Kapsayıcılar için Defender, her Kubernetes ortamı için farklı şekilde tasarlanmıştır ve bunlar şu ortamlarda çalışır:
Azure Kubernetes Service (AKS) - Microsoft'un kapsayıcılı uygulamaları geliştirmeye, dağıtmaya ve yönetmeye yönelik yönetilen hizmeti.
Bağlı bir Amazon Web Services (AWS) hesabında Amazon Elastic Kubernetes Service (EKS) - Amazon'un Kendi Kubernetes denetim düzleminizi veya düğümlerinizi yüklemenize, çalıştırmanıza ve bakımını yapmanıza gerek kalmadan AWS üzerinde Kubernetes çalıştırmaya yönelik yönetilen hizmeti.
Bağlı bir Google Cloud Platform (GCP) projesinde Google Kubernetes Engine (GKE) - GcP altyapısını kullanarak uygulamaları dağıtmak, yönetmek ve ölçeklendirmek için Google'ın yönetilen ortamı.
Yönetilmeyen bir Kubernetes dağıtımı (Azure Arc özellikli Kubernetes kullanılarak) - Şirket içinde veya IaaS'de barındırılan Cloud Native Computing Foundation (CNCF) sertifikalı Kubernetes kümeleri.
Not
Arc özellikli Kubernetes kümeleri (AWS EKS ve GCP GKE) için Kapsayıcılar için Defender desteği bir önizleme özelliğidir.
Kubernetes kapsayıcılarınızı korumak için Kapsayıcılar için Defender şunları alır ve analiz eder:
API sunucusundan denetim günlükleri ve güvenlik olayları
Bulut için Defender ve AKS kümelerinin mimari diyagramı
Bulut için Defender Azure Kubernetes Service'te barındırılan bir kümeyi koruduğunda, denetim günlüğü verilerinin toplanması aracısızdır ve ek maliyet veya yapılandırma konuları olmadan Azure altyapısı aracılığıyla otomatik olarak toplanır. Kapsayıcılar için Microsoft Defender tarafından sunulan tam korumayı almak için gerekli bileşenler şunlardır:
Defender algılayıcısı: Her düğümde dağıtılan DaemonSet, eBPF teknolojisini kullanarak konaklardan sinyal toplar ve çalışma zamanı koruması sağlar. Algılayıcı bir Log Analytics çalışma alanına kaydedilir ve veri işlem hattı olarak kullanılır. Ancak denetim günlüğü verileri Log Analytics çalışma alanında depolanmaz. Defender algılayıcısı AKS Güvenlik profili olarak dağıtılır.
Kubernetes için Azure İlkesi: Açık kaynak Gatekeeper v3'lerini genişleten ve kubernetes erişim denetimine bir web kancası olarak kaydolan bir pod, büyük ölçekte zorlamalar uygulamayı mümkün hale getirir ve kümelerinizde merkezi ve tutarlı bir şekilde koruma sağlar. Kubernetes podunun Azure İlkesi AKS eklentisi olarak dağıtılır. Kümedeki yalnızca bir düğüme yüklenir. Daha fazla bilgi için bkz. Kubernetes iş yüklerinizi koruma ve Kubernetes kümeleri için Azure İlkesi anlama.
* Kaynak sınırları yapılandırılamaz; Kubernetes kaynak sınırları hakkında daha fazla bilgi edinin.
Azure'da Kubernetes için aracısız bulma nasıl çalışır?
Bulma işlemi, aralıklarla alınan anlık görüntüleri temel alır:
Kubernetes uzantısı için aracısız bulmayı etkinleştirdiğinizde aşağıdaki işlem gerçekleşir:
Oluştur:
Uzantı Defender CSPM'den etkinleştirildiyse Bulut için Defender adlı CloudPosture/securityOperator/DefenderCSPMSecurityOperatormüşteri ortamlarında bir kimlik oluşturur.
Uzantı Kapsayıcılar için Defender'dan etkinleştirildiyse Bulut için Defender adlı CloudPosture/securityOperator/DefenderForContainersSecurityOperatormüşteri ortamlarında bir kimlik oluşturur.
Ata: Bulut için Defender, abonelik kapsamındaki bu kimliğe Kubernetes Aracısız İşleci adlı yerleşik bir rol atar. Rol aşağıdaki izinleri içerir:
AKS okuma (Microsoft.ContainerService/managedClusters/read)
AKS Güvenilen Erişimi hakkında daha fazla bilgi edinin.
Bulma: Sistem tarafından atanan kimliği kullanarak Bulut için Defender AKS'nin API sunucusuna yapılan API çağrılarını kullanarak ortamınızdaki AKS kümelerini bulur.
Bağlama: BIR AKS kümesi bulunduktan sonra Bulut için Defender oluşturulan kimlik ile Kubernetes ClusterRoleaks:trustedaccessrole:defender-containers:microsoft-defender-operator arasında bir oluşturarak aks ClusterRoleBinding bağlama işlemi gerçekleştirir. ClusterRole API aracılığıyla görünür ve küme içinde Bulut için Defender veri düzlemi okuma izni verir.
Not
Kopyalanan anlık görüntü kümeyle aynı bölgede kalır.
Bulut için Defender ve Arc özellikli Kubernetes kümelerinin mimari diyagramı
Kapsayıcılar için Microsoft Defender tarafından sunulan tam korumayı almak için bu bileşenler gereklidir:
Azure Arc özellikli Kubernetes - Azure Arc özellikli Kubernetes - Kümedeki bir düğüme yüklenen ve kümelerinizi Bulut için Defender bağlayan algılayıcı tabanlı bir çözümdür. Bulut için Defender aşağıdaki iki aracıyı şu şekilde dağıtabilir:Yay uzantıları:
Defender algılayıcısı: Her düğümde dağıtılan DaemonSet, çalışma zamanı koruması sağlamak için eBPF teknolojisini ve Kubernetes denetim günlüklerini kullanarak konak sinyalleri toplar. Algılayıcı bir Log Analytics çalışma alanına kaydedilir ve veri işlem hattı olarak kullanılır. Ancak denetim günlüğü verileri Log Analytics çalışma alanında depolanmaz. Defender algılayıcısı, Arc özellikli bir Kubernetes uzantısı olarak dağıtılır.
Kubernetes için Azure İlkesi: Açık kaynak Gatekeeper v3'lerini genişleten ve kubernetes erişim denetimine bir web kancası olarak kaydolan bir pod, büyük ölçekte zorlamalar uygulamayı mümkün hale getirir ve kümelerinizde merkezi ve tutarlı bir şekilde koruma sağlar. Kümedeki yalnızca bir düğüme yüklenir. Daha fazla bilgi için bkz. Kubernetes iş yüklerinizi koruma ve Kubernetes kümeleri için Azure İlkesi anlama.
Not
Arc özellikli Kubernetes kümeleri için Kapsayıcılar için Defender desteği bir önizleme özelliğidir.
Bulut için Defender ve EKS kümelerinin mimari diyagramı
Bulut için Defender Elastic Kubernetes Service'te barındırılan bir kümeyi koruduğunda, denetim günlüğü verilerinin toplanması aracısızdır. Kapsayıcılar için Microsoft Defender tarafından sunulan tam korumayı almak için gerekli bileşenler şunlardır:
Kubernetes denetim günlükleri: AWS hesabının CloudWatch'ı, aracısız bir toplayıcı aracılığıyla denetim günlüğü verilerini etkinleştirir ve toplar ve toplanan bilgileri daha fazla analiz için Bulut için Microsoft Defender arka ucuna gönderir.
Azure Arc özellikli Kubernetes - Azure Arc özellikli Kubernetes - Kümedeki bir düğüme yüklenen ve kümelerinizi Bulut için Defender bağlayan algılayıcı tabanlı bir çözümdür. Bulut için Defender aşağıdaki iki aracıyı şu şekilde dağıtabilir:Yay uzantıları:
Defender algılayıcısı: Her düğümde dağıtılan DaemonSet, eBPF teknolojisini kullanarak konaklardan sinyal toplar ve çalışma zamanı koruması sağlar. Algılayıcı bir Log Analytics çalışma alanına kaydedilir ve veri işlem hattı olarak kullanılır. Ancak denetim günlüğü verileri Log Analytics çalışma alanında depolanmaz. Defender algılayıcısı, Arc özellikli bir Kubernetes uzantısı olarak dağıtılır.
Kubernetes için Azure İlkesi: Açık kaynak Gatekeeper v3'lerini genişleten ve kubernetes erişim denetimine bir web kancası olarak kaydolan bir pod, büyük ölçekte zorlamalar uygulamayı mümkün hale getirir ve kümelerinizde merkezi ve tutarlı bir şekilde koruma sağlar. Kubernetes podunun Azure İlkesi, Arc özellikli kubernetes uzantısı olarak dağıtılır. Kümedeki yalnızca bir düğüme yüklenir. Daha fazla bilgi için bkz. Kubernetes iş yüklerinizi koruma ve Kubernetes kümeleri için Azure İlkesi anlama.
