Deploye o Defender for Containers no Azure (AKS) de forma programática

Este artigo descreve métodos para implementar programaticamente o Microsoft Defender for Containers nos seus clusters Azure Kubernetes Service (AKS).

Sugestão

Para uma experiência guiada no portal, consulte Ativar o Defender para Containers via portal.

Pré-requisitos

Requisitos de rede

O sensor Defender deve ligar-se ao Microsoft Defender for Cloud para enviar dados e eventos de segurança. Certifique-se de que os endpoints necessários estão configurados para acesso de saída.

Requisitos de ligação

O sensor Defender precisa de conectividade para:

Microsoft Defender for Cloud (para enviar dados e eventos de segurança)

Por predefinição, os clusters do AKS têm acesso à Internet de saída sem restrições.

Para clusters com saída restrita, deve permitir que FQDNs específicos para o Microsoft Defender for Containers funcionem corretamente. Consulte Microsoft Defender for Containers - Regras FQDN/aplicações obrigatórias na documentação de rede de saída do AKS para os endpoints necessários.

Configuração de link privado

Se a saída de eventos do cluster exigir o uso de um Escopo de Link Privado do Azure Monitor (AMPLS), você deverá:

Defina o cluster com insights de Container e um espaço de trabalho de Log Analytics
Defina o espaço de trabalho de Log Analytics do cluster como um recurso no AMPLS
Crie um endpoint privado de rede virtual no AMPLS entre:
- A rede virtual do cluster
- O recurso de Análise de Registos
O ponto de extremidade privado da rede virtual integra-se com uma zona DNS privada.

Para instruções, consulte Criar um Âmbito de Ligação Privada do Azure Monitor.

Além disso, certifique-se de que tem:

Azure CLI version 2.40.0 ou posterior
Permissões RBAC apropriadas (Contribuidor ou Administrador de Segurança)

Ativar o plano do Defender para Contentores

Para ativar o plano Defender for Containers na sua subscrição, veja Ativar o Microsoft Defender para a Cloud. Pode ativar o plano através do portal Azure, API REST ou Azure Policy.

Implantar o sensor Defender

Quando ativa o plano Defender para Containers, o sensor Defender é implantado automaticamente nos clusters AKS por predefinição.

Se o provisionamento automático estiver desativado, ou se precisar de implantar manualmente o sensor, use um dos seguintes métodos.

Azure CLI
Modelo ARM

Para implantar o sensor Defender num cluster AKS específico:

az aks update \
    --resource-group myResourceGroup \
    --name myAKSCluster \
    --enable-defender

Para implementar com um espaço de trabalho personalizado de Log Analytics:

az aks update \
    --resource-group myResourceGroup \
    --name myAKSCluster \
    --enable-defender \
    --defender-config logAnalyticsWorkspaceResourceId=/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}

Implemente o seguinte modelo ARM para ativar o sensor Defender num cluster AKS:

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "clusterName": {
      "type": "string"
    },
    "location": {
      "type": "string"
    },
    "workspaceResourceId": {
      "type": "string"
    }
  },
  "resources": [
    {
      "type": "Microsoft.ContainerService/managedClusters",
      "apiVersion": "2023-01-01",
      "name": "[parameters('clusterName')]",
      "location": "[parameters('location')]",
      "properties": {
        "securityProfile": {
          "defender": {
            "logAnalyticsWorkspaceResourceId": "[parameters('workspaceResourceId')]",
            "securityMonitoring": {
              "enabled": true
            }
          }
        }
      }
    }
  ]
}

Implemente o modelo usando a CLI do Azure:

az deployment group create \
    --resource-group myResourceGroup \
    --template-file defender-aks.json \
    --parameters clusterName=myAKSCluster location=eastus workspaceResourceId=/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}

Implementar o add-on da Azure Policy

O complemento Azure Policy para AKS permite-lhe aplicar aplicações e salvaguardas em larga escala nos seus clusters de forma centralizada e consistente.

Para ativar o complemento Azure Policy:

az aks enable-addons \
    --addons azure-policy \
    --name myAKSCluster \
    --resource-group myResourceGroup

Implementar componentes utilizando recomendações

Também pode implementar capacidades manualmente usando as recomendações do Defender for Cloud:

Sensor	Recommendation
Sensor Defender para Kubernetes	Os clusters do Serviço Kubernetes do Azure devem ter o perfil do Defender habilitado
Sensor Defender para Kubernetes habilitado para Azure Arc	Os clusters Kubernetes habilitados para Azure Arc devem ter a extensão Defender instalada
Agente de Política do Azure para Kubernetes	Os clusters do Serviço Kubernetes do Azure devem ter o Complemento de Política do Azure para Kubernetes instalado
Agente de Política do Azure para Kubernetes habilitado para Azure Arc	Os clusters Kubernetes habilitados para Azure Arc devem ter a extensão Azure Policy instalada

Próximos passos

Feedback

Esta página foi útil?

Last updated on 2025-12-04