Introduktion till Microsoft Defender för Kubernetes

  • Artikel
  • 5 minuter för att läsa

Anteckning

Azure Security Center och Azure Defender heter nu Microsoft Defender för molnet. Vi har också bytt namn Azure Defender till Microsoft Defender-planer. Till exempel är Azure Defender för Storage microsoft Defender för Storage.

Läs mer om det senaste namnbytet av Microsofts säkerhetstjänster.

Microsoft Defender för moln tillhandahåller miljöhärdning, arbetsbelastningsskydd och körningsskydd enligt beskrivningen i Containersäkerhet i Defender för molnet.

Defender för Kubernetes skyddar dina Kubernetes-kluster oavsett om de körs i:

  • Azure Kubernetes Service (AKS) – Microsofts hanterade tjänst för utveckling, distribution och hantering av program i containrar.

  • Amazon Elastic Kubernetes Service (EKS) i ett anslutet Amazon Web Services-konto (AWS) (förhandsversion) – Amazons hanterade tjänst för att köra Kubernetes på AWS utan att behöva installera, använda och underhålla ditt eget Kubernetes-kontrollplan eller -noder.

  • En ohanterad Kubernetes-distribution – CLOUD Native Computing Foundation (RESURSF) certifierade Kubernetes-kluster lokalt eller på IaaS. Läs mer i Skydda Azure Arc-aktiverade Kubernetes-klustersom körs i lokala miljöer och miljöer med flera moln.

Hotidentifiering på värdnivå för dina Linux AKS-noder är tillgängligt om du aktiverar Microsoft Defender för servrar och dess Log Analytics-agent. Men om klustret har distribuerats på en Azure Kubernetes Service VM-skalningsuppsättning stöds inte Log Analytics-agenten för närvarande.

Tillgänglighet

Aspekt Information
Utgivningstillstånd: Allmän tillgänglighet (GA)
Skydd för EKS-kluster är förhandsversion. I tilläggs villkoren för Azure Preview ingår ytterligare juridiska villkor som gäller för Azure-funktioner som är i beta, för hands version eller på annat sätt ännu inte har publicerats i allmän tillgänglighet.
Prissättning: Microsoft Defender för Kubernetes faktureras enligt prissättningssidan.
Containrar planerar för EKS-kluster i anslutna AWS-konton är kostnadsfria medan de är i förhandsversion.
Nödvändiga roller och behörigheter: Säkerhetsadministratören kan avvisa aviseringar.
Säkerhetsläsare kan visa resultat.
Moln: Kommersiella moln
Nationella (Azure Government, Azure China 21Vianet)
Anslutna AWS-konton (förhandsversion)

Vilka är fördelarna med Microsoft Defender för Kubernetes?

Vårt globala team med säkerhetsforskare övervakar ständigt hotlandskapet. När containerspecifika aviseringar och sårbarheter upptäcks lägger dessa forskare till dem i våra hotinformationsfeeds och Defender for Cloud varnar dig för alla som är relevanta för din miljö.

Dessutom tillhandahåller Microsoft Defender för Kubernetes skydd på klusternivå genom att övervaka dina klusterloggar. Det innebär att säkerhetsaviseringar endast utlöses för åtgärder och distributioner som inträffar när du har aktiverat Defender för Kubernetes i din prenumeration.

Tips

För EKS-baserade kluster övervakar vi granskningsloggarna för kontrollplanet. Dessa är aktiverade i konfigurationen av containerplanen: Skärmbild av AWS-anslutningsappens containerplan med granskningsloggar aktiverade.

Exempel på säkerhetshändelser som Microsoft Defender för Kubernetes övervakar är:

  • Exponerade Kubernetes-instrumentpaneler
  • Skapa hög privilegierade roller
  • Skapa känsliga monteringar.

En fullständig lista över aviseringar på klusternivå finns i referenstabellen med aviseringar.

Skydda Azure Kubernetes Service (AKS)

Om du vill skydda dina AKS-kluster aktiverar du Defender-planen för relevant prenumeration:

  1. Öppna Miljöinställningar på menyn i Defender för molnet.

  2. Välj relevant prenumeration.

  3. På sidan Defender-planer anger du status för Microsoft Defender för Kubernetes till På.

    Skärmbild av microsoft Defender för Kubernetes-plan som aktiveras.

  4. Välj Spara.

Skydda Amazon Elastic Kubernetes Service-kluster

Viktigt

Om du inte redan har anslutit ett AWS-konto gör du det nu med hjälp av anvisningarna i Anslut dina AWS-konton till Microsoft Defender for Cloud och går vidare till steg 3 nedan.

