Kapsayıcılar için Microsoft Defender'ın etkinleştirilmesi

Kapsayıcılar için Microsoft Defender, kapsayıcılarınızın güvenliğini sağlamaya yönelik buluta özel bir çözümdür.

Kapsayıcılar için Defender, kümelerinizi çalışır durumda olsalar da korur:

  • Azure Kubernetes Service (AKS) - Microsoft'un kapsayıcılı uygulamaları geliştirmeye, dağıtmaya ve yönetmeye yönelik yönetilen hizmeti.

  • Bağlı bir Amazon Web Services (AWS) hesabında Amazon Elastic Kubernetes Service (EKS) - Amazon'un kendi Kubernetes denetim düzleminizi veya düğümlerinizi yüklemeye, çalıştırmaya ve bakımını yapmaya gerek kalmadan AWS üzerinde Kubernetes çalıştırmaya yönelik yönetilen hizmeti.

  • Bağlı bir Google Cloud Platform (GCP) projesinde Google Kubernetes Engine (GKE) - GCP altyapısını kullanarak uygulamaları dağıtmak, yönetmek ve ölçeklendirmek için Google'ın yönetilen ortamı.

  • Diğer Kubernetes dağıtımları (Azure Arc özellikli Kubernetes kullanılarak) - Şirket içinde veya IaaS'de barındırılan Cloud Native Computing Foundation (CNCF) sertifikalı Kubernetes kümeleri. Daha fazla bilgi için Ortama göre desteklenen özellikler'inŞirket İçi/IaaS (Arc) bölümüne bakın.

Kapsayıcılar için Microsoft Defender'a Genel Bakış bölümünde bu plan hakkında bilgi edinin.

Not

Kapsayıcılar için Defender'ın Arc özellikli Kubernetes kümeleri, AWS EKS ve GCP GKE desteği. Bu bir önizleme özelliğidir.

Azure Önizleme Ek Koşulları, beta, önizleme aşamasında olan veya başka bir şekilde genel kullanıma sunulmayan Azure özellikleri için geçerli olan ek yasal koşulları içerir.

Ağ gereksinimleri

Defender profilinin güvenlik verilerini ve olaylarını göndermek üzere Bulut için Microsoft Defender bağlanabilmesi için aşağıdaki uç noktaların giden erişim için yapılandırıldığını doğrulayın:

Kapsayıcılar için Microsoft Defender için gerekli FQDN/uygulama kurallarına bakın.

Varsayılan olarak AKS kümelerinin sınırsız giden (çıkış) İnternet erişimi vardır.

Ağ gereksinimleri

Defender uzantısının güvenlik verilerini ve olaylarını göndermek üzere Bulut için Microsoft Defender bağlanabilmesi için aşağıdaki uç noktaların giden erişim için yapılandırıldığını doğrulayın:

Azure genel bulut dağıtımları için:

Domain Bağlantı noktası
*.ods.opinsights.azure.com 443
*.oms.opinsights.azure.com 443
login.microsoftonline.com 443

Ayrıca Azure Arc özellikli Kubernetes ağ gereksinimlerini de doğrulamanız gerekir.

Planı etkinleştirme

  1. Bulut için Defender menüsünden Ortam ayarları sayfasını açın ve ilgili aboneliği seçin.

  2. Defender planları sayfasındaKapsayıcılar için Defender'ı etkinleştirin

    İpucu

    Abonelikte zaten Kubernetes için Defender ve/veya kapsayıcı kayıt defterleri için Defender etkinse bir güncelleştirme bildirimi gösterilir. Aksi takdirde, tek seçenek Kapsayıcılar için Defender olacaktır.

    Defender for container registries and Defender for Kubernetes plans showing 'Deprecated' and upgrade information.

  3. Varsayılan olarak, Azure Portal aracılığıyla planı etkinleştirirken Kapsayıcılar için Microsoft Defender , plan tarafından sunulan korumaları sağlamak için gerekli bileşenleri otomatik olarak sağlayacak (otomatik olarak yükleyecek) şekilde yapılandırılır.

    İsteğe bağlı olarak, bu yapılandırmayı Defender planları sayfasından veya Kapsayıcılar için Microsoft Defender bileşenleri (önizleme) satırındaki Otomatik sağlama sayfasından değiştirebilirsiniz:

    Screenshot of the auto provisioning options for Microsoft Defender for Containers.

    Not

    Yukarıda gösterildiği gibi portal aracılığıyla etkinleştirdikten sonra istediğiniz zaman planı devre dışı bırakırsanız , kümelerinizde dağıtılan Kapsayıcılar için Defender bileşenlerini el ile kaldırmanız gerekir.

  4. Herhangi bir bileşenin otomatik sağlamasını devre dışı bırakırsanız, uygun öneriyi kullanarak bileşeni bir veya daha fazla kümeye kolayca dağıtabilirsiniz:

    Not

    Kapsayıcılar için Microsoft Defender, tüm bulutlarınızı otomatik olarak savunacak şekilde yapılandırılmıştır. Tüm gerekli önkoşulları yüklediğinizde ve tüm otomatik sağlama özelliklerini etkinleştirdiğinizde.

    Otomatik sağlama yapılandırma seçeneklerinin tümünü devre dışı bırakırsanız, kümelerinize hiçbir aracı veya bileşen dağıtılmaz. Koruma yalnızca Aracısız özelliklerle sınırlı olacaktır. Kapsayıcılar için Defender'ın kullanılabilirlik bölümünde aracısız olan özellikleri öğrenin.

Defender profilini dağıtma

Kapsayıcılar için Defender planını etkinleştirebilir ve Azure portal, REST API'den veya bir Resource Manager şablonuyla ilgili tüm bileşenleri dağıtabilirsiniz. Ayrıntılı adımlar için ilgili sekmeyi seçin.

Defender güvenlik profili bir önizleme özelliğidir. Azure Önizleme Ek Koşulları, beta, önizleme aşamasında olan veya başka bir şekilde genel kullanıma sunulmayan Azure özellikleri için geçerli olan ek yasal koşulları içerir.

Bulut için Defender önerisinde bulunan düzeltme düğmesini kullanma

Kolaylaştırılmış, sorunsuz bir işlem, Azure portal sayfalarını kullanarak Bulut için Defender planını etkinleştirmenize ve Kubernetes kümelerinizi uygun ölçekte savunmak için gerekli tüm bileşenlerin otomatik olarak sağlanmasını ayarlamanıza olanak tanır.

Ayrılmış bir Bulut için Defender önerisi şu bilgileri sağlar:

  • Defender profilinin hangi kümelerinizin dağıtıldığına ilişkin görünürlük
  • Uzantı olmadan bu kümelere dağıtmak için düzeltme düğmesi
  1. Bulut için Microsoft Defender öneriler sayfasında Gelişmiş güvenlik güvenliği denetimini etkinleştir'i açın.

  2. Azure Kubernetes Service kümelerinde Defender profilinin etkin olması gerektiği adlı öneriyi bulmak için filtreyi kullanın.

    İpucu

    Eylemler sütunundaki Düzelt simgesine dikkat edin

  3. İyi durumdaki ve iyi durumda olmayan kaynakların ayrıntılarını görmek için kümeleri seçin . Profilli ve profilsiz kümeler.

  4. İyi durumda olmayan kaynaklar listesinden bir küme seçin ve Düzelt'i seçerek düzeltme onayını içeren bölmeyi açın.

  5. [x] kaynakları düzelt'i seçin.

Planı etkinleştirme

  1. Bulut için Defender menüsünden Ortam ayarları sayfasını açın ve ilgili aboneliği seçin.

  2. Defender planları sayfasındaKapsayıcılar için Defender'ı etkinleştirin

    İpucu

    Abonelikte Kubernetes için Defender ve/veya kapsayıcı kayıt defterleri için Defender zaten etkinse bir güncelleştirme bildirimi gösterilir. Aksi takdirde tek seçenek Kapsayıcılar için Defender olacaktır.

    Defender for container registries and Defender for Kubernetes plans showing 'Deprecated' and upgrade information.

  3. Varsayılan olarak, Azure Portal aracılığıyla planı etkinleştirirken Kapsayıcılar için Microsoft Defender , plan tarafından sunulan korumaları sağlamak için gerekli bileşenleri otomatik olarak sağlayacak (otomatik olarak yükleyecek) şekilde yapılandırılır.

    İsteğe bağlı olarak, bu yapılandırmayı Defender planları sayfasından veya Kapsayıcılar için Microsoft Defender bileşenleri (önizleme) satırındaki Otomatik sağlama sayfasından değiştirebilirsiniz:

    Screenshot of the auto provisioning options for Microsoft Defender for Containers.

    Not

    Yukarıda gösterildiği gibi portal aracılığıyla etkinleştirdikten sonra istediğiniz zaman planı devre dışı bırakmayı seçerseniz, kümelerinizde dağıtılan Kapsayıcılar için Defender bileşenlerini el ile kaldırmanız gerekir.

  4. Herhangi bir bileşenin otomatik sağlamasını devre dışı bırakırsanız, uygun öneriyi kullanarak bileşeni bir veya daha fazla kümeye kolayca dağıtabilirsiniz:

Önkoşullar

Uzantıyı dağıtmadan önce şunları yaptığınızdan emin olun:

Defender uzantısını dağıtma

Defender uzantısını çeşitli yöntemler kullanarak dağıtabilirsiniz. Ayrıntılı adımlar için ilgili sekmeyi seçin.

Bulut için Defender önerisinde bulunan düzeltme düğmesini kullanma

Ayrılmış bir Bulut için Defender önerisi şu bilgileri sağlar:

  • Hangi kümelerinizin Kubernetes için Defender uzantısının dağıtıldığı hakkında görünürlük
  • Uzantı olmadan bu kümelere dağıtmak için düzeltme düğmesi
  1. Bulut için Microsoft Defender öneriler sayfasından Gelişmiş güvenlik güvenliği denetimini etkinleştir'i açın.

  2. Azure Arc özellikli Kubernetes kümelerinde Bulut için Defender uzantısının yüklü olması gerektiği adlı öneriyi bulmak için filtreyi kullanın.

    Microsoft Defender for Cloud's recommendation for deploying the Defender extension for Azure Arc-enabled Kubernetes clusters.

    İpucu

    Eylemler sütunundaki Düzelt simgesine dikkat edin

  3. uzantılı ve uzantısız kümeler gibi iyi durumdaki ve iyi durumda olmayan kaynakların ayrıntılarını görmek için uzantıyı seçin.

  4. İyi durumda olmayan kaynaklar listesinden bir küme seçin ve Düzelt'i seçerek düzeltme seçeneklerinin yer aldığı bölmeyi açın.

  5. İlgili Log Analytics çalışma alanını seçin ve X kaynağını düzelt'i seçin.

    Deploy Defender extension for Azure Arc with Defender for Cloud's 'fix' option.

Dağıtımı doğrulama

Kümenizde Defender uzantısının yüklü olduğunu doğrulamak için aşağıdaki sekmelerden birinde yer alan adımları izleyin:

Uzantınızın durumunu doğrulamak için Bulut için Defender önerisini kullanın

  1. Bulut için Microsoft Defender öneriler sayfasından Bulut için Microsoft Defender güvenlik denetimini etkinleştir'i açın.

  2. Azure Arc özellikli Kubernetes kümelerinde Bulut için Microsoft Defender uzantısının yüklü olması gerektiği adlı öneriyi seçin.

    Microsoft Defender for Cloud's recommendation for deploying the Defender extension for Azure Arc-enabled Kubernetes clusters.

