Architektura Defenderu pro kontejnery

Defender for Containers je pro každé prostředí Kubernetes navržený jinak, ať už běží:

• Azure Kubernetes Service (AKS) – spravovaná služba Microsoftu pro vývoj, nasazování a správu kontejnerizovaných aplikací.

• Amazon Elastic Kubernetes Service (EKS) v připojeném účtu Amazon Web Services (AWS) – spravovaná služba Amazonu pro spouštění Kubernetes na AWS bez nutnosti instalovat, provozovat a udržovat vlastní řídicí rovinu nebo uzly Kubernetes.

• Google Kubernetes Engine (GKE) v připojeném projektu Google Cloud Platform (GCP) – spravované prostředí Google pro nasazování, správu a škálování aplikací pomocí infrastruktury GCP.

• Nespravovaná distribuce Kubernetes (pomocí Kubernetes s podporou Azure Arc) – Cloud Native Computing Foundation (CNCF) certifikovaných clusterů Kubernetes hostovaných místně nebo v IaaS.

Poznámka:

Podpora defenderu for Containers pro clustery Kubernetes s podporou Arc (AWS EKS a GCP GKE) je funkce Preview.

Pokud chcete chránit kontejnery Kubernetes, Defender for Containers přijímá a analyzuje:

• Protokoly auditu a události zabezpečení ze serveru rozhraní API
• Informace o konfiguraci clusteru z řídicí roviny
• Konfigurace úloh ze služby Azure Policy
• Signály zabezpečení a události na úrovni uzlu

Další informace o podrobnostech implementace, jako jsou podporované operační systémy, dostupnost funkcí, odchozí proxy server, najdete v tématu Dostupnost funkcí Defenderu pro kontejnery.

Architektura pro každé prostředí Kubernetes

Azure (AKS)

Diagram architektury clusterů Defenderu pro cloud a AKS

Když Defender pro cloud chrání cluster hostovaný ve službě Azure Kubernetes Service, shromažďování dat protokolu auditu je bez agentů a shromažďuje se automaticky prostřednictvím infrastruktury Azure bez dalších nákladů ani konfigurace. Jedná se o požadované komponenty pro získání úplné ochrany, kterou nabízí Microsoft Defender for Containers:

• Senzor defenderu: DaemonSet, který je nasazený na každém uzlu, shromažďuje signály od hostitelů pomocí technologie eBPF a poskytuje ochranu za běhu. Senzor je zaregistrovaný v pracovním prostoru služby Log Analytics a používá se jako datový kanál. Data protokolu auditu ale nejsou uložená v pracovním prostoru služby Log Analytics. Senzor Defenderu se nasadí jako profil zabezpečení AKS.
• Azure Policy pro Kubernetes: Pod, který rozšiřuje opensourcový Gatekeeper v3 a zaregistruje se jako webový háček na řízení přístupu Kubernetes, který umožňuje použít vynucení ve velkém měřítku a bezpečnostní opatření v clusterech centralizovaným a konzistentním způsobem. Pod Azure Policy pro Kubernetes se nasadí jako doplněk AKS. Je nainstalovaný jenom na jednom uzlu v clusteru. Další informace najdete v tématu Ochrana úloh Kubernetes a vysvětlení azure Policy pro clustery Kubernetes.

Podrobnosti o komponentě senzoru Defenderu

Název podu	Obor názvů	Kind	Short Description	Možnosti	Omezení prostředků	Požadováno výchozí přenos dat
microsoft-defender-collector-ds-*	kube-system	DaemonSet	Sadakontejnerůch	SYS_ADMIN, SYS_RESOURCE, SYS_PTRACE	paměť: 296Mi cpu: 360m	No
microsoft-defender-collector-misc-*	kube-system	Nasazení	Sada kontejnerů, které se zaměřují na shromažďování událostí inventáře a zabezpečení z prostředí Kubernetes, které nejsou vázané na konkrétní uzel.	–	paměť: 64Mi cpu: 60m	No
microsoft-defender-publisher-ds-*	kube-system	DaemonSet	Publikujte shromážděná data do back-endové služby Microsoft Defender for Containers, ve které se budou data zpracovávat a analyzovat.	–	paměť: 200Mi cpu: 60m	Https 443 Další informace o požadavcích na odchozí přístup

* Limity prostředků nejsou konfigurovatelné; Přečtěte si další informace o omezeních prostředků Kubernetes.

Jak funguje zjišťování bez agentů pro Kubernetes v Azure?

Proces zjišťování vychází ze snímků pořízených v intervalech:

Když povolíte zjišťování bez agentů pro rozšíření Kubernetes, dojde k následujícímu procesu:

• Vytvořit:

  • Pokud je rozšíření v programu Defender CSPM povolené, vytvoří Defender pro cloud identitu v prostředích zákazníka.CloudPosture/securityOperator/DefenderCSPMSecurityOperator
  • Pokud je rozšíření povolené z defenderu pro kontejnery, Vytvoří Defender pro cloud identitu v prostředích zákazníka.CloudPosture/securityOperator/DefenderForContainersSecurityOperator

• Přiřazení: Defender pro cloud přiřadí této identitě v oboru předplatného předdefinované role označované jako operátor Kubernetes Agentless. Role obsahuje následující oprávnění:

  • Čtení AKS (Microsoft.ContainerService/managedClusters/read)
  • Důvěryhodný přístup AKS s následujícími oprávněními:
  • Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/write
  • Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/read
  • Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/delete

  Přečtěte si další informace o důvěryhodném přístupu AKS.

• Zjišťování: Pomocí identity přiřazené systémem provede Defender for Cloud zjišťování clusterů AKS ve vašem prostředí pomocí volání rozhraní API na server AKS.

• Vazba: Při zjišťování clusteru AKS provede Defender pro cloud operaci vazby AKS vytvořením ClusterRoleBinding mezi vytvořenou identitou aks ClusterRole:trustedaccessrole:defender-containers:microsoft-defender-operator. Je ClusterRole viditelný prostřednictvím rozhraní API a dává Defenderu pro cloudovou rovinu oprávnění ke čtení v clusteru.

Poznámka:

Zkopírovaný snímek zůstane ve stejné oblasti jako cluster.

Místní / IaaS (Arc)

Diagram architektury clusterů Kubernetes s podporou služby Defender pro cloud a Arc

K získání úplné ochrany, kterou nabízí Microsoft Defender for Containers, se vyžadují tyto komponenty:

• Kubernetes s podporou Azure Arc – Kubernetes s podporou Azure Arc – Řešení založené na senzorech nainstalované na jednom uzlu v clusteru, které propojuje vaše clustery s Defenderem pro cloud. Defender for Cloud pak dokáže nasadit následující dva agenty jako rozšíření Arc:

• Senzor defenderu: DémonSet, který je nasazený na každém uzlu, shromažďuje hostitelské signály pomocí technologie eBPF a protokolů auditu Kubernetes za účelem zajištění ochrany za běhu. Senzor je zaregistrovaný v pracovním prostoru služby Log Analytics a používá se jako datový kanál. Data protokolu auditu ale nejsou uložená v pracovním prostoru služby Log Analytics. Senzor Defenderu se nasadí jako rozšíření Kubernetes s podporou arc.

• Azure Policy pro Kubernetes: Pod, který rozšiřuje opensourcový Gatekeeper v3 a zaregistruje se jako webový háček na řízení přístupu Kubernetes, který umožňuje použít vynucení ve velkém měřítku a bezpečnostní opatření v clusterech centralizovaným a konzistentním způsobem. Je nainstalovaný jenom na jednom uzlu v clusteru. Další informace najdete v tématu Ochrana úloh Kubernetes a vysvětlení azure Policy pro clustery Kubernetes.

Poznámka:

Podpora Defenderu pro kontejnery pro clustery Kubernetes s podporou Arc je funkce Preview.