Om du vill skydda dina EKS-kluster aktiverar du containerplanen för relevant kontoanslutning:

  1. Öppna Miljöinställningar på menyn i Defender för molnet.

  2. Välj AWS-anslutningsappen.

    Skärmbild av sidan miljöinställningar i Defender for Cloud som visar en AWS-anslutningsapp.

  3. Ställ in växlingsknappen för containerplanen.

    Skärmbild av aktivering av Defender for Containers för en AWS-anslutningsapp.

  4. Du kan också ändra kvarhållningsperioden för granskningsloggarna genom att välja Konfigurera, ange önskad tidsram och välja Spara.

    Skärmbild av justering av kvarhållningsperioden för EKS-kontrollfönstrets loggar.

  5. Fortsätt genom de återstående sidorna i guiden för anslutning.

  6. Azure Arc aktiverat Kubernetes och Defender-tillägget ska installeras och köras på dina EKS-kluster. En dedikerad Defender for Cloud-rekommendation distribuerar tillägget (och Arc om det behövs):

    1. Från Defender for Cloud Rekommendationer ska du söka efter EKS-kluster Azure Defender tillägget för Azure Arc installerat .

    2. Välj ett kluster med feltillstånd.

      Viktigt

      Du måste välja klustren ett i taget.

      Välj inte klustren efter hyperlänkade namn: välj någon annanstans på relevant rad.

    3. Välj Åtgärda.

    4. Defender for Cloud genererar ett skript på det språk du väljer: välj Bash (för Linux) eller PowerShell (för Windows).

    5. Välj Ladda ned reparationslogik.

    6. Kör det genererade skriptet i klustret.

    Video om hur du använder Defender for Cloud-rekommendationen för att generera ett skript för dina EKS-kluster som Azure Arc tillägget.

Visa rekommendationer och aviseringar för dina EKS-kluster

Tips

Du kan simulera containeraviseringar genom att följa anvisningarna i det här blogginlägget.

Om du vill visa aviseringar och rekommendationer för dina EKS-kluster använder du filtren på aviserings-, rekommendations- och inventeringssidorna för att filtrera efter resurstyp AWS EKS-kluster.

Skärmbild av hur du använder filter på microsoft Defender for Clouds aviseringssida för att visa aviseringar relaterade till AWS EKS-kluster.

Vanliga frågor och svar – Microsoft Defender för Kubernetes

Kan jag fortfarande få klusterskydd utan Log Analytics-agenten?

Microsoft Defender för Kubernetes ger skydd på klusternivå. Om du även distribuerar Log Analytics-agenten för Microsoft Defender för servrar får du skydd mot hot för de noder som ingår i planen. Läs mer i Introduktion till Microsoft Defender för servrar.

Vi rekommenderar att du distribuerar båda för att få bästa möjliga skydd.

Om du väljer att inte installera agenten på dina värdar får du bara en delmängd av hotskyddsfördelarna och säkerhetsaviseringarna. Du får fortfarande aviseringar som rör nätverksanalys och kommunikation med skadliga servrar.

Tillåter AKS att jag installerar anpassade VM-tillägg på mina AKS-noder?

För att Defender for Cloud ska kunna övervaka dina AKS-noder måste de köra Log Analytics-agenten.

AKS är en hanterad tjänst och eftersom Log Analytics-agenten är ett Microsoft-hanterat tillägg stöds den även i AKS-kluster. Men om klustret distribueras på en Azure Kubernetes Service VM-skalningsuppsättning stöds inte Log Analytics-agenten för närvarande.

Om mitt kluster redan kör en Azure Monitor för containeragenten, behöver jag då även Log Analytics-agenten?

För att Defender för molnet ska kunna övervaka dina noder måste de köra Log Analytics-agenten.

Om klustren redan kör Azure Monitor för containeragenten kan du även installera Log Analytics-agenten och de två agenterna kan fungera tillsammans utan problem.

Läs mer om Azure Monitor för containeragenten.

Stöder Microsoft Defender för Kubernetes AKS med vm-skalningsuppsättningsnoder?

Om klustret distribueras på en Azure Kubernetes Service VM-skalningsuppsättning stöds inte Log Analytics-agenten för närvarande.

Nästa steg

I den här artikeln har du lärt dig om Kubernetes-skydd i Defender för molnet, inklusive Microsoft Defender för Kubernetes.

Aktivera utökat skydd

Relaterat material finns i följande artiklar: