Partilhar via

Ativar o Defender para Containers no AKS através do portal

Este artigo mostra-lhe como ativar o Microsoft Defender para Containers nos seus clusters Azure Kubernetes Service (AKS) através do portal Azure. Pode optar por ativar todas as funcionalidades de segurança de uma só vez para proteção abrangente, ou implementar seletivamente componentes específicos consoante as suas necessidades.

Quando usar este guia

Use este guia se quiser:

  • Configurei o Defender para Containers no Azure pela primeira vez
  • Ativem todas as funcionalidades de segurança para uma proteção abrangente
  • Implantar seletivamente componentes específicos
  • Corrigir ou adicionar componentes em falta a uma implementação existente
  • Excluir certos aglomerados da proteção

Pré-requisitos

Requisitos de rede

O sensor Defender deve ligar-se ao Microsoft Defender for Cloud para enviar dados e eventos de segurança. Certifique-se de que os endpoints necessários estão configurados para acesso de saída.

Requisitos de ligação

O sensor Defender precisa de conectividade para:

  • Microsoft Defender for Cloud (para enviar dados e eventos de segurança)

Por predefinição, os clusters do AKS têm acesso à Internet de saída sem restrições.

Para clusters com saída restrita, deve permitir que FQDNs específicos para o Microsoft Defender for Containers funcionem corretamente. Consulte Microsoft Defender for Containers - Regras FQDN/aplicações obrigatórias na documentação de rede de saída do AKS para os endpoints necessários.

Se a saída de eventos do cluster exigir o uso de um Escopo de Link Privado do Azure Monitor (AMPLS), você deverá:

  1. Defina o cluster com insights de Container e um espaço de trabalho de Log Analytics

  2. Defina o espaço de trabalho de Log Analytics do cluster como um recurso no AMPLS

  3. Crie um endpoint privado de rede virtual no AMPLS entre:

    • A rede virtual do cluster
    • O recurso de Análise de Registos

    O ponto de extremidade privado da rede virtual integra-se com uma zona DNS privada.

Para instruções, consulte Criar um Âmbito de Ligação Privada do Azure Monitor.

Ativar o plano do Defender para Contentores

Primeiro, ative o plano Defender for Containers na sua subscrição:

  1. Inicie sessão no portal Azure.

  2. Aceda ao Microsoft Defender para a Cloud.

  3. No menu esquerdo, selecione Definições de ambiente.

  4. Selecione a subscrição onde estão localizados os seus clusters AKS.

  5. Na página de planos do Defender, localize a linha Containers e alterne o estado para Ligado.

    Captura de ecrã que mostra o interruptor do plano Containers na página dos planos do Defender.

Configurar componentes do plano

Depois de ativares o plano, revê e configura os componentes. Por defeito, todos os componentes estão ativados quando ativas o plano Defender for Containers.

  1. Selecione Definições na linha do plano de Contentores.

  2. Nas Definições, vês todos os componentes disponíveis.

  3. Revise os componentes que estão ativados por defeito:

    • Varredura sem agente para máquinas - Analisa as suas máquinas para software instalado, vulnerabilidades e varredura secreta sem depender de agentes ou afetar o desempenho da máquina
    • Sensor Defender - Implementado em cada nó de trabalho, recolhe dados relacionados com a segurança, necessários para proteção contra ameaças em tempo de execução
    • Azure Policy - Implementado como agente no seu cluster Kubernetes. Fornece fortalecimento do plano de dados do Kubernetes
    • Acesso à API Kubernetes - Necessário para postura de contentores sem agente, avaliação de vulnerabilidades em tempo de execução e ações de resposta
    • Acesso ao registo - Permite a avaliação de vulnerabilidades sem agente para imagens do registo

    Captura de ecrã que mostra componentes do Defender for Containers ativados por defeito.

  4. É possível:

    • Mantenha todos os componentes ativados (recomendado para proteção abrangente)
    • Desativa componentes específicos de que não precisas
    • Reativar componentes se já os desativaste anteriormente

  5. Selecione Continuar.

  6. Consulte a página de cobertura de monitorização para ver que recursos estão protegidos.

  7. Selecione Continuar.

  8. Consulte o resumo de configuração e selecione Guardar.

Funções e permissões

Saiba mais sobre as funções de provisionamento de extensões do Defender for Containers.

