Общие сведения об Azure Defender для Kubernetes

Azure Defender для Kubernetes — это план Azure Defender, обеспечивающий защиту кластеров Kubernetes в любых средах.

С его помощью можно защищать кластеры в таких средах:

  • Служба Azure Kubernetes (AKS)  — это управляемая служба Майкрософт для разработки, развертывания контейнерных приложений и управления ими.

  • Локальные и многооблачные среды — с помощью расширения для Kubernetes с поддержкой Arc.

Центр безопасности Azure и AKS представляют собой лучшее из ориентированных на облако решений по обеспечению безопасности Kubernetes. Они обеспечивают усиление защиты среды, защиту рабочих нагрузок и защиту во время выполнения, как описано в статье Защита контейнеров в Центре безопасности.

Обнаружение угроз на уровне узла доступно для узлов AKS в Linux при включенном Azure Defender для серверов и агенте Log Analytics. Но если кластер развертывается в масштабируемом наборе виртуальных машин, агент Log Analytics пока не поддерживается.

Доступность

Аспект Сведения
Состояние выпуска: Общедоступная версия
Цены Плата за использование Azure Defender для Kubernetes начисляется по тарифам, приведенным на странице Цены на Центр безопасности.
Требуемые роли и разрешения Администратор безопасности может отклонять предупреждения.
Читатель сведений о безопасности может просматривать результаты.
Облако. Да Коммерческие облака
Да Национальные и независимые (US Gov, China Gov, другие правительственные облака)

Каковы преимущества Azure Defender для Kubernetes?

Azure Defender для Kubernetes обеспечивает защиту от угроз на уровне кластера, выполняя мониторинг журналов кластеров.

Примерами событий безопасности, которые отслеживает Azure Defender для Kubernetes, могут служить представление панелей мониторинга Kubernetes, создание ролей с высоким уровнем привилегий и создание конфиденциальных подключений. Полный список оповещений на уровне кластера см. в справочной таблице оповещений.

Совет

Вы можете имитировать оповещения для контейнеров, выполнив инструкции в этой записи блога.

Следует также отметить, что наша международная команда специалистов по безопасности постоянно отслеживает ландшафт угроз. Они добавляют оповещение и уязвимости для конкретных контейнеров по мере их обнаружения.

Примечание

Azure Defender генерирует оповещения безопасности для действий и развертываний, которые выполняются после включения Defender для плана Kubernetes в вашей подписке.

Вопросы и ответы по Azure Defender для Kubernetes

Можно ли сейчас обеспечить защиту кластера без агента Log Analytics?

Azure Defender для Kubernetes обеспечивает защиту на уровне кластера. Если вы также развертываете агент Log Analytics решения Azure Defender для серверов, вы получите защиту от угроз для своих узлов, которая предоставляется в этом плане. Дополнительные сведения см. в статье Общие сведения об Azure Defender для серверов.

Мы рекомендуем развернуть оба инструмента, чтобы обеспечить максимально полную защиту.

Если вы решите не устанавливать агенты на узлах, то получите только часть преимуществ защиты от угроз и лишь некоторые из оповещений системы безопасности. Вы будете по-прежнему получать оповещения, связанные с анализом сети и обменом данными с вредоносными серверами.

Разрешает ли AKS устанавливать пользовательские расширения виртуальных машин в узлах AKS?

Чтобы средство Azure Defender отслеживало узлы AKS, на них должен работать агент Log Analytics.

AKS — это управляемая служба, а так как агент Log analytics является расширением, управляемым корпорацией Майкрософт, его также поддерживают кластеры AKS.

Если в моем кластере уже выполняется Azure Monitor для агента контейнеров, мне также нужен агент Log Analytics?

Чтобы средство Azure Defender отслеживало узлы, на них должен работать агент Log Analytics.

Если в кластерах уже используется агент Azure Monitor для контейнеров, вы можете установить и агент Log Analytics. Два агента могут работать параллельно без каких бы то ни было проблем.

См. сведения об Azure Monitor для агента контейнеров.

Дальнейшие действия

Из этой статьи вы узнали о защите Kubernetes в Центре безопасности, в том числе об Azure Defender для Kubernetes.

Связанные материалы см. в следующих статьях: