurança de contêiner na Central de Segurança.Azure Security Center and AKS form a cloud-native Kubernetes security offering with environment hardening, workload protection, and run-time protection as outlined in Container security in Security Center.

Para detecção de ameaças nos clusters do Kubernetes, habilite o Azure Defender para Kubernetes.For threat detection for your Kubernetes clusters, enable Azure Defender for Kubernetes.

A detecção de ameaças no nível de host para os nós do AKS do Linux estará disponível se você habilitar o Azure Defender para servidores e o agente do Log Analytics.Host-level threat detection for your Linux AKS nodes is available if you enable Azure Defender for servers and its Log Analytics agent. No entanto, se o cluster do AKS for implantado em um conjunto de dimensionamento de máquinas virtuais, o agente do Log Analytics não terá suporte no momento.However, if your AKS cluster is deployed on a virtual machine scale set, the Log Analytics agent is not currently supported.

DisponibilidadeAvailability

AspectoAspect DetalhesDetails
Estado da versão:Release state: GA (Disponibilidade Geral)General Availability (GA)
Preço:Pricing: O Azure Defender para Kubernetes é cobrado conforme mostrado em Preço da Central de SegurançaAzure Defender for Kubernetes is billed as shown on Security Center pricing
Funções e permissões necessárias:Required roles and permissions: O Administrador de segurança pode ignorar alertas.Security admin can dismiss alerts.
O leitor de segurança pode exibir as conclusões.Security reader can view findings.
Nuvens:Clouds: Sim Nuvens comerciaisCommercial clouds
Sim Nacionais/soberanas (US Gov, China Gov, outros Gov)National/Sovereign (US Gov, China Gov, Other Gov)

Quais são os benefícios do Azure Defender para Kubernetes?What are the benefits of Azure Defender for Kubernetes?

O Azure Defender para Kubernetes fornece proteção contra ameaças no nível do cluster monitorando seus serviços gerenciados pelo AKS por meio dos logs recuperados pelo AKS (Serviço do Kubernetes do Azure).Azure Defender for Kubernetes provides cluster-level threat protection by monitoring your AKS-managed services through the logs retrieved by Azure Kubernetes Service (AKS).

Os exemplos de eventos de segurança que o Azure Defender para Kubernetes monitora incluem painéis expostos do Kubernetes, criação de funções com privilégios altos e criação de montagens confidenciais.Examples of security events that Azure Defender for Kubernetes monitors include exposed Kubernetes dashboards, creation of high privileged roles, and the creation of sensitive mounts. Para obter uma lista completa dos alertas no nível do cluster do AKS, confira a tabela de referência de alertas.For a full list of the AKS cluster level alerts, see the reference table of alerts.

Dica

Você pode simular alertas de contêiner seguindo as instruções nesta postagem de blog.You can simulate container alerts by following the instructions in this blog post.

Além disso, nossa equipe global de pesquisadores de segurança monitora constantemente o panorama de ameaças.Also, our global team of security researchers constantly monitor the threat landscape. Eles adicionam alertas e vulnerabilidades específicos do contêiner à medida que são descobertos.They add container-specific alerts and vulnerabilities as they're discovered.

Observação

A Central de Segurança gera alertas de segurança para ações e implantações do Serviço de Kubernetes do Azure que ocorrem após o Azure Defender para Kubernetes ser habilitado.Security Center generates security alerts for Azure Kubernetes Service actions and deployments occurring after you've enabled Azure Defender for Kubernetes.

Azure Defender para Kubernetes – Perguntas frequentesAzure Defender for Kubernetes - FAQ

Eu posso obter proteções do AKS mesmo sem o agente do Log Analytics?Can I still get AKS protections without the Log Analytics agent?

O plano do Azure Defender para Kubernetes fornece proteções no nível do cluster.Azure Defender for Kubernetes plan provides protections at the cluster level. Se você também implantar o agente do Log Analytics do Azure Defender para servidores, você obterá a proteção contra ameaças nos seus nós que é fornecida com esse plano.If you also deploy the Log Analytics agent of Azure Defender for servers, you'll get the threat protection for your nodes that's provided with that plan. Saiba mais em Introdução ao Azure Defender para servidores.Learn more in Introduction to Azure Defender for servers.

É recomendável implantar ambos, para obter a proteção mais completa possível.We recommend deploying both, for the most complete protection possible.

Se você optar por não instalar o agente nos hosts, receberá apenas um subconjunto dos benefícios da proteção contra ameaças e dos alertas de segurança.If you choose not to install the agent on your hosts, you'll only receive a subset of the threat protection benefits and security alerts. Você ainda receberá alertas relacionados a análises de rede e comunicações com servidores mal-intencionados.You'll still receive alerts related to network analysis and communications with malicious servers.

O AKS permite instalar extensões de VM personalizadas em meus nós do AKS?Does AKS allow me to install custom VM extensions on my AKS nodes?

Para que o Azure Defender monitore seus nós do AKS, eles devem estar executando o agente do Log Analytics.For Azure Defender to monitor your AKS nodes, they must be running the Log Analytics agent.

O AKS é um serviço gerenciado e, como o agente do Log Analytics é uma extensão gerenciada pela Microsoft, ele também tem suporte nos clusters do AKS.AKS is a managed service and since the Log analytics agent is a Microsoft-managed extension, it is also supported on AKS clusters.

Se meu cluster já estiver executando um agente do Azure Monitor para contêineres, precisarei do agente do Log Analytics também?If my cluster is already running an Azure Monitor for containers agent, do I need the Log Analytics agent too?

Para que o Azure Defender monitore seus nós do AKS, eles devem estar executando o agente do Log Analytics.For Azure Defender to monitor your AKS nodes, they must be running the Log Analytics agent.

Se os clusters já estiverem executando o agente do Azure Monitor para contêineres, você também poderá instalar o agente do Log Analytics e os dois agentes poderão trabalhar juntos sem nenhum problema.If your clusters are already running the Azure Monitor for containers agent, you can install the Log Analytics agent too and the two agents can work alongside one another without any problems.

Saiba mais sobre o agente do Azure Monitor para contêineres.Learn more about the Azure Monitor for containers agent.

Próximas etapasNext steps

Neste artigo, você aprendeu sobre a proteção do Kubernetes da Central de Segurança, incluindo o Azure Defender para Kubernetes.In this article, you learned about Security Center's Kubernetes protection including Azure Defender for Kubernetes.

Para obter material relacionado, consulte os seguintes artigos:For related material, see the following articles: