通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

通过门户在 AKS 上启用 Defender for Containers

本文介绍如何通过 Azure 门户在 Azure Kubernetes 服务 (AKS) 群集上启用 Microsoft Defender for Containers。 可以选择一次性启用所有安全功能以实现全面的保护,或根据要求有选择地部署特定组件。

何时使用本指南

如果您想使用本指南,请:

  • 首次在 Azure 上设置 Defender for Containers
  • 启用所有安全功能以实现全面保护
  • 有选择地部署特定组件
  • 修复或向现有部署添加缺少的组件
  • 从保护中排除某些群集

先决条件

网络要求

Defender 传感器必须连接到 Microsoft Defender for Cloud 才能发送安全数据和事件。 确保为出站访问配置必要的端点。

连接要求

Defender 传感器需要连接到:

  • Microsoft Defender for Cloud (用于发送安全数据和事件)

默认情况下,AKS 群集具有不受限制的出站(出口)Internet 访问权限。

对于具有受限出口的群集,必须允许特定的 FQDN 以便 Microsoft Defender for Containers 能够正常工作。 有关所需的终结点,请参阅 AKS 出站网络文档中的 Microsoft Defender for Containers - 所需的 FQDN/应用程序规则

如果群集中的事件传出需要使用 Azure Monitor 专用链接范围 (AMPLS),则必须:

  1. 使用容器洞察和 Log Analytics 工作区定义群集

  2. 将群集的 Log Analytics 工作区定义为 AMPLS 中的资源

  3. 在 AMPLS 中创建虚拟网络专用终结点,以下是步骤:

    • 群集的虚拟网络
    • Log Analytics 资源

    虚拟网络专用终结点与专用 DNS 区域集成。

有关说明,请参阅 创建 Azure Monitor 专用链接范围

启用 Defender for Containers 计划

首先,在订阅上启用 Defender for Containers 计划:

  1. 登录到 Azure 门户

  2. 转到 Microsoft Defender for Cloud

  3. 在左侧菜单中,选择“ 环境设置”。

  4. 选择 AKS 群集所在的订阅。

  5. 在 Defender 计划页面上,找到 “容器” 行,并将状态切换为 “启用”

    显示 Defender 计划页上的“容器计划”切换开关的屏幕截图。

配置计划组件

启用计划后,查看并配置组件。 默认情况下,启用 Defender for Containers 计划时会启用所有组件。

  1. 在“容器计划”行中选择 “设置 ”。

  2. “设置”中,可以看到所有可用的组件。

  3. 查看默认启用的组件:

    • 无代理扫描计算机 - 扫描计算机以查找已安装的软件、漏洞和机密扫描,而无需依赖代理或影响计算机性能
    • Defender 传感器 - 在每个工作器节点上部署,收集运行时威胁防护所需的安全相关数据
    • Azure Policy - 作为代理部署在 Kubernetes 群集上。 提供 Kubernetes 数据平面强化
    • Kubernetes API 访问 - 是无代理容器状态、运行时漏洞评估和响应操作所必需的
    • 注册表访问 - 为注册表映像启用无代理漏洞评估

    显示默认情况下已启用 Defender for Containers 组件的屏幕截图。

  4. 您可以:

    • 使所有组件保持启用状态(建议进行全面保护)
    • 禁用不需要的特定组件
    • 如果以前禁用了组件,请重新启用它们

  5. 选择继续

  6. 查看“监视覆盖范围”页,查看哪些资源受到保护。

  7. 选择继续

  8. 查看配置摘要,然后选择“ 保存”。

角色和权限

详细了解用于预配 Defender for Containers 扩展的角色

监视部署进度

保存更改后,Defender for Cloud 会自动开始将所选组件部署到 AKS 群集:

  1. 转到“Microsoft Defender for Cloud”>“建议”。

  2. 资源类型 = Kubernetes 服务筛选建议。

  3. 查找以下关键建议:

    • “Azure Kubernetes 服务群集应启用 Defender 配置文件”
    • “应在群集上安装并启用适用于 Kubernetes 的 Azure Policy”

  4. 选择每个建议以查看受影响的资源和修正进度。

部署 Defender 传感器

重要

使用 Helm 部署 Defender 传感器:与自动预配和更新的其他选项不同,Helm 允许灵活部署 Defender 传感器。 此方法在 DevOps 和基础结构即代码方案中特别有用。 使用 Helm,可以将部署集成到 CI/CD 管道中,并控制所有传感器更新。 还可以选择接收预览版和 GA 版本。 有关使用 Helm 安装 Defender 传感器的说明,请参阅 使用 Helm 安装 Defender for Containers 传感器

启用 Defender 传感器设置时,它会自动部署到订阅中的所有 AKS 群集。 如果禁用自动部署,可以使用以下方法手动部署传感器:

部署到一组选定的 AKS 群集

  1. 转到“Microsoft Defender for Cloud”>“建议”。

  2. 搜索并选择“Azure Kubernetes 服务群集应启用 Defender 配置文件”。

    显示“建议”页的屏幕截图,其中突出显示了搜索结果中的 Azure Kubernetes 服务群集建议。

  3. 选择需要传感器的 AKS 群集。

  4. 选择“修复”。

    建议的屏幕截图,其中显示选中了受影响的资源,指示了如何选择“修复”按钮。

  5. 查看部署配置。

  6. 选择 “修复要部署的 X 资源 ”。

注释

还可以使用 Helm 部署 Defender 传感器,以便更好地控制部署配置。 有关 Helm 部署说明,请参阅 使用 Helm 部署 Defender 传感器

部署到特定的 AKS 群集

若要将 Defender 传感器部署到特定的 AKS 群集,请执行以下作:

  1. 在 Azure 门户中,转到 AKS 群集。

  2. 在群集名称下的左侧菜单中,选择 Microsoft Defender for Cloud

  3. 在群集的“Microsoft Defender for Cloud”页上,选择顶部行中的 “设置” ,找到 Defender 传感器 行,并将其切换到 “打开”。

    Defender 传感器已切换到打开状态的屏幕截图。

  4. 选择“保存”

排除特定群集(可选)

可以通过应用标记从自动预配中排除特定的 AKS 群集:

  1. 转到 AKS 群集。

  2. “概述”下,选择“ 标记”。

  3. 添加以下标记之一:

    • 对于 Defender 传感器: ms_defender_container_exclude_sensors = true
    • 对于 Azure Policy: ms_defender_container_exclude_azurepolicy = true

监视持续安全

设置后,请定期进行后续步骤:

  1. 管理漏洞 - 查看容器映像漏洞扫描的发现
  2. 查看建议 - 处理已识别的 AKS 集群安全问题
  3. 调查警报 - 响应 Defender 传感器检测到的运行时威胁
  4. 跟踪合规性 - 监视遵守安全标准和基准

清理资源

若要禁用 Defender for Containers 并从 AKS 群集中删除所有已部署的组件,请参阅从 Azure 中删除 Defender for Containers(AKS)。

后续步骤

  • Last updated on