Aktivieren Sie Defender für Container auf AKS über das Portal

In diesem Artikel erfahren Sie, wie Sie Microsoft Defender für Container in Ihren Azure Kubernetes Service (AKS)-Clustern über das Azure-Portal aktivieren. Sie können auswählen, dass alle Sicherheitsfeatures gleichzeitig für umfassenden Schutz aktiviert oder selektiv bestimmte Komponenten basierend auf Ihren Anforderungen bereitgestellt werden.

Wann sie dieses Handbuch verwenden?

Verwenden Sie diese Anleitung, wenn Sie möchten:

• Erstmaliges Einrichten von Defender für Container in Azure
• Aktivieren aller Sicherheitsfeatures zum umfassenden Schutz
• Selektive Bereitstellung bestimmter Komponenten
• Beheben oder Hinzufügen fehlender Komponenten zu einer vorhandenen Bereitstellung
• Ausschließen bestimmter Cluster vom Schutz

Voraussetzungen

Netzwerkanforderungen

Der Defender-Sensor muss eine Verbindung mit Microsoft Defender für Cloud herstellen, um Sicherheitsdaten und Ereignisse zu senden. Stellen Sie sicher, dass die erforderlichen Endpunkte für ausgehenden Zugriff konfiguriert sind.

Verbindungsanforderungen

Der Defender-Sensor benötigt Konnektivität zu:

• Microsoft Defender für Cloud (zum Senden von Sicherheitsdaten und Ereignissen)

Standardmäßig haben AKS-Cluster uneingeschränkten ausgehenden Internetzugriff.

Für Cluster mit eingeschränktem Ausgang müssen Sie zulassen, dass bestimmte FQDNs für Microsoft Defender für Container ordnungsgemäß funktionieren. Informationen zu den erforderlichen Endpunkten finden Sie unter Microsoft Defender für Container – Erforderliche FQDN/Anwendungsregeln in der AKS-Dokumentation für ausgehende Netzwerke.

Konfiguration privater Verbindungen

Falls für den Austritt aus dem Cluster der Private Link-Bereich von Azure Monitor (AMPLS) verwendet werden muss, müssen Sie:

1. Definieren Sie das Cluster mit Container-Einblicken und einem Log Analytics-Arbeitsbereich

2. Definieren des Log Analytics-Arbeitsbereichs des Clusters als Ressource in der AMPLS

3. Erstellen Sie einen privaten Virtuellen Netzwerkendpunkt in der AMPLS zwischen:

   • Das virtuelle Netzwerk des Clusters
   • Die Log Analytics-Ressource

   Der private Endpunkt des virtuellen Netzwerks ist in eine private DNS-Zone integriert.

Anweisungen finden Sie unter Create an Azure Monitor Private Link Scope.

Defender für Container-Plan aktivieren

Aktivieren Sie zunächst den Defender for Containers-Plan für Ihr Abonnement:

1. Melden Sie sich beim Azure-Portal an.

2. Gehen Sie zu Microsoft Defender für Cloud.

3. Wählen Sie im linken Menü " Umgebungseinstellungen" aus.

4. Wählen Sie das Abonnement aus, in dem sich Ihre AKS-Cluster befinden.

5. Suchen Sie auf der Seite Defender-Pläne die Zeile Container und schalten Sie den Status auf "Ein".

   

Konfigurieren von Plankomponenten

Nachdem Sie den Plan aktiviert haben, überprüfen und konfigurieren Sie die Komponenten. Standardmäßig sind alle Komponenten aktiviert, wenn Sie den Defender für Container-Plan aktivieren.

1. Wählen Sie "Einstellungen" in der Zeile "Containerplan" aus.

2. In den Einstellungen werden alle verfügbaren Komponenten angezeigt.

3. Überprüfen Sie die Standardmäßig aktivierten Komponenten:

   • Agentlose Suche nach Computern – Überprüft Ihre Computer auf installierte Software, Sicherheitsrisiken und geheime Überprüfungen, ohne sich auf Agents zu verlassen oder die Computerleistung zu beeinträchtigen
   • Defender-Sensor – wird auf jedem Rechenknoten bereitgestellt und sammelt sicherheitsbezogene Daten, die für den Schutz vor Bedrohungen während der Laufzeit erforderlich sind.
   • Azure Policy – Als Agent auf Ihrem Kubernetes-Cluster bereitgestellt. Bietet eine Härtung der Kubernetes-Datenebene
   • Kubernetes-API-Zugriff – Erforderlich für agentlose Containerstatus, Laufzeit-Sicherheitsrisikobewertung und Reaktionsaktionen
   • Registrierungszugriff – Ermöglicht die Bewertung der agentlosen Sicherheitsanfälligkeit für Registrierungsimages.

   

4. Sie haben folgende Möglichkeiten:

   • Alle Komponenten aktiviert lassen (empfohlen für umfassenden Schutz)
   • Deaktivieren Sie bestimmte Komponenten, die Sie nicht benötigen.
   • Erneutes Aktivieren von Komponenten, wenn Sie sie zuvor deaktiviert haben

5. Wählen Sie "Weiter" aus.

6. Überprüfen Sie die Überwachungsabdeckungsseite, um zu sehen, welche Ressourcen geschützt sind.

7. Wählen Sie "Weiter" aus.

8. Überprüfen Sie die Konfigurationszusammenfassung, und wählen Sie "Speichern" aus.

Rollen und Berechtigungen

Erfahren Sie mehr über die Rollen für die Bereitstellung von Defender for Containers-Erweiterungen.

Überwachen des Bereitstellungsstatus

Nachdem Sie Ihre Änderungen gespeichert haben, beginnt Defender for Cloud automatisch mit der Bereitstellung der ausgewählten Komponenten in Ihren AKS-Clustern:

1. Wechseln Sie zu Microsoft Defender for Cloud>Empfehlungen.

2. Filtert Empfehlungen nach Ressourcentyp = Kubernetes-Diensten.

3. Suchen Sie nach den folgenden wichtigen Empfehlungen:

   • "Azure Kubernetes-Dienstcluster sollten Defender-Profil aktiviert haben"
   • "Azure-Richtlinie für Kubernetes sollte auf Ihren Clustern installiert und aktiviert werden"

4. Wählen Sie jede Empfehlung aus, um die betroffenen Ressourcen und den Fortschritt der Korrektur anzuzeigen.

Bereitstellen des Defender-Sensors

Wenn Sie die Defender-Sensoreinstellung aktivieren, wird sie automatisch für alle AKS-Cluster in Ihrem Abonnement bereitgestellt. Wenn Sie die automatische Bereitstellung deaktivieren, können Sie den Sensor mithilfe der folgenden Methoden manuell bereitstellen:

Bereitstellen in einer Gruppe ausgewählter AKS-Cluster

1. Wechseln Sie zu Microsoft Defender for Cloud>Empfehlungen.

2. Suchen Sie nach „Für Azure Kubernetes Service-Cluster sollte das Defender-Profil aktiviert sein“ und wählen Sie es aus.

   

3. Wählen Sie die AKS-Cluster aus, die den Sensor benötigen.

4. Wählen Sie Korrigieren aus.

   

5. Überprüfen Sie die Bereitstellungskonfiguration.

6. Wählen Sie X Ressourcen reparieren aus, die bereitgestellt werden sollen.

Bereitstellung in einem bestimmten AKS-Cluster

So stellen Sie den Defender-Sensor für bestimmte AKS-Cluster bereit:

1. Navigieren Sie im Azure-Portal zu Ihrem AKS-Cluster.

2. Wählen Sie im linken Menü unter dem Clusternamen Microsoft Defender für Cloud aus.

3. Wählen Sie auf der Seite "Microsoft Defender für Cloud" für Ihren Cluster "Einstellungen " in der obersten Zeile aus, suchen Sie die Defender-Sensorzeile , und schalten Sie sie auf "Ein".

   

4. Wählen Sie Speichern aus.

Ausschließen bestimmter Cluster (optional)

Sie können bestimmte AKS-Cluster von der automatischen Bereitstellung ausschließen, indem Sie Tags anwenden:

1. Wechseln Sie zu Ihrem AKS-Cluster.

2. Wählen Sie unter "Übersicht" die Option "Tags" aus.

3. Fügen Sie eines der folgenden Tags hinzu:

   • Für Defender-Sensor: ms_defender_container_exclude_sensors = true
   • Für Azure-Richtlinie: ms_defender_container_exclude_azurepolicy = true

Überwachen der laufenden Sicherheit

Nach der Einrichtung regelmäßig:

1. Schwachstellen verwalten – Überprüfung der Ergebnisse von Container-Image-Schwachstellenscans
2. Überprüfen von Empfehlungen – Beheben von Sicherheitsproblemen, die für Ihre AKS-Cluster identifiziert wurden
3. Untersuchen von Warnungen – Reagieren auf laufzeitbedrohungen, die vom Defender-Sensor erkannt wurden
4. Nachverfolgen der Compliance – Überwachen der Einhaltung von Sicherheitsstandards und Benchmarks

Bereinigen von Ressourcen

Informationen zum Deaktivieren von Defender for Containers und zum Entfernen aller bereitgestellten Komponenten aus Ihren AKS-Clustern finden Sie unter Remove Defender for Containers from Azure (AKS).

Nächste Schritte

• Überprüfen der Bereitstellung
• Konfigurieren erweiterter Einstellungen für Defender für Container
• Untersuchen und Reagieren auf Laufzeitsicherheitswarnungen
• Überprüfung und Behebung von Schwachstellenbefunden