AWS'de Kubernetes için aracısız bulma nasıl çalışır?
Bulma işlemi, aralıklarla alınan anlık görüntüleri temel alır:
Kubernetes uzantısı için aracısız bulmayı etkinleştirdiğinizde aşağıdaki işlem gerçekleşir:
Oluştur:
MDCContainersAgentlessDiscoveryK8sRole Bulut için Defender rolü EKS kümelerinin aws-auth ConfigMap'ine eklenmelidir. Ad özelleştirilebilir.
Ata: Bulut için Defender MDCContainersAgentlessDiscoveryK8sRole rolünü aşağıdaki izinleri atar:
eks:UpdateClusterConfig
eks:DescribeCluster
Bulma: Sistem tarafından atanan kimliği kullanarak Bulut için Defender EKS'nin API sunucusuna yapılan API çağrılarını kullanarak ortamınızdaki EKS kümelerini bulur.
Not
Kopyalanan anlık görüntü kümeyle aynı bölgede kalır.
Bulut için Defender ve GKE kümelerinin mimari diyagramı
Bulut için Defender Google Kubernetes Engine'de barındırılan bir kümeyi koruduğunda, denetim günlüğü verilerinin toplanması aracısızdır. Kapsayıcılar için Microsoft Defender tarafından sunulan tam korumayı almak için gerekli bileşenler şunlardır:
Kubernetes denetim günlükleri – GCP Bulut Günlüğü aracısız bir toplayıcı aracılığıyla denetim günlüğü verilerini etkinleştirir ve toplar ve toplanan bilgileri daha fazla analiz için Bulut için Microsoft Defender arka ucuna gönderir.
Azure Arc özellikli Kubernetes - Azure Arc özellikli Kubernetes - Kümedeki bir düğüme yüklenen ve kümelerinizin Bulut için Defender bağlanmasına olanak tanıyan algılayıcı tabanlı bir çözüm. Bulut için Defender aşağıdaki iki aracıyı şu şekilde dağıtabilir:Yay uzantıları:
Defender algılayıcısı: Her düğümde dağıtılan DaemonSet, eBPF teknolojisini kullanarak konaklardan sinyal toplar ve çalışma zamanı koruması sağlar. Algılayıcı bir Log Analytics çalışma alanına kaydedilir ve veri işlem hattı olarak kullanılır. Ancak denetim günlüğü verileri Log Analytics çalışma alanında depolanmaz.
Kubernetes için Azure İlkesi: Açık kaynak Gatekeeper v3'lerini genişleten ve kubernetes erişim denetimine bir web kancası olarak kaydolan bir pod, büyük ölçekte zorlamalar uygulamayı mümkün hale getirir ve kümelerinizde merkezi ve tutarlı bir şekilde koruma sağlar. Kubernetes podunun Azure İlkesi, Arc özellikli kubernetes uzantısı olarak dağıtılır. Kümedeki yalnızca bir düğüme yüklenmesi gerekir. Daha fazla bilgi için bkz. Kubernetes iş yüklerinizi koruma ve Kubernetes kümeleri için Azure İlkesi anlama.
GCP'de Kubernetes için aracısız bulma nasıl çalışır?
Bulma işlemi, aralıklarla alınan anlık görüntüleri temel alır:
Kubernetes uzantısı için aracısız bulmayı etkinleştirdiğinizde aşağıdaki işlem gerçekleşir:
Oluştur:
mdc-containers-k8s-operator hizmet hesabı oluşturulur. Ad özelleştirilebilir.
Atama: Bulut için Defender mdc-containers-k8s-operator hizmet hesabına aşağıdaki rolleri ekler:
İzni olan container.clusters.update özel rolMDCGkeClusterWriteRole.
Yerleşik rol container.viewer
Bulma: Sistem tarafından atanan kimliği kullanarak Bulut için Defender, GKE'nin API sunucusuna yapılan API çağrılarını kullanarak ortamınızdaki GKE kümelerini bulur.
Not
Kopyalanan anlık görüntü kümeyle aynı bölgede kalır.
Sonraki adımlar
Bu genel bakışta, Bulut için Microsoft Defender kapsayıcı güvenliği mimarisi hakkında bilgi edindiyseniz. Planı etkinleştirmek için bkz:
