포털을 통해 AKS에서 Defender for Containers 사용

이 문서에서는 Azure Portal을 통해 AKS(Azure Kubernetes Service) 클러스터에서 컨테이너용 Microsoft Defender를 사용하도록 설정하는 방법을 보여 줍니다. 포괄적인 보호를 위해 모든 보안 기능을 한 번에 사용하도록 설정하거나 요구 사항에 따라 특정 구성 요소를 선택적으로 배포하도록 선택할 수 있습니다.

이 가이드를 사용하는 경우

다음을 수행하려면 이 가이드를 사용합니다.

• 처음으로 Azure에서 Defender for Containers 설정
• 포괄적인 보호를 위해 모든 보안 기능 사용
• 특정 구성 요소 선택적으로 배포
• 기존 배포에 누락된 구성 요소 수정 또는 추가
• 보호에서 특정 클러스터 제외

필수 조건

네트워크 요구 사항

보안 데이터 및 이벤트를 보내려면 Defender 센서가 클라우드용 Microsoft Defender에 연결해야 합니다. 필요한 엔드포인트가 아웃바운드 액세스에 대해 구성되어 있는지 확인합니다.

연결 요구 사항

Defender 센서는 다음을 위한 연결이 필요합니다.

• 클라우드용 Microsoft Defender(보안 데이터 및 이벤트 전송용)

기본적으로 AKS 클러스터에는 무제한 아웃바운드(송신) 인터넷 액세스가 있습니다.

송신이 제한된 클러스터의 경우 컨테이너용 Microsoft Defender의 특정 FQDN이 제대로 작동하도록 허용해야 합니다. 필요한 엔드포인트에 대한 AKS 아웃바운드 네트워크 설명서에서 컨테이너용 Microsoft Defender - 필수 FQDN/애플리케이션 규칙을 참조하세요.

프라이빗 링크 구성

클러스터에서 이벤트 송신이 Azure Monitor AMPLS(Private Link Scope)를 사용해야 하는 경우 다음을 수행해야 합니다.

1. Container Insights 및 Log Analytics 작업 영역을 사용하여 클러스터 정의

2. 클러스터의 Log Analytics 작업 영역을 AMPLS의 리소스로 정의

3. AMPLS에서 다음 경로 사이에 가상 네트워크 프라이빗 엔드포인트를 만듭니다.

   • 클러스터의 가상 네트워크
   • Log Analytics 리소스

   가상 네트워크 프라이빗 엔드포인트는 프라이빗 DNS 영역과 통합됩니다.

자세한 내용은 Azure Monitor Private Link 범위 만들기를 참조하세요.

컨테이너용 Defender 계획 활성화

먼저 구독에서 Defender for Containers 계획을 사용하도록 설정합니다.

1. Azure Portal에 로그인합니다.

2. 클라우드용 Microsoft Defender로 이동하세요.

3. 왼쪽 메뉴에서 환경 설정을 선택합니다.

4. AKS 클러스터가 있는 구독을 선택합니다.

5. Defender 계획 페이지에서 컨테이너 행을 찾아 상태를 켜기로 전환합니다.

   

계획 구성 요소 설정

계획을 사용하도록 설정한 후 구성 요소를 검토하고 구성합니다. 기본적으로 모든 구성 요소는 Defender for Containers 계획을 켤 때 사용하도록 설정됩니다.

1. 컨테이너 계획 행에서 설정을 선택합니다.

2. 설정에 사용 가능한 모든 구성 요소가 표시됩니다.

3. 기본적으로 사용하도록 설정된 구성 요소를 검토합니다.

   • 컴퓨터에 대한 에이전트 없는 검사 - 에이전트에 의존하거나 컴퓨터 성능에 영향을 주지 않고 설치된 소프트웨어, 취약성 및 비밀 검사에 대해 머신을 검색합니다.
   • Defender 센서 - 각 작업자 노드에 배포되고, 런타임 위협 방지에 필요한 보안 관련 데이터를 수집합니다.
   • Azure Policy - Kubernetes 클러스터에 에이전트로 배포됩니다. Kubernetes 데이터 평면 강화 제공
   • Kubernetes API 액세스 - 에이전트 없는 컨테이너 상태, 런타임 취약성 평가 및 응답 작업에 필요
   • 레지스트리 액세스 - 레지스트리 이미지에 대한 에이전트 없는 취약성 평가를 사용하도록 설정

   

4. 당신은 할 수 있어요:

   • 모든 구성 요소를 사용하도록 설정 유지(포괄적인 보호에 권장)
   • 필요하지 않은 특정 구성 요소 사용 안 함
   • 이전에 사용하지 않도록 설정한 경우 구성 요소를 다시 사용하도록 설정

5. 를 선택합니다 계속.

6. 모니터링 검사 페이지를 검토하여 보호되는 리소스를 확인합니다.

7. 를 선택합니다 계속.

8. 구성 요약을 검토하고 저장을 선택합니다.

역할 및 권한

컨테이너용 Defender 확장을 프로비전하는 역할에 대해 자세히 알아보세요.

배포 진행률 모니터링

변경 내용을 저장한 후 Defender for Cloud는 선택한 구성 요소를 AKS 클러스터에 자동으로 배포하기 시작합니다.

1. 클라우드용 Microsoft Defender>권장 사항으로 이동합니다.

2. 리소스 종류 = Kubernetes 서비스별로 권장 사항을 필터링합니다.

3. 다음 주요 권장 사항을 참조하세요.

   • "Azure Kubernetes Service 클러스터는 Defender 프로필을 사용하도록 설정해야 합니다."
   • "클러스터에 Kubernetes용 Azure Policy를 설치하고 사용하도록 설정해야 합니다."

4. 각 권장 사항을 선택하여 영향을 받는 리소스 및 수정 진행률을 확인합니다.

Defender 센서 배포

Defender 센서 설정을 사용하도록 설정하면 구독의 모든 AKS 클러스터에 자동으로 배포됩니다. 자동 배포를 사용하지 않도록 설정하는 경우 다음 방법을 사용하여 센서를 수동으로 배포할 수 있습니다.

선택한 AKS 클러스터 그룹에 배포

1. 클라우드용 Microsoft Defender>권장 사항으로 이동합니다.

2. "Azure Kubernetes Service 클러스터에 Defender 프로필이 활성화되어 있어야 함"을 검색하고 선택합니다.

   

3. 센서가 필요한 AKS 클러스터를 선택합니다.

4. 수정을 선택합니다.

   

5. 배포 구성을 검토합니다.

6. 배포할 X 리소스 수정 을 선택합니다.

특정 AKS 클러스터에 배포

특정 AKS 클러스터에 Defender 센서를 배포하려면 다음을 수행합니다.

1. Azure Portal에서 AKS 클러스터로 이동하세요.

2. 클러스터 이름 아래의 왼쪽 메뉴에서 클라우드용 Microsoft Defender를 선택합니다.

3. 클러스터의 클라우드용 Microsoft Defender 페이지에서 맨 위 행의 설정을 선택하고 Defender 센서 행을 찾아 켜기로 전환합니다.

   

4. 저장을 선택합니다.

특정 클러스터 제외(선택 사항)

태그를 적용하여 자동 프로비저닝에서 특정 AKS 클러스터를 제외할 수 있습니다.

1. AKS 클러스터로 이동합니다.

2. 개요에서 태그를 선택합니다.

3. 다음 태그 중 하나를 추가합니다.

   • Defender 센서의 경우: ms_defender_container_exclude_sensors = true
   • Azure Policy의 경우: ms_defender_container_exclude_azurepolicy = true

지속적인 보안 모니터링

설치 후 정기적으로 다음을 수행합니다.

1. 취약성 관리 - 컨테이너 이미지 취약성 검사 결과 검토
2. 권장 사항 검토 - AKS 클러스터에 대해 식별된 보안 문제 해결
3. 경고 검사 - Defender 센서에서 감지한 런타임 위협에 대응합니다.
4. 규정 준수 추적 - 보안 표준 및 벤치마크 준수 모니터링

자원을 정리하세요

Defender for Containers를 사용하지 않도록 설정하고 AKS 클러스터에서 배포된 모든 구성 요소를 제거하려면 AKS(Azure)에서 Defender for Containers 제거를 참조하세요.

다음 단계

• 배포 확인
• Defender for Containers에 대한 고급 설정 구성
• 런타임 보안 경고 조사 및 대응
• 취약성 조사 결과 검토 및 수정