Defender for Containers op Azure (AKS) programmeerbaar implementeren

In dit artikel worden methoden beschreven voor het programmatisch implementeren van Microsoft Defender for Containers in uw AKS-clusters (Azure Kubernetes Service).

Aanbeveling

Zie voor een begeleide portaalervaring Defender for Containers inschakelen via de portal.

Vereiste voorwaarden

Netwerkvereisten

De Defender-sensor moet verbinding maken met Microsoft Defender voor Cloud om beveiligingsgegevens en -gebeurtenissen te verzenden. Zorg ervoor dat de vereiste eindpunten zijn geconfigureerd voor uitgaande toegang.

Connectiviteitsvereisten

De Defender-sensor moet verbinding maken met:

Microsoft Defender voor Cloud (voor het verzenden van beveiligingsgegevens en gebeurtenissen)

AKS-clusters hebben standaard onbeperkte toegang tot uitgaand (uitgaand) internet.

Voor clusters met beperkte uitgaand verkeer moet u toestaan dat specifieke FQDN's voor Microsoft Defender for Containers goed werken. Zie Microsoft Defender for Containers : vereiste FQDN-/toepassingsregels in de documentatie van het uitgaande AKS-netwerk voor de vereiste eindpunten.

Configuratie van Private Link

Als uitgaand verkeer van gebeurtenissen van het cluster het gebruik van een Azure Monitor Private Link Scope (AMPLS) vereist, moet u het volgende doen:

Het cluster definiëren met Container Insights en een Log Analytics-werkruimte
De Log Analytics-werkruimte van het cluster definiëren als een resource in de AMPLS
Maak een privé-eindpunt voor een virtueel netwerk in de AMPLS tussen:
- Het virtuele netwerk van het cluster
- De Log Analytics-bron
Het privé-eindpunt van het virtuele netwerk kan worden geïntegreerd met een privé-DNS-zone.

Zie Een Azure Monitor Private Link-bereik maken voor instructies.

Zorg er bovendien voor dat u het volgende hebt:

Azure CLI versie 2.40.0 of hoger
Juiste RBAC-machtigingen (Inzender of Beveiligingsbeheerder)

Defender for Containers-abonnement inschakelen

Zie Microsoft Defender for Cloud inschakelen om het Defender for Containers-abonnement in te schakelen voor uw abonnement. U kunt het plan inschakelen via Azure Portal, REST API of Azure Policy.

De Defender-sensor implementeren

Wanneer u het Defender for Containers-plan inschakelt, wordt de Defender-sensor standaard automatisch geïmplementeerd op uw AKS-clusters.

Als automatische inrichting is uitgeschakeld of als u de sensor handmatig moet implementeren, gebruikt u een van de volgende methoden.

Azure-CLI
ARM-sjabloon

De Defender-sensor implementeren in een specifiek AKS-cluster:

az aks update \
    --resource-group myResourceGroup \
    --name myAKSCluster \
    --enable-defender

Implementeren met een aangepaste Log Analytics-werkruimte:

az aks update \
    --resource-group myResourceGroup \
    --name myAKSCluster \
    --enable-defender \
    --defender-config logAnalyticsWorkspaceResourceId=/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}

Implementeer de volgende ARM-sjabloon om de Defender-sensor in te schakelen op een AKS-cluster:

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "clusterName": {
      "type": "string"
    },
    "location": {
      "type": "string"
    },
    "workspaceResourceId": {
      "type": "string"
    }
  },
  "resources": [
    {
      "type": "Microsoft.ContainerService/managedClusters",
      "apiVersion": "2023-01-01",
      "name": "[parameters('clusterName')]",
      "location": "[parameters('location')]",
      "properties": {
        "securityProfile": {
          "defender": {
            "logAnalyticsWorkspaceResourceId": "[parameters('workspaceResourceId')]",
            "securityMonitoring": {
              "enabled": true
            }
          }
        }
      }
    }
  ]
}

Implementeer de sjabloon met behulp van de Azure CLI:

az deployment group create \
    --resource-group myResourceGroup \
    --template-file defender-aks.json \
    --parameters clusterName=myAKSCluster location=eastus workspaceResourceId=/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}

Azure Policy-invoegtoepassing implementeren

Met de Azure Policy-invoegtoepassing voor AKS kunt u op een gecentraliseerde, consistente manier afdwinging en beveiliging op schaal toepassen op uw clusters.

De Azure Policy-invoegtoepassing inschakelen:

az aks enable-addons \
    --addons azure-policy \
    --name myAKSCluster \
    --resource-group myResourceGroup

Onderdelen implementeren met behulp van aanbevelingen

U kunt mogelijkheden ook handmatig implementeren met behulp van Defender for Cloud-aanbevelingen:

Sensor	Aanbeveling
Defender-sensor voor Kubernetes	Voor Azure Kubernetes Service-clusters moet Defender-profiel zijn ingeschakeld
Defender-sensor voor Kubernetes met Azure Arc	Voor Kubernetes-clusters met Azure Arc moet de Defender-extensie zijn geïnstalleerd
Azure Policy-agent voor Kubernetes	Voor Azure Kubernetes Service-clusters moet de Azure Policy-invoegtoepassing voor Kubernetes zijn geïnstalleerd
Azure Policy-agent voor Kubernetes met Azure Arc	Kubernetes-clusters met Azure Arc moeten de Azure Policy-extensie hebben geïnstalleerd

Volgende stappen

Feedback

Is deze pagina nuttig?

Last updated on 2025-12-04