Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O Microsoft Defender para Contêineres fornece recursos avançados de proteção contra ameaças e segurança para seus ambientes em contêineres em várias plataformas. Este guia ajuda você a escolher o caminho de implantação certo para seu ambiente do Kubernetes.
Ambientes com suporte
O Defender para Contêineres dá suporte aos seguintes ambientes do Kubernetes:
- Azure (AKS) – Serviço de Kubernetes do Azure
- AWS (EKS) – Amazon Elastic Kubernetes Service
- GCP (GKE) – Mecanismo de Kubernetes do Google
- Kubernetes habilitado para Arc (Versão preliminar) – clusters do Kubernetes locais e em IaaS
Escolha seu caminho de implantação
Selecione o guia de implantação que corresponde ao seu ambiente do Kubernetes:
Azure (AKS)
Para clusters do Serviço de Kubernetes do Azure, o Defender para Contêineres fornece:
- Integração nativa com os serviços do Azure
- Implantação automática em todos os clusters em uma assinatura
- Nenhum conector entre nuvens é necessário
- Recursos de avaliação de vulnerabilidade (VA), incluindo a varredura do Registro de Contêiner do Azure
- Recursos de gerenciamento de postura de segurança, incluindo proteção da cadeia de fornecimento de software de contêineres
- Recursos de proteção de runtime, incluindo detecção, investigação e resposta, integrados ao Microsoft XDR
- Recursos de proteção da cadeia de fornecimento de software de contêineres, incluindo a implantação controlada de imagens de contêiner
AWS (EKS)
Para clusters do Amazon Elastic Kubernetes Service, o Defender para Contêineres fornece:
- Gerenciamento de segurança centralizado no Defender para Nuvem
- Implantação baseada em conectores da AWS, incluindo suporte para modelos do AWS CloudFormation.
- Recursos de VA (avaliação de vulnerabilidade), incluindo verificação de Registro para Registro de Contêiner Elástico (ECR)
- Recursos de gerenciamento de postura de segurança
- Recursos de proteção de runtime, incluindo detecção, investigação e resposta, integrados ao Microsoft XDR
- Recursos de proteção da cadeia de fornecimento de software de contêineres, incluindo a implantação controlada de imagens de contêiner
GCP (GKE)
Para clusters do Mecanismo de Kubernetes do Google, o Defender para Contêineres fornece:
- Gerenciamento de segurança centralizado no Defender para Nuvem
- Implantação baseada em conectores do GCP
- Suporte ao Piloto Automático do GKE
- Recursos de VA (avaliação de vulnerabilidade), incluindo a verificação de registro para o Registro de Contêiner do Google (GCR) e o Registro de Artefatos do Google (GAR)
- Recursos de gerenciamento de postura de segurança
- Recursos de proteção de runtime, incluindo detecção, investigação e resposta, integrados ao Microsoft XDR
- Recursos de proteção da cadeia de fornecimento de software de contêineres, incluindo a implantação controlada de imagens de contêiner
Kubernetes habilitado para Arc (Versão preliminar)
Para clusters Kubernetes no local e de IaaS conectados via Azure Arc, o Defender para Contêineres fornece:
- Gerenciamento de segurança de nuvem híbrida
- Segurança centralizada por meio do Azure
- Funciona com distribuições do Kubernetes certificadas por CNCF
- Recursos de proteção da cadeia de fornecimento de software de contêineres, incluindo a implantação controlada de imagens de contêiner
Pré-requisitos
Antes de implantar o Defender para Contêineres, verifique se você tem:
- Uma assinatura ativa do Azure
- Função de proprietário ou colaborador na assinatura
- Cluster do Kubernetes versão 1.19 ou posterior
- Conectividade de rede com os serviços do Azure
- Para recursos baseados em sensor: recursos de cluster suficientes para componentes do Defender – consulte Detalhes do componente do sensor do Defender
Observação
Os recursos sem agente não exigem recursos de cluster ou implantação de sensor. Para obter uma lista detalhada dos recursos com suporte, juntamente com sua disponibilidade e características, consulte a matriz de suporte do Defender para Contêineres. A matriz de suporte indica se cada recurso é sem agente ou baseado em sensor na coluna do método de Habilitação.
Opções de habilitação e implantação
O Defender para Contêineres envolve duas etapas principais:
Habilitando o plano – você pode habilitar o plano por meio de:
- portal do Azure
- Programaticamente (CLI do Azure, API REST, PowerShell)
Implantando o sensor
- Complemento integrado do AKS – Você pode implantar por meio de:
- portal do Azure
- Programaticamente (CLI do Azure, API REST, modelos de IaC)
- Implantação de gráfico do Helm
- Complemento integrado do AKS – Você pode implantar por meio de:
Exibir sua cobertura atual
O Defender para Nuvem fornece acesso a pastas de trabalho por meio de pastas de trabalho do Azure. Workbooks são relatórios personalizáveis que fornecem insights sobre sua postura de segurança.
A planilha de cobertura ajuda você a entender sua cobertura atual mostrando quais planos estão habilitados em suas assinaturas e recursos.
Próximas etapas
Escolha seu ambiente para começar:
- Implantar no Azure (AKS) – Para implantações nativas do Azure
- Implantar no Kubernetes habilitado para Arc – para ambientes híbridos e locais
- Implantar no EKS (AWS) – para clusters do Amazon EKS
- Implantar no GCP (GKE) – Para clusters do Google GKE
Para obter uma comparação de recursos entre ambientes, consulte a matriz de suporte para o Defender para Contêineres.