Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Microsoft Defender para contenedores proporciona funcionalidades avanzadas de seguridad y protección contra amenazas para los entornos en contenedores en varias plataformas. Esta guía le ayuda a elegir el camino de implementación adecuado para su entorno Kubernetes.
Entornos soportados
Defender para contenedores admite los siguientes entornos de Kubernetes:
- Azure (AKS): Azure Kubernetes Service
- AWS (EKS): Amazon Elastic Kubernetes Service
- GCP (GKE): Google Kubernetes Engine
- Arc-enabled Kubernetes (Versión preliminar): clústeres de Kubernetes en las instalaciones y de IaaS
Elije tu método de implementación
Seleccione la guía de implementación que coincida con el entorno de Kubernetes:
Azure (AKS)
En el caso de los clústeres de Azure Kubernetes Service, Defender for Containers proporciona:
- Integración nativa con servicios de Azure
- Implementación automática en todos los clústeres de una suscripción
- No se requiere ningún conector entre nubes
- Características de evaluación de vulnerabilidades (VA), incluido el examen del registro para Azure Container Registry
- Características de administración de la posición de seguridad, incluida la protección de la cadena de suministro de software de contenedores
- Características de protección en tiempo de ejecución, incluida la investigación y la respuesta de detección, integradas en Microsoft XDR
- Características de protección de la cadena de suministro de software de contenedores, incluida la implementación controlada de imágenes de contenedor
AWS (EKS)
En el caso de los clústeres de Amazon Elastic Kubernetes Service, Defender for Containers proporciona:
- Administración centralizada de la seguridad en Defender for Cloud
- Implementación basada en conectores de AWS, incluida la compatibilidad con plantillas de CloudFormation
- Características de evaluación de vulnerabilidades (VA), incluido el examen del registro de Elastic Container Registry (ECR)
- Características de administración de la posición de seguridad
- Características de protección en tiempo de ejecución, incluida la investigación y la respuesta de detección, integradas en Microsoft XDR
- Características de protección de la cadena de suministro de software de contenedores, incluida la implementación controlada de imágenes de contenedor
GCP (GKE)
En el caso de los clústeres de Google Kubernetes Engine, Defender for Containers proporciona:
- Administración centralizada de la seguridad en Defender for Cloud
- Implementación basada en conectores de GCP
- Compatibilidad con GKE Autopilot
- Características de evaluación de vulnerabilidades (VA), incluido el examen del registro de Google Container Registry (GCR) y el Registro de artefactos de Google (GAR)
- Características de administración de la posición de seguridad
- Características de protección en tiempo de ejecución, incluida la investigación y la respuesta de detección, integradas en Microsoft XDR
- Características de protección de la cadena de suministro de software de contenedores, incluida la implementación controlada de imágenes de contenedor
Kubernetes con compatibilidad Arc (versión preliminar)
En el caso de los clústeres de Kubernetes locales e IaaS conectados a través de Azure Arc, Defender for Containers proporciona:
- Administración de seguridad en la nube híbrida
- Seguridad centralizada a través de Azure
- Funciona con distribuciones de Kubernetes certificadas por CNCF
- Características de protección de la cadena de suministro de software de contenedores, incluida la implementación controlada de imágenes de contenedor
Prerrequisitos
Antes de implementar Defender for Containers, asegúrese de que tiene:
- Una suscripción a Azure activa
- Rol propietario o colaborador en la suscripción
- Clúster de Kubernetes versión 1.19 o posterior
- Conectividad de red a servicios de Azure
- Para conocer las funcionalidades basadas en sensores: Recursos de clúster suficientes para componentes de Defender: consulte Detalles del componente del sensor de Defender.
Nota:
Las funcionalidades sin agente no requieren recursos de clúster ni implementación de sensores. Para obtener una lista detallada de las características admitidas, junto con su disponibilidad y características, consulte la matriz de compatibilidad para Defender para contenedores. La matriz de compatibilidad indica si cada característica está sin agente o basada en sensores en la columna método Enablement .
Opciones de habilitación e implementación
Defender para contenedores consiste en dos pasos principales:
Habilitación del plan : puede habilitar el plan a través de:
- Portal de Azure
- Mediante programación (CLI de Azure, API REST, PowerShell)
Implementación del sensor
- Complemento integrado de AKS: puede desplegarse mediante:
- Portal de Azure
- Mediante programación (CLI de Azure, API REST, plantillas de IaC)
- Implementación de gráficos de Helm
- Complemento integrado de AKS: puede desplegarse mediante:
Visualización de la cobertura actual
Defender for Cloud proporciona acceso a libros de trabajo a través de Azure Workbooks. Los cuadernos de trabajo son informes personalizables que proporcionan información sobre su postura de seguridad.
El libro de cobertura le ayuda a comprender la cobertura actual mostrando qué planes están habilitados en sus suscripciones y recursos.
Pasos siguientes
Elija su entorno para empezar:
- Implementación en Azure (AKS): para implementaciones nativas de Azure
- Implementación en Kubernetes habilitado para Arc: para entornos híbridos y locales
- Implementación en AWS (EKS): para clústeres de Amazon EKS
- Implementación en GCP (GKE): para clústeres de Google GKE
Para obtener una comparación de las características entre entornos, consulte Matriz de compatibilidad para Defender para contenedores.