Udostępnij przez

Włączanie usługi Defender for Containers w usłudze AKS za pośrednictwem portalu

W tym artykule pokazano, jak włączyć usługę Microsoft Defender for Containers w klastrach usługi Azure Kubernetes Service (AKS) za pośrednictwem witryny Azure Portal. Możesz włączyć wszystkie funkcje zabezpieczeń jednocześnie w celu kompleksowej ochrony lub selektywnie wdrożyć określone składniki na podstawie wymagań.

Kiedy należy używać tego przewodnika

Skorzystaj z tego przewodnika, jeśli chcesz:

  • Konfigurowanie usługi Defender for Containers na platformie Azure po raz pierwszy
  • Włączanie wszystkich funkcji zabezpieczeń w celu zapewnienia kompleksowej ochrony
  • Selektywne wdrażanie określonych składników
  • Naprawianie lub dodawanie brakujących składników do istniejącego wdrożenia
  • Wykluczanie niektórych klastrów z ochrony

Wymagania wstępne

Wymagania dotyczące sieci

Czujnik usługi Defender musi nawiązać połączenie z usługą Microsoft Defender for Cloud, aby wysyłać dane i zdarzenia zabezpieczeń. Upewnij się, że wymagane punkty końcowe są skonfigurowane na potrzeby dostępu wychodzącego.

Wymagania dotyczące połączenia

Czujnik usługi Defender wymaga łączności z:

  • Microsoft Defender for Cloud (do wysyłania danych o zabezpieczeniach i zdarzeń)

Domyślnie klastry usługi AKS mają nieograniczony dostęp do Internetu dla ruchu wychodzącego.

W przypadku klastrów z ograniczonym ruchem wychodzącym, należy zezwolić na określone FQDN, aby usługa Microsoft Defender for Containers mogła działać poprawnie. Zobacz Microsoft Defender for Containers — wymagana nazwa FQDN i reguły dotyczące aplikacji w dokumentacji dotyczącej sieci wychodzącej AKS dla wymaganych punktów końcowych.

Jeśli ruch wychodzący z klastra zdarzeń wymaga użycia zakresu usługi Azure Monitor Private Link (AMPLS), musisz:

  1. Definiowanie klastra za pomocą szczegółowych informacji o kontenerze i obszaru roboczego usługi Log Analytics

  2. Definiowanie obszaru roboczego usługi Log Analytics klastra jako zasobu w usłudze AMPLS

  3. Utwórz prywatny punkt końcowy sieci wirtualnej w sieci AMPLS między:

    • Sieć wirtualna klastra
    • Zasób usługi Log Analytics

    Prywatny punkt końcowy sieci wirtualnej integruje się z prywatną strefą DNS.

Aby uzyskać instrukcje, zobacz Tworzenie zakresu usługi Azure Monitor Private Link.

Włącz plan usługi Defender for Containers

Najpierw włącz plan usługi Defender for Containers w ramach subskrypcji:

  1. Zaloguj się do witryny Azure Portal.

  2. Przejdź do pozycji Microsoft Defender dla Chmury.

  3. W menu po lewej stronie wybierz pozycję Ustawienia środowiska.

  4. Wybierz subskrypcję, w której znajdują się klastry usługi AKS.

  5. Na stronie Plany usługi Defender znajdź wiersz Kontenery i przełącz stan na Włączony.

    Zrzut ekranu przedstawiający przełącznik przełączania planów kontenerów na stronie Plany usługi Microsoft Defender.

Konfigurowanie składników planu

Po włączeniu planu przejrzyj i skonfiguruj składniki. Domyślnie wszystkie składniki są włączone po włączeniu planu usługi Defender for Containers.

  1. Wybierz Ustawienia w wierszu Planu kontenerów.

  2. W obszarze Ustawienia są widoczne wszystkie dostępne składniki.

  3. Przejrzyj składniki, które są domyślnie włączone:

    • Skanowanie maszyn bez agenta — skanuje urządzenia pod kątem zainstalowanego oprogramowania, luk w zabezpieczeniach oraz wykrywania poufnych danych bez konieczności użycia agentów ani wpływu na wydajność urządzeń.
    • Czujnik usługi Defender — wdrożony w każdym węźle roboczym, zbiera dane związane z zabezpieczeniami, wymagane do ochrony środowiska uruchomieniowego przed zagrożeniami
    • Azure Policy — wdrożone jako agent w klastrze Kubernetes. Zapewnia wzmocnienie zabezpieczeń płaszczyzny danych platformy Kubernetes
    • Dostęp do interfejsu API platformy Kubernetes — wymagane w przypadku stanu kontenera bez agenta, oceny luk w zabezpieczeniach środowiska uruchomieniowego i akcji odpowiedzi
    • Dostęp do rejestru — umożliwia ocenę luk w zabezpieczeniach bez agenta dla obrazów rejestru

    Zrzut ekranu przedstawiający domyślnie włączone składniki usługi Defender for Containers.

  4. Masz następujące możliwości:

    • Zachowaj wszystkie składniki włączone (zalecane w celu zapewnienia kompleksowej ochrony)
    • Wyłączanie określonych składników, których nie potrzebujesz
    • Ponowne włączanie składników, jeśli wcześniej je wyłączono

  5. Wybierz Kontynuuj.

  6. Przejrzyj stronę zakresu monitorowania, aby zobaczyć, które zasoby są chronione.

  7. Wybierz Kontynuuj.

  8. Przejrzyj podsumowanie konfiguracji i wybierz pozycję Zapisz.

Role i uprawnienia

Dowiedz się więcej o rolach dotyczących aprowizacji rozszerzeń usługi Defender for Containers.

