Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
O Microsoft Defender for Containers oferece capacidades avançadas de proteção contra ameaças e segurança para os seus ambientes containerizados em múltiplas plataformas. Este guia ajuda-o a escolher o caminho de implementação certo para o seu ambiente Kubernetes.
Ambientes suportados
O Defender for Containers suporta os seguintes ambientes Kubernetes:
- Azure (AKS) - Azure Kubernetes Service
- AWS (EKS) - Serviço Amazon Elastic Kubernetes
- GCP (GKE) - Google Kubernetes Engine
- Arc-enabled Kubernetes (Pré-visualização) - Clusters Kubernetes on-premises e IaaS
Escolha o seu caminho de implementação
Selecione o guia de implementação que corresponde ao seu ambiente Kubernetes:
Azure (AKS)
Para Azure Kubernetes Service clusters, Defender for Containers fornece:
- Integração nativa com serviços Azure
- Implementação automática em todos os clusters numa subscrição
- Não é necessário conector multinuvem
- Funcionalidades de avaliação de vulnerabilidades (VA), incluindo a digitalização do registo para o Azure Container Registry
- Funcionalidades de gestão de postura de segurança, incluindo software de contentores para proteção da cadeia de abastecimento
- Funcionalidades de proteção em tempo de execução, incluindo investigação de deteção e resposta, integradas no Microsoft XDR
- Funcionalidades de proteção da cadeia de fornecimento de software para contentores, incluindo a implementação controlada de imagens de contentores.
AWS (EKS)
Para clusters de serviços Amazon Elastic Kubernetes, o Defender for Containers fornece:
- Gestão centralizada de segurança no Defender for Cloud
- Implementação baseada em conectores AWS, com suporte para modelos CloudFormation
- Funcionalidades de avaliação de vulnerabilidades (VA), incluindo a digitalização do registo para o Elastic Container Registry (ECR)
- Recursos de gerenciamento de postura de segurança
- Funcionalidades de proteção em tempo de execução, incluindo investigação de deteção e resposta, integradas no Microsoft XDR
- Funcionalidades de proteção da cadeia de fornecimento de software para contentores, incluindo a implementação controlada de imagens de contentores.
GCP (GKE)
Para clusters do Google Kubernetes Engine, o Defender for Containers fornece:
- Gestão centralizada de segurança no Defender for Cloud
- Implementação baseada em conector da Google Cloud Platform
- Suporte ao piloto automático GKE
- Funcionalidades de avaliação de vulnerabilidades (VA), incluindo a digitalização de registos para o Google Container Registry (GCR) e o Google Artifact Registry (GAR)
- Recursos de gerenciamento de postura de segurança
- Funcionalidades de proteção em tempo de execução, incluindo investigação de deteção e resposta, integradas no Microsoft XDR
- Funcionalidades de proteção da cadeia de fornecimento de software para contentores, incluindo a implementação controlada de imagens de contentores.
Kubernetes com Arc (Pré-visualização)
Para clusters Kubernetes on-premises e IaaS ligados através do Azure Arc, o Defender for Containers fornece:
- Gestão de segurança na cloud híbrida
- Segurança centralizada através do Azure
- Trabalha com distribuições Kubernetes certificadas pela CNCF
- Funcionalidades de proteção da cadeia de fornecimento de software para contentores, incluindo a implementação controlada de imagens de contentores.
Pré-requisitos
Antes de implementar o Defender para Containers, certifique-se de que tem:
- Uma assinatura ativa do Azure
- Papel de Proprietário ou Contribuinte na subscrição
- Kubernetes cluster versão 1.19 ou posterior
- Conectividade de rede aos serviços Azure
- Para as capacidades baseadas em sensores: Recursos de cluster suficientes para os componentes do Defender - ver detalhes dos componentes do sensor Defender
Observação
As capacidades sem agente não requerem recursos de cluster nem implementação de sensores. Para uma lista detalhada de funcionalidades suportadas, juntamente com a sua disponibilidade e características, consulte a matriz de suporte do Defender for Containers. A matriz de suporte indica se cada funcionalidade é sem agente ou baseada em sensores na coluna do método Enablement .
Possibilitação e opções de implantação
Defender for Containers envolve dois passos principais:
Ativação do plano - Pode ativar o plano através de:
- portal do Azure
- Programmatically (Azure CLI, REST API, PowerShell)
Ativação do sensor
- Addon integrado do AKS - Pode ser implementado através de:
- portal do Azure
- Programaticamente (Azure CLI, REST API, modelos IaC)
- Implementação de Chart do Helm
- Addon integrado do AKS - Pode ser implementado através de:
Veja a sua cobertura atual
O Defender for Cloud fornece acesso a pastas de trabalho por meio de pastas de trabalho do Azure. As pastas de trabalho são relatórios personalizáveis que fornecem informações sobre sua postura de segurança.
A livro de cobertura ajuda a entender a sua cobertura atual, mostrando quais planos estão habilitados nas suas assinaturas e recursos.
Próximos passos
Escolha o seu ambiente para começar:
- Implementar no Azure (AKS) - Para implementações nativas no Azure
- Implementar em Kubernetes com Arc - Para híbridos e on-premises
- Deploy on AWS (EKS) - Para clusters do Amazon EKS
- Implementar no GCP (GKE) - Para clusters do Google GKE
Para uma comparação de funcionalidades entre ambientes, veja Matriz de Suporte para Defender para Containers.