  3. Uzantıyı dağıttığınız kümenin Sağlıklı olarak listelendiğini denetleyin.

Amazon Elastic Kubernetes Service kümelerini koruma

Önemli

Henüz bir AWS hesabına bağlanmadıysanız aws hesaplarınızı Bulut için Microsoft Defender Bağlan yönergelerini kullanarak bunu yapın.

EKS kümelerinizi korumak için ilgili hesap bağlayıcısı üzerinde Kapsayıcılar planını etkinleştirin:

  1. Bulut için Defender menüsünden Ortam ayarları'nı açın.

  2. AWS bağlayıcısını seçin.

    Screenshot of Defender for Cloud's environment settings page showing an AWS connector.

  3. Kapsayıcılar planı iki durumlu düğmesini Açık olarak ayarlayın.

    Screenshot of enabling Defender for Containers for an AWS connector.

  4. (İsteğe bağlı) Denetim günlüklerinizin saklama süresini değiştirmek için Yapılandır'ı seçin, gerekli zaman çerçevesini girin ve Kaydet'i seçin.

    Screenshot of adjusting the retention period for EKS control pane logs.

    Not

    Bu yapılandırmayı Threat detection (control plane) devre dışı bırakırsanız özellik devre dışı bırakılır. Özelliklerin kullanılabilirliği hakkında daha fazla bilgi edinin.

  5. Bağlayıcı sihirbazının kalan sayfalarında devam edin.

  6. Azure Arc özellikli Kubernetes, Defender uzantısı ve Azure İlkesi uzantısı EKS kümelerinize yüklenip çalıştırılmalıdır. Bu uzantıları yüklemek için 2 ayrılmış Bulut için Defender önerisi vardır (ve gerekirse Azure Arc):

    • EKS clusters should have Microsoft Defender's extension for Azure Arc installed
    • EKS clusters should have the Azure Policy extension installed

    Önerilerin her biri için aşağıdaki adımları izleyerek gerekli uzantıları yükleyin.

    Gerekli uzantıları yüklemek için:

    1. Bulut için Defender'ın Öneriler sayfasında önerilerden birini ada göre arayın.

    2. İyi durumda olmayan bir küme seçin.

      Önemli

      Kümeleri birer birer seçmeniz gerekir.

      Kümeleri köprülenmiş adlarıyla seçmeyin: ilgili satırda başka bir yeri seçin.

    3. Düzelt'i seçin.

    4. Bulut için Defender istediğiniz dilde bir betik oluşturur: Bash (Linux için) veya PowerShell (Windows için) seçeneğini belirleyin.

    5. Düzeltme mantığını indir'i seçin.

    6. Oluşturulan betiği kümenizde çalıştırın.

    7. İkinci öneri için "a" ile "f" arasındaki adımları yineleyin.

    Video of how to use the Defender for Cloud recommendation to generate a script for your EKS clusters that enables the Azure Arc extension.

EKS kümeleriniz için önerileri ve uyarıları görüntüleme

İpucu

Bu blog gönderisindeki yönergeleri izleyerek kapsayıcı uyarılarının benzetimini yapabilirsiniz.

EKS kümelerinizin uyarılarını ve önerilerini görüntülemek için uyarılardaki, önerilerdeki ve envanter sayfalardaki filtreleri kullanarak AWS EKS kümesi kaynak türüne göre filtreleyin.

Screenshot of how to use filters on Microsoft Defender for Cloud's alerts page to view alerts related to AWS EKS clusters.

Google Kubernetes Engine (GKE) kümelerini koruma

Önemli

Henüz bir GCP projesine bağlanmadıysanız, şimdi GCP projelerinizi Bulut için Microsoft Defender Bağlan yönergelerini kullanarak bunu yapın.

GKE kümelerinizi korumak için ilgili GCP projesinde Kapsayıcılar planını etkinleştirmeniz gerekir.

