Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Usługa Microsoft Defender for Containers zapewnia zaawansowaną ochronę przed zagrożeniami i możliwości zabezpieczeń dla środowisk konteneryzowanych na wielu platformach. Ten przewodnik ułatwia wybranie właściwej ścieżki wdrażania dla środowiska Kubernetes.
Obsługiwane środowiska
Usługa Defender for Containers obsługuje następujące środowiska Kubernetes:
- Azure (AKS) — Azure Kubernetes Service
- AWS (EKS) — Amazon Elastic Kubernetes Service
- GCP (GKE) — Google Kubernetes Engine
- Kubernetes z obsługą usługi Arc (wersja zapoznawcza) — klastry Kubernetes lokalne i w IaaS
Wybierz ścieżkę wdrożenia
Wybierz przewodnik wdrażania zgodny ze środowiskiem Kubernetes:
Azure (AKS)
W przypadku klastrów usługi Azure Kubernetes Service usługa Defender for Containers zapewnia:
- Natywna integracja z usługami platformy Azure
- Automatyczne wdrażanie we wszystkich klastrach w subskrypcji
- Brak wymaganego łącznika między chmurami
- Funkcje oceny luk w zabezpieczeniach, w tym skanowanie rejestru w usłudze Azure Container Registry
- Funkcje zarządzania stanem zabezpieczeń, w tym zabezpieczenia łańcucha dostaw oprogramowania kontenerów
- Funkcje ochrony środowiska uruchomieniowego, w tym badanie wykrywania i reagowanie, zintegrowane z usługą Microsoft XDR
- Funkcje ochrony łańcucha dostaw kontenerowego oprogramowania, w tym kontrolowane wdrażanie obrazów kontenerów
AWS (EKS)
W przypadku klastrów usługi Amazon Elastic Kubernetes Service usługa Defender for Containers zapewnia:
- Scentralizowane zarządzanie zabezpieczeniami w usłudze Defender for Cloud
- Wdrażanie oparte na łącznikach platformy AWS, w tym obsługa szablonów CloudFormation
- Funkcje oceny luk w zabezpieczeniach, w tym skanowanie rejestru w usłudze Elastic Container Registry (ECR)
- Funkcje zarządzania stanem zabezpieczeń
- Funkcje ochrony środowiska uruchomieniowego, w tym badanie wykrywania i reagowanie, zintegrowane z usługą Microsoft XDR
- Funkcje ochrony łańcucha dostaw kontenerowego oprogramowania, w tym kontrolowane wdrażanie obrazów kontenerów
GCP (GKE)
W przypadku klastrów Google Kubernetes Engine usługa Defender for Containers zapewnia:
- Scentralizowane zarządzanie zabezpieczeniami w usłudze Defender for Cloud
- Wdrażanie oparte na łączniku GCP
- Obsługa rozwiązania Autopilot GKE
- Funkcje oceny luk w zabezpieczeniach(VA), w tym skanowanie rejestru w usłudze Google Container Registry (GCR) i Rejestr artefaktów Google (GAR)
- Funkcje zarządzania stanem zabezpieczeń
- Funkcje ochrony środowiska uruchomieniowego, w tym badanie wykrywania i reagowanie, zintegrowane z usługą Microsoft XDR
- Funkcje ochrony łańcucha dostaw kontenerowego oprogramowania, w tym kontrolowane wdrażanie obrazów kontenerów
Kubernetes z integracją Arc (wersja zapoznawcza)
W przypadku klastrów lokalnych i IaaS Kubernetes połączonych za pośrednictwem usługi Azure Arc usługa Defender for Containers zapewnia:
- Hybrydowe zarządzanie zabezpieczeniami w chmurze
- Scentralizowane zabezpieczenia za pośrednictwem platformy Azure
- Współpracuje z dystrybucjami Kubernetes certyfikowanymi przez CNCF
- Funkcje ochrony łańcucha dostaw kontenerowego oprogramowania, w tym kontrolowane wdrażanie obrazów kontenerów
Wymagania wstępne
Przed wdrożeniem usługi Defender for Containers upewnij się, że masz następujące elementy:
- Aktywna subskrypcja platformy Azure
- Rola właściciela lub współautora w subskrypcji
- Klaster Kubernetes w wersji 1.19 lub nowszej
- Łączność sieciowa z usługami platformy Azure
- Aby uzyskać informacje o możliwościach opartych na czujnikach: Wystarczające zasoby klastra dla składników usługi Defender — zobacz Szczegóły składnika czujnika usługi Defender
Uwaga / Notatka
Możliwości bez agenta nie wymagają zasobów klastra ani wdrożenia czujnika. Aby uzyskać szczegółową listę obsługiwanych funkcji wraz z ich dostępnością i charakterystyką, zobacz macierz wsparcia dla Defender for Containers. Macierz obsługi wskazuje, czy każda funkcja jest bez agenta, czy oparta na czujnikach w kolumnie Metoda włączania .
Opcje włączania i wdrażania
Usługa Defender for Containers obejmuje dwa główne kroki:
Włączanie planu — możesz włączyć plan za pomocą następujących opcji:
- Azure Portal
- Programowo (interfejs wiersza polecenia platformy Azure, interfejs API REST, program PowerShell)
Wdrażanie czujnika
- Wbudowany dodatek usługi AKS — można wdrożyć za pomocą:
- Azure Portal
- Programowo (interfejs wiersza polecenia platformy Azure, interfejs API REST, szablony IaC)
- Wdrożenie chartu Helm
- Wbudowany dodatek usługi AKS — można wdrożyć za pomocą:
Wyświetlanie bieżącego pokrycia
Usługa Defender for Cloud zapewnia dostęp do skoroszytów za pośrednictwem skoroszytów platformyAzure. Skoroszyty to dostosowywalne raporty, które zapewniają analizę stanu bezpieczeństwa.
Skoroszyt pokrycia pomaga zrozumieć bieżące pokrycie, pokazując, które plany są włączone w subskrypcjach i zasobach.
Dalsze kroki
Wybierz swoje środowisko, aby rozpocząć pracę:
- Wdrażanie na platformie Azure (AKS) — w przypadku natywnych wdrożeń platformy Azure
- Wdrażanie na klastrze Kubernetes obsługiwanym przez Azure Arc — dla rozwiązań hybrydowych i lokalnych wdrożeń
- Wdrażanie na platformie AWS (EKS) — w przypadku klastrów Amazon EKS
- Wdrażanie na GCP (GKE) — dla klastrów Google GKE
Aby zapoznać się z porównaniem funkcji w różnych środowiskach, zobacz Support matrix for Defender for Containers (Macierz wsparcia dla kontenerów usługi Defender for Containers).