Monitorar o progresso da implantação

Depois de guardar as suas alterações, o Defender for Cloud começa automaticamente a implementar os componentes selecionados nos seus clusters AKS:

  1. Vá para Recomendações do >

  2. Filtrar recomendações por tipo = de recursoServiços Kubernetes.

  3. Procure estas recomendações principais:

    • "Os clusters de serviços Azure Kubernetes devem ter o perfil Defender ativado"
    • "A Política Azure para Kubernetes deve ser instalada e ativada nos seus clusters"

  4. Selecione cada recomendação para ver os recursos afetados e o progresso da remediação.

Implantar o sensor Defender

Importante

Implantando o sensor Defender usando o Helm: Ao contrário de outras opções que são provisionadas automaticamente e atualizadas automaticamente, o Helm permite que você implante o sensor Defender de forma flexível. Essa abordagem é especialmente útil em cenários de DevOps e infraestrutura como código. Com o Helm, você pode integrar a implantação em pipelines de CI/CD e controlar todas as atualizações de sensores. Você também pode optar por receber as versões de pré-visualização e de disponibilidade geral (GA). Para obter instruções sobre como instalar o sensor Defender usando o Helm, consulte Instalar o sensor Defender for Containers usando o Helm.

Quando ativas a definição do sensor Defender, ela é automaticamente implementada em todos os clusters AKS da tua subscrição. Se desativar a implementação automática, pode implementar manualmente o sensor usando os seguintes métodos:

Implementar em um grupo selecionado de clusters AKS

  1. Vá para Recomendações do >

  2. Procure e selecione "Azure Kubernetes Service clusters devem ter o perfil Defender ativado".

    Captura de ecrã mostrando a página de recomendações com a recomendação do cluster de serviços Azure Kubernetes destacada nos resultados da pesquisa.

  3. Selecione os clusters AKS que precisam do sensor.

  4. Selecione Corrigir.

    Captura de ecrã da recomendação com os recursos afetados selecionados que mostra como selecionar o botão de correção.

  5. Revê a configuração de implementação.

  6. Selecione os recursos Fix X para implementar.

Observação

Também pode implementar o sensor Defender usando o Helm para maior controlo sobre a configuração de implantação. Para obter instruções sobre a implantação com o Helm, consulte Implantar o sensor Defender usando o Helm.

Implementar para um cluster AKS específico

Para implantar o sensor Defender em clusters AKS específicos:

  1. Aceda ao cluster do AKS no portal do Azure.

  2. No menu esquerdo, sob o nome do cluster, selecione Microsoft Defender for Cloud.

  3. Na página Microsoft Defender for Cloud do seu cluster, selecione Definições na linha superior, localize a linha do sensor Defender e alterne para Ativado.

    Captura de ecrã do sensor Defender ligado.

  4. Selecione Guardar.

Excluir clusters específicos (opcional)

Pode excluir clusters AKS específicos do provisionamento automático aplicando etiquetas:

  1. Aceda ao seu cluster do AKS.

  2. Em Visão Geral, selecione Etiquetas.

  3. Adicione uma destas etiquetas:

    • Para o sensor Defender: ms_defender_container_exclude_sensors = true
    • For Azure Policy: ms_defender_container_exclude_azurepolicy = true

Monitorizar a segurança contínua

Após a configuração, com regularidade:

  1. Gerir vulnerabilidades - Rever as conclusões das varreduras de vulnerabilidades de imagens de contentores
  2. Revisão das recomendações - Abordar questões de segurança identificadas para os seus clusters AKS
  3. Alertas de investigação - Responder a ameaças em tempo de execução detetadas pelo sensor Defender
  4. Acompanhar a conformidade - Monitorizar a conformidade com normas e benchmarks de segurança

Limpeza de recursos

Para desativar o Defender for Containers e remover todos os componentes implementados dos seus clusters AKS, veja Remover Defender for Containers do Azure (AKS).

Próximos passos

  • Last updated on