تمكين Defender for Containers على AKS عبر البوابة

توضح لك هذه المقالة كيفية تفعيل Microsoft Defender for Containers على مجموعات Azure Kubernetes Service (AKS) الخاصة بك من خلال بوابة Azure. يمكنك اختيار تفعيل جميع ميزات الأمان دفعة واحدة لحماية شاملة، أو نشر مكونات محددة بشكل انتقائي بناء على متطلباتك.

متى تستخدم هذا الدليل

استخدم هذا الدليل إذا أردت:

• إعداد Defender for Containers على Azure لأول مرة
• تفعيل جميع ميزات الأمان للحماية الشاملة
• نشر مكونات محددة بشكل انتقائي
• إصلاح أو إضافة مكونات مفقودة إلى النشر الحالي
• استبعاد بعض المجموعات من الحماية

Prerequisites

متطلبات الشبكة

يجب أن يتصل حساس Defender ببرنامج Microsoft Defender for Cloud لإرسال بيانات وأحداث الأمان. تأكد من أن نقاط النهاية المطلوبة مهيأة للوصول الخارجي.

متطلبات الاتصال

يحتاج حساس ديفندر إلى اتصال إلى:

• Microsoft Defender for Cloud (لإرسال بيانات الأمان والأحداث)

بشكل افتراضي، تحتوي أنظمة مجموعات AKS على اتصال غير مقيد بالإنترنت الصادر (الخروج).

بالنسبة للعناقيد ذات الخروج المقيد، يجب السماح لشبكات FQDN الخاصة ب Microsoft Defender for Containers بالعمل بشكل صحيح. انظر Microsoft Defender للحاويات - قواعد FQDN/التطبيقات المطلوبة في وثائق الشبكة الصادرة الخاصة ب AKS للنقاط النهائية المطلوبة.

تكوين الارتباط الخاص

للتعليمات، راجع رابط Microsoft Security Private Link للعبة Microsoft Defender for Cloud.

تفعيل خطة المدافع من الحاويات

أولا، فعل خطة Defender for Containers على اشتراكك:

1. قم بتسجيل الدخول إلى بوابة Azure.

2. اذهب إلى Microsoft Defender للسحابة.

3. في القائمة اليسرى، اختر إعدادات البيئة.

4. اختر الاشتراك الذي توجد فيه مجموعات AKS الخاصة بك.

5. في صفحة خطط المدافع، ابحث عن صف الحاويات وقم بتبديل الحالة إلى تشغيل.

   

تكوين مكونات الخطة

بعد تفعيل الخطة، قم بمراجعة وتكوين المكونات. افتراضيا، يتم تفعيل جميع المكونات عند تفعيل خطة Defender for Containers.

1. اختر الإعدادات في صف خطة الحاويات.

2. في الإعدادات، ترى جميع المكونات المتاحة.

3. راجع المكونات التي تم تفعيلها افتراضيا:

   • المسح بدون وكيل للأجهزة - يفحص أجهزتك بحثا عن البرامج المثبتة، الثغرات، والمسح السري دون الاعتماد على العوامل أو التأثير على أداء الجهاز
   • مستشعر المدافع - ينشر على كل عقدة عامل، ويجمع البيانات المتعلقة بالأمن المطلوبة لحماية التهديدات أثناء التشغيل
   • Azure Policy - تم نشره كوكيل على عنقود Kubernetes الخاص بك. يوفر تقوية مستوى بيانات Kubernetes
   • الوصول إلى واجهة برمجة تطبيقات Kubernetes - مطلوب لوضع الحاوية بدون وكيل، وتقييم الثغرات أثناء التشغيل، وإجراءات الاستجابة
   • الوصول إلى السجل - يتيح تقييم الثغرات بدون وكيل لصور السجل

   

4. يمكنك:

   • احتفظ بجميع المكونات مفعلة (ينصح به لحماية شاملة)
   • قم بتعطيل مكونات معينة لا تحتاجها
   • أعد تفعيل المكونات إذا كنت قد عطلتها سابقا

5. حدد متابعة.

6. راجع صفحة تغطية المراقبة لمعرفة الموارد المحمية.

7. حدد متابعة.

8. راجع ملخص التكوين واختر الحفظ.

الأدوار والأذونات

تعرف على المزيد حول أدوار توفير ملحقات Defender for Containers.

