Introdução ao Azure Defender para Kubernetes

Azure Defender for Kubernetes é o plano Azure Defender que fornece proteções para os seus clusters Kubernetes onde quer que estejam a funcionar.

Podemos defender aglomerados em:

  • Azure Kubernetes Service (AKS) - Serviço gerido pela Microsoft para desenvolver, implantar e gerir aplicações contentorizadas

  • Instalações e ambientes multi-nuvem - Usando uma extensão para Arc habilitado Kubernetes

O Azure Security Center e a AKS formam uma oferta de segurança kubernetes nativa da nuvem com endurecimento ambiental, proteção de carga de trabalho e proteção de tempo de execução, conforme descrito na segurança do contentor no Centro de Segurança.

A deteção de ameaças ao nível do anfitrião para os seus nós Linux AKS está disponível se ativar o Azure Defender para servidores e o seu agente Log Analytics. No entanto, se o seu cluster for implantado num conjunto de escala de máquina virtual do Serviço Azure Kubernetes (VMSS), o agente Log Analytics não está atualmente suportado.

Disponibilidade

Aspeto Detalhes
Estado de libertação: Disponibilidade geral (GA)
Preços: Azure Defender for Kubernetes é faturado como mostrado nos preços do Security Center
Funções e permissões necessárias: O administrador de segurança pode dispensar alertas.
O leitor de segurança pode ver as descobertas.
Nuvens: Nuvens comerciais
Nacional/Soberano (Governo Azure, Azure China 21Vianet)

Quais são os benefícios do Azure Defender para kubernetes?

O Azure Defender for Kubernetes fornece proteção contra ameaças ao nível do cluster, monitorizando os registos dos seus clusters.

Exemplos de eventos de segurança que o Azure Defender para os monitores kubernetes incluem dashboards de Kubernetes expostos, criação de papéis privilegiados elevados e criação de suportes sensíveis. Para obter uma lista completa dos alertas de nível de cluster, consulte a tabela de referência dos alertas.

Dica

Pode simular alertas de contentores seguindo as instruções neste post de blog.

Além disso, a nossa equipa global de investigadores de segurança monitoriza constantemente o cenário de ameaças. Acrescentam alertas e vulnerabilidades específicos aos contentores à medida que são descobertos.

Nota

O Azure Defender gera alertas de segurança para ações e implementações que ocorrem depois de ter ativado o plano Defender for Kubernetes na sua subscrição.

FAQ - Azure Defender para Kubernetes

Ainda posso ter proteções de agrupamento sem o agente Log Analytics?

O plano Azure Defender for Kubernetes fornece proteções ao nível do cluster. Se também implementar o agente Log Analytics do Azure Defender para servidores, receberá a proteção contra ameaças para os seus nós que está dotado desse plano. Saiba mais em Introdução ao Azure Defender para servidores.

Recomendamos a colocação de ambos, para a proteção mais completa possível.

Se optar por não instalar o agente nos seus anfitriões, receberá apenas um subconjunto dos benefícios de proteção contra ameaças e alertas de segurança. Ainda receberá alertas relacionados com análises de rede e comunicações com servidores maliciosos.

A AKS permite-me instalar extensões VM personalizadas nos meus nós AKS?

Para que o Azure Defender monitorize os seus nós AKS, eles devem estar a executar o agente Log Analytics.

O AKS é um serviço gerido e uma vez que o agente de análise log é uma extensão gerida pela Microsoft, também é suportado em clusters AKS.

Se o meu grupo já está a executar um Monitor Azure para agente de contentores, também preciso do agente Log Analytics?

Para que o Azure Defender monitorize os seus nós, eles devem estar a executar o agente Log Analytics.

Se os seus clusters já estiverem a executar o Azure Monitor para agente de contentores, também pode instalar o agente Log Analytics e os dois agentes podem trabalhar lado a lado sem problemas.

Saiba mais sobre o Azure Monitor para o agente de contentores.

O Azure Defender para Kubernetes suporta AKS com nós VMSS?

Se o seu cluster for implantado num conjunto de escala de máquina virtual do Serviço Azure Kubernetes (VMSS), o agente Log Analytics não está atualmente suportado.

Passos seguintes

Neste artigo, você aprendeu sobre a proteção Kubernetes do Security Center, incluindo Azure Defender for Kubernetes.

Para obter material relacionado, consulte os seguintes artigos: