共用方式為

透過入口網站啟用 AKS 上的 Defender for Containers

本文將說明如何透過 Azure 入口網站,在你的 Azure Kubernetes Service(AKS)叢集上啟用 Microsoft Defender for Containers。 您可以選擇一次性啟用所有安全功能以達到全面保護,或根據需求選擇性部署特定元件。

何時使用本指南

如果你想的話,請參考這份指南:

  • 首次在Azure上設置Defender for Containers
  • 啟用所有安全功能以全面保護
  • 選擇性部署特定元件
  • 修正或新增現有部署中缺少的元件
  • 將某些叢集排除在保護之外

先決條件

網路需求

Defender 感測器必須連接到 Microsoft Defender for Cloud,才能傳送安全資料和事件。 確保所需的端點已設定為外站存取。

連線需求

Defender 感測器需要連接以下功能:

  • Microsoft Defender for Cloud(用於傳送安全資料與事件)

根據預設,AKS 叢集具有不受限制的輸出 (連出) 網際網路存取。

對於有限制出口的叢集,你必須允許特定的 FQDN 讓 Microsoft Defender for Containers 正常運作。 請參閱 AKS 外站網路文件中的 Microsoft Defender for Containers - 必須的 FQDN/應用規則 以了解相關端點。

如果叢集的事件輸出需要使用 Azure 監視器私人連結範圍 (AMPLS),您必須:

  1. 以容器洞察與日誌分析工作區定義叢集

  2. 在 AMPLS 中將叢集的日誌分析工作空間定義為資源

  3. 在 AMPLS 中建立虛擬網路私人端點,介於:

    • 叢集的虛擬網路
    • 日誌分析資源

    虛擬網路私人端點會與私人 DNS 區域整合。

相關說明請參見 「建立 Azure Monitor 私有連結範圍」。

啟用 Defender for Containers 計畫

首先,在您的訂閱中啟用 Defender for Containers 方案:

  1. 登入 Azure 入口網站

  2. 前往 適用於雲端的 Microsoft Defender

  3. 在左側選單中,選擇 環境設定

  4. 選擇包含您的 AKS 叢集的訂閱。

  5. 在 Defender 的計畫頁面,找到 容器 列,並將狀態切換為 開啟

    顯示 Defender 方案頁面上的容器方案切換開關的螢幕擷取畫面。

設定方案組件

啟用計畫後,檢視並配置各元件。 預設情況下,當你開啟 Defender for Containers 方案時,所有元件都會被啟用。

  1. 在容器計畫列中選擇 設定

  2. 設定裡,你會看到所有可用的元件。

  3. 檢視預設啟用的元件:

    • 機器無代理掃描 ——在不依賴代理或影響機器效能的情況下,掃描您的機器以偵測已安裝的軟體、漏洞及秘密掃描
    • Defender 感測器 - 部署於每個工作節點,收集安全相關資料,為執行時威脅防護所必需
    • Azure Policy - 部署為 Kubernetes 叢集上的代理程式。 提供 Kubernetes 資料平面硬化
    • Kubernetes API 存取——用於無代理容器狀態、執行時漏洞評估及回應措施
    • 登錄檔存取 - 啟用註冊表映像檔的無代理漏洞評估

    截圖顯示 Defender for Containers 元件預設已啟用。

  4. 您可以:

    • 保持所有元件啟用(建議以達到全面保護)
    • 停用你不需要的特定元件
    • 如果你之前停用了元件,請重新啟用

  5. 選取繼續

  6. 請查看監控覆蓋頁面,了解哪些資源受到保護。

  7. 選取繼續

  8. 檢視設定摘要並選擇 儲存

角色和權限

深入了解佈建適用於容器的 Defender 延伸模組的角色 (部分內容可能是機器或 AI 翻譯)。

監視部署進度

儲存變更後,Defender for Cloud 會自動開始將選定元件部署到你的 AKS 叢集:

  1. 移至 Microsoft Defender for Cloud>建議

  2. 資源類型 = 篩選Kubernetes 服務的推薦。

  3. 請參考以下主要建議:

    • 「Azure Kubernetes Service 叢集應已啟用 Defender 設定檔」
    • 「Azure Policy for Kubernetes 應該安裝並啟用於你的叢集上」

  4. 選擇每項建議即可查看受影響的資源及整治進度。

部署 Defender 感應器

這很重要

使用 Helm 部署 Defender 感測器:與自動布建和更新的其他選項不同,Helm 可讓您彈性部署 Defender 感測器。 此方法在DevOps和基礎結構即程式代碼案例中特別有用。 透過 Helm,您可以將部署整合到 CI/CD 管線中,並控制所有感測器更新。 您也可以選擇接收預覽和 GA 版本。 如需使用 Helm 安裝 Defender 感測器的指示,請參閱 使用 Helm 安裝適用於容器的 Defender 感測器

當你啟用 Defender 感測器設定時,它會自動部署到你訂閱內的所有 AKS 叢集。 如果您關閉自動部署,您可以透過以下方法手動部署感測器:

部署至一組選定的 AKS 叢集

  1. 移至 Microsoft Defender for Cloud>建議

  2. 搜尋並選取「Azure Kubernetes Service 叢集應已啟用 Defender 設定檔」。

    顯示推薦頁面的截圖,搜尋結果中標示了 Azure Kubernetes Service 叢集推薦。

  3. 選擇需要感測器的 AKS 叢集。

  4. 選取 [修正]

    選擇受影響資源後的建議截圖,顯示如何選擇修正按鈕。

  5. 檢視部署設定。

  6. 選擇 Fix X 資源 來部署。

備註

你也可以用 Helm 來部署 Defender 感測器,這樣可以更好地控制部署配置。 關於 Helm 的部署說明,請參見 「使用 Helm 部署 Defender 感測器」。

部署到特定的 AKS 叢集

要將 Defender 感測器部署到特定的 AKS 叢集:

  1. 在 Azure 平台中,進入 AKS 叢集。

  2. 在叢集名稱下方的左側選單中,選擇 Microsoft Defender for Cloud

  3. 在您的叢集的 Microsoft Defender for Cloud 頁面中,選擇上方的 設定,找到 Defender 感測器 區段,切換上 開啟

    Defender 傳感器切換為開啟狀態的截圖。

  4. 選取 [儲存]。

排除特定叢集(可選)

你可以透過套用標籤,將特定 AKS 叢集排除在自動配置之外:

  1. 移至您的 AKS 叢集。

  2. 概覽中,選擇 標籤

  3. 請加上以下標籤之一:

    • 關於 Defender 感測器: ms_defender_container_exclude_sensors = true
    • 對於 Azure Policy: ms_defender_container_exclude_azurepolicy = true

持續監控安全狀態

設定完成後,定期:

  1. 管理漏洞 - 檢視容器影像漏洞掃描的發現
  2. 檢視建議 - 解決你 AKS 叢集所識別的安全問題
  3. 調查警示 - 回應 Defender 感測器偵測到的執行時威脅
  4. 追蹤合規性:監控安全標準與基準的遵守情況

清理資源

要停用 Defender for Containers 並從你的 AKS 叢集中移除所有已部署的元件,請參見 「從 Azure 移除 Defender for Containers (AKS)」。

後續步驟

  • Last updated on