Google Kubernetes Engine (GKE) kümelerini korumak için:

  1. Azure Portal’ında oturum açın.

  2. Bulut için Microsoft Defender>Ortam ayarları'na gidin.

  3. İlgili GCP bağlayıcısını seçin

    Screenshot showing an example GCP connector.

  4. İleri: Plan seç > düğmesini seçin.

  5. Kapsayıcılar planının Açık olarak ayarlandığından emin olun.

    Screenshot that shows the containers plan is toggled to on.

  6. (İsteğe bağlı) Kapsayıcılar planını yapılandırın.

  7. Kopyala düğmesini seçin.

    Screenshot showing the location of the copy button.

  8. GCP Cloud Shell > düğmesini seçin.

  9. Betiği Cloud Shell terminale yapıştırın ve çalıştırın.

Betik yürütülürken bağlayıcı güncelleştirilir. Bu işlemin tamamlanması 6-8 saat kadar sürebilir.

Çözümü belirli kümelere dağıtma

Varsayılan otomatik sağlama yapılandırmalarından herhangi birini Kapalı olarak, GCP bağlayıcısı ekleme işlemi sırasında veya daha sonra devre dışı bırakırsanız. Kapsayıcılar için Defender'ın tüm güvenlik değerini elde etmek için GKE kümelerinizin her birine Azure Arc özellikli Kubernetes'i, Defender uzantısını ve Azure İlkesi uzantılarını el ile yüklemeniz gerekir.

Uzantıları yüklemek için kullanabileceğiniz 2 ayrılmış Bulut için Defender önerisi vardır (ve gerekirse Arc):

  • GKE clusters should have Microsoft Defender's extension for Azure Arc installed
  • GKE clusters should have the Azure Policy extension installed

Çözümü belirli kümelere dağıtmak için:

  1. Azure Portal’ında oturum açın.

  2. Bulut için Microsoft Defender>Öneriler gidin.

  3. Bulut için Defender'ın Öneriler sayfasında önerilerden birini ada göre arayın.

    Screenshot showing how to search for the recommendation.

  4. İyi durumda olmayan bir GKE kümesi seçin.

    Önemli

    Kümeleri birer birer seçmeniz gerekir.

    Kümeleri köprülenmiş adlarıyla seçmeyin: ilgili satırda başka bir yeri seçin.

  5. İyi durumda olmayan kaynağın adını seçin.

  6. Düzelt'i seçin.

    Screenshot showing the location of the fix button.

  7. Bulut için Defender, seçtiğiniz dilde bir betik oluşturur:

    • Linux için Bash'i seçin.
    • Windows için PowerShell'i seçin.
  8. Düzeltme mantığını indir'i seçin.

  9. Oluşturulan betiği kümenizde çalıştırın.

  10. İkinci öneri için 3 ile 8 arasındaki adımları yineleyin.

GKE küme uyarılarınızı görüntüleme

  1. Azure Portal’ında oturum açın.

  2. Bulut için Microsoft Defender>Güvenlik uyarıları'na gidin.

  3. düğmesini seçin.

  4. Filtre açılan menüsünde Kaynak türü'nü seçin.

  5. Değer açılan menüsünde GCP GKE Kümesi'ni seçin.

  6. Tamam'ı seçin.

Kapsayıcılar için Microsoft Defender'dan güvenlik uyarılarının simülasyonunu oluşturun

Desteklenen uyarıların tam listesi, tüm Bulut için Defender güvenlik uyarılarının başvuru tablosunda bulunur.

  1. Bir güvenlik uyarısının benzetimini yapmak için kümeden aşağıdaki komutu çalıştırın:

    kubectl get pods --namespace=asc-alerttest-662jfi039n
    

    Beklenen yanıt "Kaynak bulunamadı" şeklindedir.

    30 dakika içinde Bulut için Defender bu etkinliği algılar ve bir güvenlik uyarısı tetikler.