Monitorowanie postępu wdrażania

Po zapisaniu zmian usługa Defender for Cloud automatycznie rozpoczyna wdrażanie wybranych składników w klastrach usługi AKS:

  1. Przejdź do pozycji Microsoft Defender dla Chmury> Poleceń.

  2. Filtruj rekomendacje według typu = zasobuusług Kubernetes.

  3. Poszukaj następujących kluczowych zaleceń:

    • "Klastry usługi Azure Kubernetes Service powinny mieć włączony profil usługi Defender"
    • "Usługa Azure Policy dla platformy Kubernetes powinna być zainstalowana i włączona w klastrach"

  4. Wybierz każde zalecenie, aby zobaczyć dotknięte zasoby i postęp korygowania.

Wdrażanie czujnika usługi Defender

Ważne

Wdrażanie czujnika Defendera przy użyciu Helm: w przeciwieństwie do innych opcji, które są automatycznie zarządzane oraz aktualizowane, Helm umożliwia elastyczne wdrażanie czujnika Defendera. Takie podejście jest szczególnie przydatne w scenariuszach DevOps i infrastruktury jako kodu. Za pomocą programu Helm można zintegrować wdrożenie z potokami CI/CD i kontrolować wszystkie aktualizacje sensorów. Możesz również otrzymywać wersje zapoznawcze i ogólnodostępne. Aby uzyskać instrukcje dotyczące instalowania czujnika Defender przy użyciu programu Helm, zobacz Instalowanie czujnika Defender dla kontenerów przy użyciu programu Helm.

Po włączeniu ustawienia czujnika Defender, zostanie on automatycznie wdrożony we wszystkich klastrach AKS w subskrypcji. Jeśli wyłączysz automatyczne wdrażanie, możesz ręcznie wdrożyć czujnik przy użyciu następujących metod:

Wdrażanie do grupy wybranych klastrów AKS

  1. Przejdź do pozycji Microsoft Defender dla Chmury> Poleceń.

  2. Wyszukaj i wybierz pozycję "Klastry usługi Azure Kubernetes Service powinny mieć włączony profil usługi Defender".

    Zrzut ekranu przedstawiający stronę zaleceń z zaleceniem klastra usługi Azure Kubernetes Service wyróżnionym w wynikach wyszukiwania.

  3. Wybierz klastry AKS, które potrzebują czujnika.

  4. Wybierz pozycję Napraw.

    Zrzut ekranu przedstawiający zalecenie z wybranymi zasobami, których dotyczy problem, pokazujący, jak wybrać przycisk naprawy.

  5. Przejrzyj konfigurację wdrożenia.

  6. Wybierz pozycję Napraw zasoby X do wdrożenia.

Uwaga / Notatka

Czujnik usługi Defender można również wdrożyć przy użyciu programu Helm, aby uzyskać większą kontrolę nad konfiguracją wdrożenia. Aby uzyskać instrukcje dotyczące wdrażania programu Helm, zobacz Deploy the Defender sensor using Helm (Wdrażanie czujnika usługi Defender przy użyciu programu Helm).

Wdrażanie w określonym klastrze usługi AKS

Aby wdrożyć czujnik usługi Defender w określonych klastrach AKS:

  1. Przejdź do klastra usługi AKS w witrynie Azure Portal.

  2. W menu po lewej stronie pod nazwą klastra wybierz pozycję Microsoft Defender for Cloud.

  3. Na stronie Microsoft Defender for Cloud dla klastra wybierz pozycję Ustawienia w górnym wierszu, znajdź wiersz czujnika usługi Defender i przełącz go do pozycji Włączone.

    Zrzut ekranu włączonego czujnika usługi Defender.

  4. Wybierz Zapisz.

Wykluczanie określonych klastrów (opcjonalnie)

Można wykluczyć określone klastry AKS z automatycznej aprowizacji, stosując tagi.

  1. Przejdź do swojego klastra AKS.

  2. W obszarze Przegląd wybierz pozycję Tagi.

  3. Dodaj jeden z następujących tagów:

    • Czujnik usługi Defender: ms_defender_container_exclude_sensors = true
    • W przypadku usługi Azure Policy: ms_defender_container_exclude_azurepolicy = true

Monitorowanie bieżących zabezpieczeń

Po skonfigurowaniu, regularnie wykonuj:

  1. Zarządzanie lukami w zabezpieczeniach — przeglądanie wyników skanowania luk w zabezpieczeniach obrazów kontenera
  2. Przejrzyj zalecenia — Zajmij się zidentyfikowanymi problemami z zabezpieczeniami w klastrach AKS
  3. Badanie alertów — reagowanie na zagrożenia środowiska uruchomieniowego wykryte przez czujnik usługi Defender
  4. Śledzenie zgodności — monitorowanie zgodności ze standardami zabezpieczeń i testami porównawczymi

Uprzątnij zasoby

Aby wyłączyć usługę Defender for Containers i usunąć wszystkie wdrożone składniki z klastrów usługi AKS, zobacz Usuwanie usługi Defender for Containers z platformy Azure (AKS).

Dalsze kroki

  • Last updated on