Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo mostra como habilitar o Microsoft Defender para Contêineres em seus clusters do AKS (Serviço de Kubernetes do Azure) por meio do portal do Azure. Você pode optar por habilitar todos os recursos de segurança de uma só vez para proteção abrangente ou implantar seletivamente componentes específicos com base em seus requisitos.
Quando usar este guia
Use este guia se desejar:
- Configurar o Defender para Contêineres no Azure pela primeira vez
- Habilitar todos os recursos de segurança para proteção abrangente
- Implantar seletivamente componentes específicos
- Corrigir ou adicionar componentes ausentes a uma implantação existente
- Excluir alguns clusters específicos da proteção
Pré-requisitos
Requisitos de rede
O sensor do Defender deve se conectar ao Microsoft Defender para Nuvem para enviar dados e eventos de segurança. Verifique se os pontos de extremidade necessários estão configurados para acesso de saída.
Requisitos de conexão
O sensor do Defender precisa de conectividade para:
- Microsoft Defender para Nuvem (para enviar dados e eventos de segurança)
Por padrão, os clusters do AKS têm acesso irrestrito de Internet de saída.
Para clusters com saída restrita, você deve permitir que FQDNs específicos do Microsoft Defender para contêineres funcionem corretamente. Consulte Microsoft Defender para contêineres - Regras obrigatórias de FQDN/aplicação na documentação da rede de saída do AKS para os pontos de extremidade obrigatórios.
Configuração do link privado
Caso a saída do cluster exija o uso de um AMPLS (Escopo de Link Privado) do Azure Monitor, você precisará:
Definir o cluster com os Insights do Contêiner e um workspace de Análise de Logs
Definir o workspace do Log Analytics do cluster como um recurso no AMPLS
Crie um ponto de extremidade privado numa rede virtual no AMPLS entre:
- A rede virtual do cluster
- O recurso do Log Analytics
O ponto de extremidade privado da rede virtual se integra a uma zona DNS privada.
Para obter instruções, consulte Criar um escopo de link privado do Azure Monitor.
Habilitar o plano do Defender para Contêineres
Primeiro, habilite o plano do Defender para Contêineres em sua assinatura:
Entre no portal do Azure.
Vá para o Microsoft Defender para Nuvem.
No menu à esquerda, selecione Configurações de ambiente.
Selecione a assinatura em que os clusters do AKS estão localizados.
Na página de planos do Defender, localize a linha Contêineres e alterne o status para Ativar.
Configurar componentes do plano
Depois de habilitar o plano, examine e configure os componentes. Por padrão, todos os componentes são habilitados quando você ativa o plano Defender para Containers.
Selecione Configurações na linha do plano de contêineres.
Em Configurações, você verá todos os componentes disponíveis.
Examine os componentes habilitados por padrão:
- Verificação sem agente para computadores – verifica seus computadores em busca de software instalado, vulnerabilidades e verificação secreta sem depender de agentes ou afetar o desempenho do computador
- Sensor do Defender – Implantado em cada nó de trabalho, coleta dados relacionados à segurança, necessários para proteção contra ameaças em runtime
- Azure Policy – Implantado como um agente no cluster do Kubernetes. Fornece endurecimento do plano de dados do Kubernetes
- Acesso à API do Kubernetes – Necessário para postura de contêiner sem agente, avaliação de vulnerabilidade de runtime e ações de resposta
- Acesso ao Registro – Habilita a avaliação de vulnerabilidade sem agente para imagens do Registro
É possível:
- Manter todos os componentes habilitados (recomendado para proteção abrangente)
- Desabilitar componentes específicos que você não precisa
- Habilite novamente os componentes se você os desabilitou anteriormente
Selecione Continuar.
Examine a página de cobertura de monitoramento para ver quais recursos estão protegidos.
Selecione Continuar.
Examine o resumo da configuração e selecione Salvar.
Funções e permissões
Saiba mais sobre as funções para provisionar extensões do Defender para contêineres.
Monitorar o progresso da implantação
Depois de salvar suas alterações, o Defender para Nuvem inicia automaticamente a implantação dos componentes selecionados em seus clusters do AKS:
Acesse Microsoft Defender para Nuvem>Recomendações.
Filtrar recomendações portipo de recurso = serviços Kubernetes.
Procure estas recomendações principais:
- "Os clusters do Serviço de Kubernetes do Azure devem ter o perfil do Defender habilitado"
- "O Azure Policy para Kubernetes deve ser instalado e habilitado em seus clusters"
Selecione cada recomendação para ver os recursos afetados e o progresso da correção.
Implantar o sensor do Defender
Importante
Implantando o sensor do Defender usando o Helm: ao contrário de outras opções que são provisionadas automaticamente e atualizadas automaticamente, o Helm permite que você implante o sensor do Defender com flexibilidade. Essa abordagem é especialmente útil em cenários de DevOps e infraestrutura como código. Com o Helm, você pode integrar a implantação em pipelines de CI/CD e controlar todas as atualizações de sensor. Você também pode optar por receber versões de versão prévia e GA. Para obter instruções sobre como instalar o sensor do Defender usando o Helm, consulte Instalar o sensor do Defender para Contêineres usando o Helm.
Quando você habilita a configuração do sensor do Defender, ele é implantado automaticamente em todos os clusters do AKS em sua assinatura. Se você desabilitar a implantação automática, poderá implantar manualmente o sensor usando os seguintes métodos:
Implantar em um grupo selecionado de clusters AKS
Acesse Microsoft Defender para Nuvem>Recomendações.
Pesquise e selecione "Os clusters do Serviço de Kubernetes do Azure devem ter o perfil do Defender habilitado".
Selecione os clusters do AKS que precisam do sensor.
Selecione Corrigir.
Examine a configuração de implantação.
Selecione Corrigir recursos X para implantar.
Observação
Você também pode implantar o sensor do Defender usando o Helm para obter mais controle sobre a configuração de implantação. Para obter instruções de implantação do Helm, consulte Implantar o sensor do Defender usando o Helm.
Implantar em um cluster específico do AKS
Para implantar o sensor do Defender em clusters específicos do AKS:
Vá para o seu cluster AKS no portal do Azure.
No menu à esquerda, no nome do cluster, selecione Microsoft Defender para Nuvem.
Na página do Microsoft Defender para Nuvem do cluster, selecione Configurações na linha superior, localize a linha do sensor do Defender e alterne-a para Ativar.
Clique em Salvar.
Excluir clusters específicos (opcional)
Você pode excluir clusters específicos do AKS do provisionamento automático aplicando marcas:
Vá para o seu cluster AKS.
Em Visão geral, selecione Marcas.
Adicione uma destas etiquetas:
- Para sensor do Defender:
ms_defender_container_exclude_sensors=true - Para Azure Policy:
ms_defender_container_exclude_azurepolicy=true
- Para sensor do Defender:
Monitorar a segurança continuamente
Após a configuração inicial, regularmente:
- Gerenciar vulnerabilidades – examinar as conclusões das verificações de vulnerabilidade de imagem de contêiner
- Revisar recomendações – Resolver problemas de segurança identificados para seus clusters do AKS
- Investigar alertas – Responder a ameaças de runtime detectadas pelo sensor do Defender
- Acompanhar a conformidade – Monitorar a adesão a padrões de segurança e parâmetros de comparação
Limpar os recursos
Para desabilitar o Defender para Contêineres e remover todos os componentes implantados dos clusters do AKS, consulte Remover o Defender para Contêineres do Azure (AKS).