Defender for Containers är utformat på olika sätt för varje Kubernetes-miljö oavsett om de körs i:
Azure Kubernetes Service (AKS) – Microsofts hanterade tjänst för att utveckla, distribuera och hantera containerbaserade program.
Amazon Elastic Kubernetes Service (EKS) på ett anslutet AWS-konto (Amazon Web Services) – Amazons hanterade tjänst för att köra Kubernetes på AWS utan att behöva installera, använda och underhålla ett eget Kubernetes-kontrollplan eller -noder.
Google Kubernetes Engine (GKE) i ett anslutet GCP-projekt (Google Cloud Platform) – Googles hanterade miljö för distribution, hantering och skalning av program med GCP-infrastruktur.
En ohanterad Kubernetes-distribution (med Azure Arc-aktiverade Kubernetes) – CNCF-certifierade Kubernetes-kluster (Cloud Native Computing Foundation) som finns lokalt eller på IaaS.
Kommentar
Defender for Containers-stöd för Arc-aktiverade Kubernetes-kluster (AWS EKS och GCP GKE) är en förhandsversionsfunktion.
För att skydda dina Kubernetes-containrar tar Defender för containrar emot och analyserar:
Granska loggar och säkerhetshändelser från API-servern
Klusterkonfigurationsinformation från kontrollplanet
Arbetsbelastningskonfiguration från Azure Policy
Säkerhetssignaler och händelser från nodnivån
Mer information om implementeringsinformation som operativsystem som stöds, funktionstillgänglighet, utgående proxy finns i Tillgänglighet för funktioner i Defender för containrar.
Arkitekturdiagram över Defender för molnet och AKS-kluster
När Defender för molnet skyddar ett kluster som finns i Azure Kubernetes Service är insamlingen av granskningsloggdata agentlös och samlas in automatiskt via Azure-infrastrukturen utan extra kostnad eller konfigurationsöverväganden. Det här är de komponenter som krävs för att få det fullständiga skydd som erbjuds av Microsoft Defender för containrar:
Defender-sensor: DaemonSet som distribueras på varje nod, samlar in signaler från värdar med hjälp av eBPF-teknik och ger körningsskydd. Sensorn registreras med en Log Analytics-arbetsyta och används som en datapipeline. Granskningsloggdata lagras dock inte på Log Analytics-arbetsytan. Defender-sensorn distribueras som en AKS-säkerhetsprofil.
Azure Policy for Kubernetes: En podd som utökar Gatekeeper v3 med öppen källkod och registreras som en webbkrok till Kubernetes-åtkomstkontroll, vilket gör det möjligt att tillämpa skalbara tillämpningsåtgärder och skydd på dina kluster på ett centraliserat och konsekvent sätt. Azure Policy for Kubernetes-podden distribueras som ett AKS-tillägg. Den installeras bara på en nod i klustret. Mer information finns i Skydda dina Kubernetes-arbetsbelastningar och Förstå Azure Policy för Kubernetes-kluster.
En uppsättning containrar som fokuserar på att samla in inventerings- och säkerhetshändelser från Kubernetes-miljön som inte är begränsade till en specifik nod.
Hur fungerar agentlös identifiering för Kubernetes i Azure?
Identifieringsprocessen baseras på ögonblicksbilder som tas med jämna mellanrum:
När du aktiverar den agentlösa identifieringen för Kubernetes-tillägget sker följande process:
Skapa:
Om tillägget är aktiverat från Defender CSPM skapar Defender för molnet en identitet i kundmiljöer med namnet CloudPosture/securityOperator/DefenderCSPMSecurityOperator.
Om tillägget är aktiverat från Defender för containrar skapar Defender för molnet en identitet i kundmiljöer med namnet CloudPosture/securityOperator/DefenderForContainersSecurityOperator.
Tilldela: Defender för molnet tilldelar en inbyggd roll med namnet Kubernetes Agentless Operator till den identiteten i prenumerationsomfånget. Rollen innehåller följande behörigheter:
Upptäck: Med hjälp av den systemtilldelade identiteten utför Defender för molnet en identifiering av AKS-klustren i din miljö med hjälp av API-anrop till API-servern i AKS.
Bindning: Vid identifiering av ett AKS-kluster utför Defender för molnet en AKS-bindningsåtgärd genom att skapa en ClusterRoleBinding mellan den skapade identiteten och Kubernetes ClusterRoleaks:trustedaccessrole:defender-containers:microsoft-defender-operator. ClusterRole Är synligt via API:et och ger Defender for Cloud-dataplanet läsbehörighet i klustret.
Kommentar
Den kopierade ögonblicksbilden finns kvar i samma region som klustret.
Arkitekturdiagram över Defender för molnet och Arc-aktiverade Kubernetes-kluster
Dessa komponenter krävs för att få det fullständiga skydd som erbjuds av Microsoft Defender för containrar:
Azure Arc-aktiverade Kubernetes – Azure Arc-aktiverade Kubernetes – En sensorbaserad lösning, installerad på en nod i klustret, som ansluter dina kluster till Defender för molnet. Defender for Cloud kan sedan distribuera följande två agenter som Arc-tillägg:
Defender-sensor: DaemonSet som distribueras på varje nod samlar in värdsignaler med hjälp av eBPF-teknik och Kubernetes-granskningsloggar för att tillhandahålla körningsskydd. Sensorn registreras med en Log Analytics-arbetsyta och används som en datapipeline. Granskningsloggdata lagras dock inte på Log Analytics-arbetsytan. Defender-sensorn distribueras som ett Arc-aktiverat Kubernetes-tillägg.
Azure Policy for Kubernetes: En podd som utökar Gatekeeper v3 med öppen källkod och registreras som en webbkrok till Kubernetes-åtkomstkontroll, vilket gör det möjligt att tillämpa skalbara tillämpningsåtgärder och skydd på dina kluster på ett centraliserat och konsekvent sätt. Den installeras bara på en nod i klustret. Mer information finns i Skydda dina Kubernetes-arbetsbelastningar och Förstå Azure Policy för Kubernetes-kluster.
Kommentar
Defender for Containers-stöd för Arc-aktiverade Kubernetes-kluster är en förhandsversionsfunktion.
Arkitekturdiagram över Defender för molnet och EKS-kluster
När Defender för molnet skyddar ett kluster som finns i Elastic Kubernetes Service är insamlingen av granskningsloggdata agentlös. Det här är de komponenter som krävs för att få det fullständiga skydd som erbjuds av Microsoft Defender för containrar:
Kubernetes-granskningsloggar – AWS-kontots CloudWatch aktiverar och samlar in granskningsloggdata via en agentlös insamlare och skickar den insamlade informationen till Microsoft Defender for Cloud-serverdelen för ytterligare analys.
Azure Arc-aktiverade Kubernetes – Azure Arc-aktiverade Kubernetes – En sensorbaserad lösning, installerad på en nod i klustret, som ansluter dina kluster till Defender för molnet. Defender for Cloud kan sedan distribuera följande två agenter som Arc-tillägg:
Defender-sensor: DaemonSet som distribueras på varje nod, samlar in signaler från värdar med hjälp av eBPF-teknik och ger körningsskydd. Sensorn registreras med en Log Analytics-arbetsyta och används som en datapipeline. Granskningsloggdata lagras dock inte på Log Analytics-arbetsytan. Defender-sensorn distribueras som ett Arc-aktiverat Kubernetes-tillägg.
Azure Policy for Kubernetes: En podd som utökar Gatekeeper v3 med öppen källkod och registreras som en webbkrok till Kubernetes-åtkomstkontroll, vilket gör det möjligt att tillämpa skalbara tillämpningsåtgärder och skydd på dina kluster på ett centraliserat och konsekvent sätt. Azure Policy for Kubernetes-podden distribueras som ett Arc-aktiverat Kubernetes-tillägg. Den installeras bara på en nod i klustret. Mer information finns i Skydda dina Kubernetes-arbetsbelastningar och Förstå Azure Policy för Kubernetes-kluster.
Hur fungerar agentlös identifiering för Kubernetes i AWS?
Identifieringsprocessen baseras på ögonblicksbilder som tas med jämna mellanrum:
När du aktiverar den agentlösa identifieringen för Kubernetes-tillägget sker följande process:
Skapa:
Defender for Cloud-rollen MDCContainersAgentlessDiscoveryK8sRole måste läggas till i aws-auth ConfigMap för EKS-klustren. Namnet kan anpassas.
Tilldela: Defender for Cloud tilldelar rollen MDCContainersAgentlessDiscoveryK8sRole följande behörigheter:
eks:UpdateClusterConfig
eks:DescribeCluster
Upptäck: Med hjälp av den systemtilldelade identiteten utför Defender för molnet en identifiering av EKS-klustren i din miljö med hjälp av API-anrop till API-servern för EKS.
Kommentar
Den kopierade ögonblicksbilden finns kvar i samma region som klustret.
Arkitekturdiagram över Defender för molnet och GKE-kluster
När Defender för molnet skyddar ett kluster som finns i Google Kubernetes Engine är insamlingen av granskningsloggdata agentlös. Det här är de komponenter som krävs för att få det fullständiga skydd som erbjuds av Microsoft Defender för containrar:
Kubernetes-granskningsloggar – GCP Cloud Logging aktiverar och samlar in granskningsloggdata via en agentlös insamlare och skickar den insamlade informationen till Microsoft Defender for Cloud-serverdelen för ytterligare analys.
Azure Arc-aktiverade Kubernetes – Azure Arc-aktiverade Kubernetes – En sensorbaserad lösning, installerad på en nod i klustret, som gör att dina kluster kan ansluta till Defender för molnet. Defender for Cloud kan sedan distribuera följande två agenter som Arc-tillägg:
Defender-sensor: DaemonSet som distribueras på varje nod, samlar in signaler från värdar med hjälp av eBPF-teknik och ger körningsskydd. Sensorn registreras med en Log Analytics-arbetsyta och används som en datapipeline. Granskningsloggdata lagras dock inte på Log Analytics-arbetsytan.
Azure Policy for Kubernetes: En podd som utökar Gatekeeper v3 med öppen källkod och registreras som en webbkrok till Kubernetes-åtkomstkontroll, vilket gör det möjligt att tillämpa skalbara tillämpningsåtgärder och skydd på dina kluster på ett centraliserat och konsekvent sätt. Azure Policy for Kubernetes-podden distribueras som ett Arc-aktiverat Kubernetes-tillägg. Den behöver bara installeras på en nod i klustret. Mer information finns i Skydda dina Kubernetes-arbetsbelastningar och Förstå Azure Policy för Kubernetes-kluster.
Hur fungerar agentlös identifiering för Kubernetes i GCP?
Identifieringsprocessen baseras på ögonblicksbilder som tas med jämna mellanrum:
När du aktiverar den agentlösa identifieringen för Kubernetes-tillägget sker följande process:
Skapa:
Tjänstkontot mdc-containers-k8s-operator skapas. Namnet kan anpassas.
Tilldela: Defender för molnet kopplar följande roller till tjänstkontot mdc-containers-k8s-operator:
Den anpassade rollen MDCGkeClusterWriteRole, som har behörigheten container.clusters.update
Den inbyggda rollen container.viewer
Upptäck: Med hjälp av den systemtilldelade identiteten utför Defender for Cloud en identifiering av GKE-klustren i din miljö med hjälp av API-anrop till API-servern för GKE.
Kommentar
Den kopierade ögonblicksbilden finns kvar i samma region som klustret.
Nästa steg
I den här översikten har du lärt dig om arkitekturen för containersäkerhet i Microsoft Defender för molnet. Information om hur du aktiverar planen finns i:
