Delen via

Defender for Containers inschakelen op AKS via de portal

In dit artikel leest u hoe u Microsoft Defender for Containers inschakelt op uw AKS-clusters (Azure Kubernetes Service) via Azure Portal. U kunt ervoor kiezen om alle beveiligingsfuncties tegelijk in te schakelen voor uitgebreide beveiliging of om specifieke onderdelen selectief te implementeren op basis van uw vereisten.

Wanneer u deze handleiding gebruikt

Gebruik deze handleiding als u het volgende wilt doen:

  • Defender for Containers voor de eerste keer instellen in Azure
  • Alle beveiligingsfuncties inschakelen voor uitgebreide beveiliging
  • Specifieke onderdelen selectief implementeren
  • Ontbrekende onderdelen herstellen of toevoegen aan een bestaande implementatie
  • Bepaalde clusters uitsluiten van beveiliging

Vereiste voorwaarden

Netwerkvereisten

De Defender-sensor moet verbinding maken met Microsoft Defender voor Cloud om beveiligingsgegevens en -gebeurtenissen te verzenden. Zorg ervoor dat de vereiste eindpunten zijn geconfigureerd voor uitgaande toegang.

Connectiviteitsvereisten

De Defender-sensor moet verbinding maken met:

  • Microsoft Defender voor Cloud (voor het verzenden van beveiligingsgegevens en gebeurtenissen)

AKS-clusters hebben standaard onbeperkte toegang tot uitgaand (uitgaand) internet.

Voor clusters met beperkte uitgaand verkeer moet u toestaan dat specifieke FQDN's voor Microsoft Defender for Containers goed werken. Zie Microsoft Defender for Containers : vereiste FQDN-/toepassingsregels in de documentatie van het uitgaande AKS-netwerk voor de vereiste eindpunten.

Als uitgaand verkeer van gebeurtenissen van het cluster het gebruik van een Azure Monitor Private Link Scope (AMPLS) vereist, moet u het volgende doen:

  1. Het cluster definiëren met Container Insights en een Log Analytics-werkruimte

  2. De Log Analytics-werkruimte van het cluster definiëren als een resource in de AMPLS

  3. Maak een privé-eindpunt voor een virtueel netwerk in de AMPLS tussen:

    • Het virtuele netwerk van het cluster
    • De Log Analytics-bron

    Het privé-eindpunt van het virtuele netwerk kan worden geïntegreerd met een privé-DNS-zone.

Zie Een Azure Monitor Private Link-bereik maken voor instructies.

Defender for Containers-abonnement inschakelen

Schakel eerst het Defender for Containers-plan in voor uw abonnement.

  1. Meld u aan bij het Azure-portaal.

  2. Ga naar Microsoft Defender voor Cloud.

  3. Selecteer omgevingsinstellingen in het linkermenu.

  4. Selecteer het abonnement waar uw AKS-clusters zich bevinden.

  5. Zoek op de pagina Defender-abonnementen de rij Containers en schakel de status in op Aan.

    Schermopname van de wisselknop Containers-abonnement op de pagina Defender-abonnementen.

Planonderdelen configureren

Nadat u het plan hebt ingeschakeld, controleert en configureert u de onderdelen. Standaard worden alle onderdelen ingeschakeld wanneer u het Defender for Containers-abonnement inschakelt.

  1. Selecteer Instellingen in de rij Containers-plan.

  2. In Instellingen ziet u alle beschikbare onderdelen.

  3. Controleer de onderdelen die standaard zijn ingeschakeld:

    • Scannen zonder agent voor machines : scant uw machines op geïnstalleerde software, beveiligingsproblemen en geheim scannen zonder dat er agents nodig zijn of de prestaties van de machine worden beïnvloed
    • Defender-sensor : geïmplementeerd op elk werkknooppunt, verzamelt beveiligingsgerelateerde gegevens, vereist voor runtimebedreigingsbeveiliging
    • Azure Policy : geïmplementeerd als agent in uw Kubernetes-cluster. Biedt Kubernetes-gegevensvlakbeveiliging
    • Kubernetes-API-toegang : vereist voor agentloze containerpostuur, evaluatie van runtimeproblemen en reactieacties
    • Registertoegang - Maakt evaluatie van beveiligingsproblemen zonder agent mogelijk voor registerinstallatiekopieën

    Schermopname van Defender for Containers-onderdelen die standaard zijn ingeschakeld.

  4. U kunt:

    • Alle onderdelen ingeschakeld houden (aanbevolen voor uitgebreide beveiliging)
    • Specifieke onderdelen uitschakelen die u niet nodig hebt
    • Onderdelen opnieuw inschakelen als u ze eerder hebt uitgeschakeld

  5. Klik op Doorgaan.

  6. Bekijk de bewakingsdekkingspagina om te zien welke resources zijn beveiligd.

  7. Klik op Doorgaan.

  8. Controleer het configuratieoverzicht en selecteer Opslaan.

Rollen en machtigingen

Meer informatie over de rollen voor het inrichten van Defender for Containers-extensies.

Voortgang van implementatie bewaken

Nadat u uw wijzigingen hebt opgeslagen, worden de geselecteerde onderdelen automatisch geïmplementeerd in uw AKS-clusters:

  1. Ga naar Microsoft Defender voor Cloud>Aanbevelingen.

  2. Filter aanbevelingen op resourcetype = Kubernetes-services.

  3. Zoek naar deze belangrijke aanbevelingen:

    • 'Azure Kubernetes Service-clusters moeten Defender-profiel hebben ingeschakeld'
    • 'Azure Policy voor Kubernetes moet worden geïnstalleerd en ingeschakeld op uw clusters'

  4. Selecteer elke aanbeveling om de betrokken resources en herstelvoortgang te bekijken.

De Defender-sensor implementeren

Belangrijk

De Defender-sensor implementeren met Helm: In tegenstelling tot andere opties die automatisch worden ingericht en bijgewerkt, kunt u met Helm de Defender-sensor flexibel implementeren. Deze benadering is vooral handig in DevOps- en infrastructuur als codescenario's. Met Helm kunt u implementatie integreren in CI/CD-pijplijnen en alle sensorupdates beheren. U kunt er ook voor kiezen om preview- en GA-versies te ontvangen. Zie voor instructies over het installeren van de Defender-sensor Defender for Containers-sensor installeren met Helm.

Wanneer u de Defender-sensorinstelling inschakelt, wordt deze automatisch geïmplementeerd op alle AKS-clusters in uw abonnement. Als u automatische implementatie uitschakelt, kunt u de sensor handmatig implementeren met behulp van de volgende methoden:

Implementeren in een groep geselecteerde AKS-clusters

  1. Ga naar Microsoft Defender voor Cloud>Aanbevelingen.

  2. Zoek en selecteer 'Azure Kubernetes Service-clusters moeten Defender-profiel hebben ingeschakeld'.

    Schermopname van de pagina aanbevelingen met de aanbeveling voor het Azure Kubernetes Service-cluster gemarkeerd in de zoekresultaten.

  3. Selecteer de AKS-clusters waarvoor de sensor nodig is.

  4. Kies Herstellen.

    Schermopname van de aanbeveling met de betrokken resources geselecteerd die laten zien hoe u de knop Fix selecteert.

  5. Controleer de implementatieconfiguratie.

  6. Selecteer X-resources herstellen die u wilt implementeren.

Opmerking

U kunt de Defender-sensor ook implementeren met behulp van Helm voor meer controle over de implementatieconfiguratie. Zie De Defender-sensor implementeren met Helm voor instructies voor de implementatie van Helm.

Implementeren in een specifiek AKS-cluster

De Defender-sensor implementeren op specifieke AKS-clusters:

  1. ga in het Azure Portal naar uw AKS-cluster.

  2. Selecteer Microsoft Defender for Cloud in het linkermenu onder de clusternaam.

  3. Selecteer op de pagina Microsoft Defender voor Cloud voor uw cluster Instellingen in de bovenste rij, zoek de Defender-sensorrij en schakel deze in op Aan.

    Schermopname van Defender-sensor ingeschakeld.

  4. Selecteer Opslaan.

Specifieke clusters uitsluiten (optioneel)

U kunt specifieke AKS-clusters uitsluiten van automatische inrichting door tags toe te passen:

  1. Ga naar uw AKS-cluster.

  2. Selecteer Onder Overzichtde optie Tags.

  3. Voeg een van deze tags toe:

    • Voor Defender-sensor: ms_defender_container_exclude_sensors = true
    • Voor Azure Policy: ms_defender_container_exclude_azurepolicy = true

Doorlopende beveiliging bewaken

Na de installatie, regelmatig:

  1. Beveiligingslekken beheren - Bevindingen van scans van kwetsbaarheden in containerafbeeldingen controleren
  2. Aanbevelingen bekijken - Beveiligingsproblemen oplossen die zijn geïdentificeerd voor uw AKS-clusters
  3. Waarschuwingen onderzoeken : reageren op runtimebedreigingen die zijn gedetecteerd door de Defender-sensor
  4. Naleving bijhouden - Naleving van beveiligingsstandaarden en -benchmarks bewaken

De hulpbronnen opschonen

Zie Defender for Containers verwijderen uit Azure (AKS) als u Defender for Containers wilt uitschakelen en alle geïmplementeerde onderdelen uit uw AKS-clusters wilt verwijderen.

Volgende stappen

  • Last updated on