مراقبة تقدم النشر

بعد حفظ التغييرات، يبدأ Defender for Cloud تلقائيا في نشر المكونات المحددة في مجموعات AKS الخاصة بك:

1. انتقل إلى Microsoft Defender for Cloud>Recommendations.

2. تصفية التوصيات حسب نوع = المواردلخدمات Kubernetes.

3. ابحث عن هذه التوصيات الرئيسية:

   • "يجب أن يكون لدى عناقيد خدمة Azure Kubernetes ملف تعريف Defender مفعل"
   • "يجب تثبيت وتفعيل سياسة Azure لنظام Kubernetes على عناقيد العناصر"

4. اختر كل توصية لرؤية الموارد المتأثرة وتقدم المعالجة.

نشر أداة استشعار Defender

Important

نشر أداة استشعار Defender باستخدام Helm: على عكس الخيارات الأخرى التي يتم توفيرها تلقائيا وتحديثها تلقائيا، يتيح لك Helm نشر أداة استشعار Defender بمرونة. هذا الأسلوب مفيد بشكل خاص في سيناريوهات DevOps والبنية الأساسية كتعلم برمجية. باستخدام Helm، يمكنك دمج النشر في مسارات CI/CD والتحكم في جميع تحديثات أداة الاستشعار. يمكنك أيضا اختيار تلقي إصدارات المعاينة و GA. للحصول على إرشادات حول تثبيت أداة استشعار Defender باستخدام Helm، راجع تثبيت أداة استشعار Defender for Containers باستخدام Helm.

عند تفعيل إعداد مستشعر Defender، يتم نشره تلقائيا على جميع مجموعات AKS ضمن اشتراكك. إذا قمت بتعطيل النشر التلقائي، يمكنك نشر المستشعر يدويا باستخدام الطرق التالية:

النشر إلى مجموعة من عناقيد AKS المختارة

1. انتقل إلى Microsoft Defender for Cloud>Recommendations.

2. ابحث واختر "يجب أن يكون لدى Azure Kubernetes Service clusters ملف تعريف Defender مفعل".

   

3. اختر عناقيد AKS التي تحتاج إلى الحساس.

4. حدد إصلاح.

   

5. راجع إعدادات النشر.

6. اختر إصلاح الموارد X للنشر.

إشعار

يمكنك أيضا نشر حساس Defender باستخدام Helm لمزيد من التحكم في إعدادات النشر. للحصول على تعليمات نشر الخوذة، انظر نشر حساس المدافع باستخدام الخوفة.

النشر في عنقود AKS محدد

لنشر حساس Defender في مجموعات AKS محددة:

1. اذهب إلى عنقود AKS الخاص بك في بوابة Azure.

2. في القائمة اليسرى تحت اسم العنقود، اختر Microsoft Defender for Cloud.

3. في صفحة Microsoft Defender for Cloud الخاصة بعنقودك، اختر الإعدادات في الصف العلوي، حدد صف مستشعر Defender ، وقم بتغييره إلى التشغيل.

   

4. حَدِّد حِفظ.

استبعاد مجموعات محددة (اختياري)

يمكنك استبعاد مجموعات AKS المحددة من التوفير التلقائي عن طريق تطبيق العلامات:

1. اذهب إلى مجموعة AKS الخاصة بك.

2. تحت النظرة العامة، اختر العلامات.

3. أضف هذا الوسم:

• بالنسبة لحساس Defender: ms_defender_container_exclude_sensors = true

مراقبة الأمن المستمر

بعد الإعداد، بانتظام:

1. إدارة الثغرات - مراجعة نتائج مسح ثغرات صورة الحاوية
2. مراجعة التوصيات - معالجة المشكلات الأمنية التي تم تحديدها لمجموعات AKS الخاصة بك
3. التحقيق في التنبيهات - الاستجابة لتهديدات وقت التشغيل التي يكتشدها حساس المدافع
4. تتبع الامتثال - مراقبة الالتزام بمعايير الأمان والمعايير

تنظيف الموارد

لتعطيل Defender for Containers وإزالة جميع المكونات المنشورة من مجموعات AKS الخاصة بك، راجع إزالة Defender for Containers من Azure (AKS).

الخطوات التالية

• تحقق من النشر

• تكوين الإعدادات المتقدمة لديفندر للحاويات

• التحقيق والاستجابة لتنبيهات الأمان أثناء التشغيل

• مراجعة ومعالجة نتائج الثغرات