  2. Azure portal Bulut için Microsoft Defender güvenlik uyarıları sayfasını açın ve ilgili kaynakta uyarıyı arayın:

    Sample alert from Microsoft Defender for Kubernetes.

Defender uzantısını kaldırma

Bunu veya herhangi bir uzantıyı kaldırmak için Bulut için Defender otomatik sağlamayı kapatmak yeterli değildir:

  • Otomatik sağlamayı etkinleştirme, mevcut ve gelecekteki makineleri etkileyebilir.
  • Bir uzantı için otomatik sağlamayı devre dışı bırakmak yalnızca gelecekteki makineleri etkiler. Otomatik sağlama devre dışı bırakılarak hiçbir şey kaldırılamaz.

Bununla birlikte, Kapsayıcılar için Defender bileşenlerinin bundan sonra kaynaklarınıza otomatik olarak sağlanmamasını sağlamak için, Bulut için Microsoft Defender aracılar ve uzantılar için otomatik sağlamayı yapılandırma başlığında açıklandığı gibi uzantıların otomatik sağlamasını devre dışı bırakın.

Uzantıyı aşağıdaki sekmelerde açıklandığı gibi Azure portal, Azure CLI veya REST API kullanarak kaldırabilirsiniz.

Uzantıyı kaldırmak için Azure portal kullanma

  1. Azure portal Azure Arc'ı açın.

  2. Altyapı listesinden Kubernetes kümeleri'ni ve ardından belirli bir kümeyi seçin.

  3. Uzantılar sayfasını açın. Kümedeki uzantılar listelenir.

  4. Kümeyi seçin ve Kaldır'ı seçin.

    Removing an extension from your Arc-enabled Kubernetes cluster.

Defender profilini kaldırma

Bunu veya herhangi bir uzantıyı kaldırmak için Bulut için Defender otomatik sağlamayı kapatmak yeterli değildir:

  • Otomatik sağlamayı etkinleştirme, mevcut ve gelecekteki makineleri etkileyebilir.
  • Bir uzantı için otomatik sağlamayı devre dışı bırakmak yalnızca gelecekteki makineleri etkiler. Otomatik sağlama devre dışı bırakılarak hiçbir şey kaldırılamaz.

Bununla birlikte, Kapsayıcılar için Defender bileşenlerinin bundan sonra kaynaklarınıza otomatik olarak sağlanmamasını sağlamak için, Bulut için Microsoft Defender aracılar ve uzantılar için otomatik sağlamayı yapılandırma başlığında açıklandığı gibi uzantıların otomatik sağlamasını devre dışı bırakın.

Aşağıdaki sekmelerde açıklandığı gibi REST API veya Resource Manager şablonu kullanarak profili kaldırabilirsiniz.

DEFENDER profilini AKS'den kaldırmak için REST API kullanma

REST API kullanarak profili kaldırmak için aşağıdaki PUT komutunu çalıştırın:

https://management.azure.com/subscriptions/{{SubscriptionId}}/resourcegroups/{{ResourceGroup}}/providers/Microsoft.ContainerService/managedClusters/{{ClusterName}}?api-version={{ApiVersion}}
Adı Açıklama Zorunlu
kaynak grubundaki Kümenin abonelik kimliği Yes
adlı yönetilen örnek, Kümenin kaynak grubu Yes
ClusterName Kümenin adı Yes
ApiVersion API sürümü= 2021-07-01 olmalıdır > Yes

İstek gövdesi:

{
  "location": "{{Location}}",
  "properties": {
    "securityProfile": {
            "azureDefender": {
                "enabled": false
            }
        }
    }
}

İstek gövdesi parametreleri:

Adı Açıklama Zorunlu
location Kümenin konumu Yes
properties.securityProfile.azureDefender.enabled Kümede Kapsayıcılar için Microsoft Defender'ın etkinleştirilip etkinleştirilmeyeceğini veya devre dışı bırakılıp bırakılmayacağını belirler Yes