Defenda aglomerados kubernetes habilitados pelo Arco Azure que estão a funcionar em ambientes no local e em ambientes multi-nuvens

A extensão de clusters Azure Defender for Kubernetes pode defender os seus clusters no local com as mesmas capacidades de deteção de ameaças oferecidas para os clusters de Serviço Azure Kubernetes. Ativar kubernetes ativados pelo Arco Azure nos seus clusters e implementar a extensão conforme descrito nesta página.

A extensão também pode proteger os clusters kubernetes em outros fornecedores de nuvem, embora não nos seus serviços geridos kubernetes.

Dica

Colocamos alguns ficheiros de amostras para ajudar no processo de instalação em exemplos de instalação no GitHub.

Disponibilidade

Aspeto Detalhes
Estado de libertação Pré-visualizar
Os Termos Complementares de Pré-visualização do Azure incluem termos legais adicionais aplicáveis às funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não lançadas em disponibilidade geral.
Funções e permissões necessárias Administrador de segurança pode dispensar alertas
O leitor de segurança pode ver as descobertas
Preços Grátis (durante a pré-visualização)
Distribuição apoiada de Kubernetes Serviço Azure Kubernetes em Azure Stack HCI
Kubernetes
Motor AKS
Azure Red Hat OpenShift
Red Hat OpenShift (versão 4.6 ou mais recente)
VMware Tanzu Kubernetes Grid
Motor Rancher Kubernetes
Limitações Kubernetes habilitado pelo Azure Arc e a extensão Azure Defender não suportam ofertas geridas de Kubernetes como o Google Kubernetes Engine e o Elastic Kubernetes Service. O Azure Defender está nativamente disponível para o Serviço Azure Kubernetes (AKS) e não necessita de ligar o cluster ao Arco Azure.
Ambientes e regiões A disponibilidade para esta extensão é a mesma que kubernetes ativadas pelo Arco Azure

Descrição geral da arquitetura

Para todos os clusters Kubernetes que não a AKS, você precisará ligar o seu cluster ao Arco Azure. Uma vez ligado, o Azure Defender for Kubernetes pode ser implantado em recursos Kubernetes ativados pelo Arco Azure como uma extensão de cluster.

Os componentes de extensão recolhem dados de auditoria de Kubernetes de todos os nós do avião de controlo no cluster e enviam-nos para o Azure Defender para kubernetes backend na nuvem para uma análise mais aprofundada. A extensão está registada num espaço de trabalho log Analytics utilizado como um pipeline de dados, mas os dados do registo de auditoria não são armazenados no espaço de trabalho do Log Analytics.

Este diagrama mostra a interação entre o Azure Defender para Kubernetes e o cluster Kubernetes habilitado a Azure Arc:

Um diagrama de arquitetura de alto nível que descreve a interação entre O Azure Defender para Kubernetes e um agrupamento kubernetes habilitado a Azure Arc.

Pré-requisitos

Antes de implementar a extensão, certifique-se de:

Implementar a extensão do Azure Defender

Pode implantar a extensão Azure Defender utilizando uma gama de métodos. Para etapas detalhadas, selecione o separador relevante.

Use o botão de correção a partir da recomendação do Centro de Segurança

Uma recomendação dedicada no Azure Security Center fornece:

  • Visibilidade sobre qual dos seus clusters tem a extensão do Defender para Kubernetes implantada
  • Fixe o botão para implantá-lo para os clusters sem a extensão
  1. A partir da página de recomendações do Azure Security Center, abra o controlo de segurança Enable Azure Defender.

  2. Utilize o filtro para encontrar a recomendação chamada clusters Kubernetes ativados pelo Arco Azure deve ter a extensão do Azure Defender instalada.

    Recomendação do Azure Security Center para implantar a extensão do Azure Defender para os clusters Kubernetes ativados pelo Arco Azure.

    Dica

    Note o ícone 'Corrigir' na coluna de ações

  3. Selecione a extensão para ver os detalhes dos recursos saudáveis e insalubres - clusters com e sem a extensão.

  4. A partir da lista de recursos não saudáveis, selecione um cluster e selecione Remediate para abrir o painel com as opções de reparação.

  5. Selecione o espaço de trabalho do Log Analytics relevante e selecione Remediate x recurso.

    Implementar a extensão do Azure Defender para O Arco Azure com a opção de correção do Security Center.

Verificar a implementação

Para verificar se o seu cluster tem a extensão Azure Defender instalada nele, siga os passos de um dos separadores abaixo:

Use recomendação do Centro de Segurança para verificar o estado da sua extensão

  1. A partir da página de recomendações do Azure Security Center, abra o controlo de segurança Enable Azure Defender.

  2. Selecione a recomendação denominada clusters Kubernetes ativados pelo Arco Azure deve ter a extensão do Azure Defender instalada.

    Recomendação do Azure Security Center para implantar a extensão do Azure Defender para os clusters Kubernetes ativados pelo Arco Azure.

  3. Verifique se o cluster em que implementou a extensão está listado como Healthy.

Simular alertas de segurança do Azure Defender para Kubernetes

Uma lista completa de alertas suportados está disponível na tabela de referência de todos os alertas de segurança no Centro de Segurança Azure.

  1. Para simular um alerta Azure Defender, executar o seguinte comando:

    kubectl get pods --namespace=asc-alerttest-662jfi039n
    

    A resposta esperada é "Nenhum recurso encontrado".

    Dentro de 30 minutos, o Azure Defender detetará esta atividade e desencadeará um alerta de segurança.

  2. No portal Azure, abra a página de alertas de segurança do Azure Security Center e procure o alerta sobre o recurso relevante:

    Alerta de amostra do Azure Defender para Kubernetes.

Remoção da extensão do Azure Defender

Pode remover a extensão utilizando o portal Azure, Azure CLI ou REST API, conforme explicado nos separadores abaixo.

Use o portal Azure para remover a extensão

  1. A partir do portal Azure, abra o Arco Azure.

  2. Na lista de infraestruturas, selecione os clusters Kubernetes e, em seguida, selecione o cluster específico.

  3. Abra a página de extensões. As extensões do cluster estão listadas.

  4. Selecione o cluster e selecione Desinstalar.

    Remover uma extensão do seu cluster Kubernetes ativado pelo Arco.

Passos seguintes

Esta página explicou como implementar a extensão do Azure Defender para os clusters Kubernetes ativados pelo Arco Azure. Saiba mais sobre as funcionalidades de segurança do Azure Defender e do Azure Security Center nas seguintes páginas: