Compartir a través de

Habilitar Defender para contenedores en AKS a través del portal

En este artículo se muestra cómo habilitar Microsoft Defender para contenedores en los clústeres de Azure Kubernetes Service (AKS) a través de Azure Portal. Puede optar por habilitar todas las características de seguridad a la vez para una protección completa o implementar de forma selectiva componentes específicos en función de sus requisitos.

Cuándo usar esta guía

Use esta guía si desea:

  • Configuración de Defender for Containers en Azure por primera vez
  • Habilitación de todas las características de seguridad para una protección completa
  • Implementación selectiva de componentes específicos
  • Corrección o adición de componentes que faltan a una implementación existente
  • Exclusión de determinados clústeres de la protección

Prerrequisitos

Requisitos de red

El sensor de Defender debe conectarse a Microsoft Defender for Cloud para enviar eventos y datos de seguridad. Asegúrese de que los puntos de conexión necesarios están configurados para el acceso saliente.

Requisitos de la conexión

El sensor de Defender necesita conectividad para:

  • Microsoft Defender for Cloud (para enviar eventos y datos de seguridad)

De forma predeterminada, los clústeres de AKS tienen acceso de salida a Internet ilimitado.

En el caso de los clústeres con salida restringida, debe permitir que los FQDN específicos de Microsoft Defender para contenedores funcionen correctamente. Consulte Microsoft Defender para contenedores: reglas de aplicación o FQDN necesarias en la documentación de red de salida de AKS para los puntos de conexión necesarios.

Si el evento de salida del clúster, se requiere el uso de un ámbito de Private Link (AMPLS) de Azure Monitor, debe:

  1. Definición del clúster con Container Insights y un área de trabajo de Log Analytics

  2. Definición del área de trabajo de Log Analytics del clúster como un recurso en AMPLS

  3. Cree un punto de conexión de red virtual privado en AMPLS entre:

    • La red virtual del clúster
    • El recurso de Log Analytics

    El punto de conexión privado de red virtual se integra con una zona de DNS privado.

Para obtener instrucciones, consulte Creación de un ámbito de Private Link de Azure Monitor.

Habilitar el plan Defender para contenedores

En primer lugar, habilita el plan Defender para Contenedores en tu suscripción:

  1. Inicie sesión en Azure Portal.

  2. Vaya a Microsoft Defender for Cloud.

  3. En el menú de la izquierda, seleccione Configuración del entorno.

  4. Seleccione la suscripción donde se encuentran los clústeres de AKS.

  5. En la página Planes de Defender, busque la fila Contenedores y cambie el estado a Activado.

    Captura de pantalla que muestra el conmutador de planes de Contenedores en la página Planes de Defender.

Configuración de componentes de plan

Después de habilitar el plan, revise y configure los componentes. De forma predeterminada, todos los componentes se habilitan al activar el plan de Defender para contenedores.

  1. Seleccione Configuración en la fila Plan de contenedores.

  2. En Configuración, verá todos los componentes disponibles.

  3. Revise los componentes que están habilitados de forma predeterminada:

    • Examen sin agente de máquinas : examina las máquinas para el software instalado, las vulnerabilidades y el examen de secretos sin depender de agentes ni afectar al rendimiento de la máquina.
    • Sensor de Defender : implementado en cada nodo de trabajo, recopila datos relacionados con la seguridad, necesarios para la protección contra amenazas en tiempo de ejecución.
    • Azure Policy : implementado como agente en el clúster de Kubernetes. Proporciona endurecimiento del plano de datos de Kubernetes
    • Acceso a la API de Kubernetes : necesario para la posición de contenedor sin agente, la evaluación de vulnerabilidades en tiempo de ejecución y las acciones de respuesta
    • Acceso al Registro : habilita la evaluación de vulnerabilidades sin agente para las imágenes del Registro.

    Captura de pantalla que muestra los componentes de Defender for Containers habilitados de forma predeterminada.

  4. Ustedes pueden:

    • Mantener todos los componentes habilitados (recomendado para una protección completa)
    • Deshabilitar componentes específicos que no necesita
    • Vuelva a habilitar componentes si los deshabilitó anteriormente

  5. Selecciona Continuar.

  6. Revise la página de cobertura de supervisión para ver qué recursos están protegidos.

  7. Selecciona Continuar.

  8. Revise el resumen de configuración y seleccione Guardar.

Roles y permisos

Obtenga más información sobre los roles para el aprovisionamiento de extensiones de Defender para contenedores.

Supervisión del progreso de la implementación

Después de guardar los cambios, Defender for Cloud inicia automáticamente la implementación de los componentes seleccionados en los clústeres de AKS:

  1. Vaya a Microsoft Defender for Cloud>Recomendaciones.

  2. Filtre las recomendaciones por tipo de recurso = servicios de Kubernetes.

  3. Busque estas recomendaciones clave:

    • "Los clústeres de Azure Kubernetes Service deben tener habilitado el perfil de Defender"
    • "Azure Policy para Kubernetes debe estar instalado y habilitado en los clústeres"

  4. Seleccione cada recomendación para ver los recursos afectados y el progreso de la corrección.

Implementa el sensor de Defender

Importante

Implementación del sensor de Defender con Helm: a diferencia de otras opciones que se aprovisionan automáticamente y se actualizan automáticamente, Helm le permite implementar el sensor de Defender de forma flexible. Este enfoque es especialmente útil en escenarios de DevOps e infraestructura como código. Con Helm se puede integrar la implementación en las canalizaciones de CI/CD y controlar todas las actualizaciones de los sensores. También puede optar por recibir versiones preliminares y de disponibilidad general. Para obtener instrucciones sobre cómo instalar el sensor de Defender mediante Helm, consulte Instalación del sensor de Defender para contenedores mediante Helm.

Al habilitar la configuración del sensor de Defender, se implementa automáticamente en todos los clústeres de AKS de la suscripción. Si deshabilita la implementación automática, puede implementar manualmente el sensor mediante los métodos siguientes:

Desplegar a un grupo de clústeres de AKS seleccionados

  1. Vaya a Microsoft Defender for Cloud>Recomendaciones.

  2. Busque y seleccione "Los clústeres de Azure Kubernetes Service deben tener habilitado el perfil de Defender".

    Captura de pantalla que muestra la página de recomendaciones con la recomendación del clúster de Azure Kubernetes Service resaltada en los resultados de la búsqueda.

  3. Seleccione los clústeres de AKS que necesitan el sensor.

  4. Seleccione Corregir.

    Captura de pantalla de la recomendación con los recursos afectados seleccionados que muestra cómo seleccionar el botón corregir.

  5. Revise la configuración de implementación.

  6. Seleccione Corregir recursos X para implementar.

Nota:

También puede implementar el sensor de Defender mediante Helm para tener más control sobre la configuración de despliegue. Para obtener instrucciones de implementación de Helm, consulte Implementación del sensor de Defender mediante Helm.

Desplegar a un clúster específico de AKS

Para implementar el sensor de Defender en clústeres de AKS específicos:

  1. Vaya al clúster de AKS en Azure Portal.

  2. En el menú de la izquierda, en el nombre del clúster, seleccione Microsoft Defender for Cloud.

  3. En la página Microsoft Defender for Cloud de su clúster, seleccione Configuración en la fila superior, busque la fila del sensor de Defender y cámbielo a Activado.

    Captura de pantalla del sensor de Defender activado.

  4. Haga clic en Guardar.

Exclusión de clústeres específicos (opcional)

Puede excluir clústeres de AKS específicos del aprovisionamiento automático aplicando etiquetas:

  1. Vaya al clúster de AKS.

  2. En Información general, seleccione Etiquetas.

  3. Agregue una de estas etiquetas:

    • Para el sensor de Defender: ms_defender_container_exclude_sensors = true
    • Para Azure Policy: ms_defender_container_exclude_azurepolicy = true

Monitoreo continuo de la seguridad

Después de la instalación, realiza regularmente las siguientes acciones:

  1. Gestionar vulnerabilidades: revise los resultados de los análisis de imágenes de contenedores.
  2. Revisión de recomendaciones : solucionar problemas de seguridad identificados para los clústeres de AKS
  3. Investigación de alertas : respuesta a amenazas en tiempo de ejecución detectadas por el sensor de Defender
  4. Seguimiento del cumplimiento : supervisar el cumplimiento de los estándares de seguridad y los puntos de referencia

Limpieza de recursos

Para deshabilitar Defender for Containers y quitar todos los componentes implementados de los clústeres de AKS, consulte Eliminación de Defender for Containers de Azure (AKS).

Pasos siguientes

  • Last updated on