AWS (EKS)

Diagram architektury clusterů Defender for Cloud a EKS

Když Defender pro cloud chrání cluster hostovaný ve službě Elastic Kubernetes Service, kolekce dat protokolu auditu je bez agentů. Jedná se o požadované komponenty pro získání úplné ochrany, kterou nabízí Microsoft Defender for Containers:

• Protokoly auditu Kubernetes – CloudWatch účtu AWS umožňuje a shromažďuje data protokolu auditu prostřednictvím kolektoru bez agentů a odesílá shromážděné informace do back-endu Microsoft Defenderu for Cloud za účelem další analýzy.
• Kubernetes s podporou Azure Arc – Kubernetes s podporou Azure Arc – Řešení založené na senzorech nainstalované na jednom uzlu v clusteru, které propojuje vaše clustery s Defenderem pro cloud. Defender for Cloud pak dokáže nasadit následující dva agenty jako rozšíření Arc:
• Senzor defenderu: DaemonSet, který je nasazený na každém uzlu, shromažďuje signály od hostitelů pomocí technologie eBPF a poskytuje ochranu za běhu. Senzor je zaregistrovaný v pracovním prostoru služby Log Analytics a používá se jako datový kanál. Data protokolu auditu ale nejsou uložená v pracovním prostoru služby Log Analytics. Senzor Defenderu se nasadí jako rozšíření Kubernetes s podporou arc.
• Azure Policy pro Kubernetes: Pod, který rozšiřuje opensourcový Gatekeeper v3 a zaregistruje se jako webový háček na řízení přístupu Kubernetes, který umožňuje použít vynucení ve velkém měřítku a bezpečnostní opatření v clusterech centralizovaným a konzistentním způsobem. Pod Azure Policy pro Kubernetes se nasadí jako rozšíření Kubernetes s podporou Arc. Je nainstalovaný jenom na jednom uzlu v clusteru. Další informace najdete v tématu Ochrana úloh Kubernetes a vysvětlení azure Policy pro clustery Kubernetes.

Jak funguje zjišťování bez agentů pro Kubernetes v AWS?

Proces zjišťování vychází ze snímků pořízených v intervalech:

Když povolíte zjišťování bez agentů pro rozšíření Kubernetes, dojde k následujícímu procesu:

• Vytvořit:

  • Role Defender pro cloud MDCContainersAgentlessDiscoveryK8sRole musí být přidána do aws-auth ConfigMap clusterů EKS. Název lze přizpůsobit.

• Přiřadit: Defender pro cloud přiřadí roli MDCContainersAgentlessDiscoveryK8sRole následující oprávnění:

  • eks:UpdateClusterConfig
  • eks:DescribeCluster

• Zjišťování: Pomocí identity přiřazené systémem provede Defender for Cloud zjišťování clusterů EKS ve vašem prostředí pomocí volání rozhraní API na server EKS.

Poznámka:

Zkopírovaný snímek zůstane ve stejné oblasti jako cluster.

GCP (GKE)

Diagram architektury clusterů Defender for Cloud a GKE

Když Defender for Cloud chrání cluster hostovaný v Google Kubernetes Engine, kolekce dat protokolu auditu je bez agentů. Jedná se o požadované komponenty pro získání úplné ochrany, kterou nabízí Microsoft Defender for Containers:

• Protokoly auditu Kubernetes – Protokolování cloudu GCP umožňuje a shromažďuje data protokolu auditu prostřednictvím kolektoru bez agentů a odesílá shromážděné informace do back-endu Microsoft Defenderu for Cloud za účelem další analýzy.

• Kubernetes s podporou Azure Arc – Kubernetes s podporou Azure Arc – Řešení založené na senzorech nainstalované na jednom uzlu v clusteru, které umožňuje clusterům připojit se k Defenderu pro cloud. Defender for Cloud pak dokáže nasadit následující dva agenty jako rozšíření Arc:

• Senzor defenderu: DaemonSet, který je nasazený na každém uzlu, shromažďuje signály od hostitelů pomocí technologie eBPF a poskytuje ochranu za běhu. Senzor je zaregistrovaný v pracovním prostoru služby Log Analytics a používá se jako datový kanál. Data protokolu auditu ale nejsou uložená v pracovním prostoru služby Log Analytics.

• Azure Policy pro Kubernetes: Pod, který rozšiřuje opensourcový Gatekeeper v3 a zaregistruje se jako webový háček na řízení přístupu Kubernetes, který umožňuje použít vynucení ve velkém měřítku a bezpečnostní opatření v clusterech centralizovaným a konzistentním způsobem. Pod Azure Policy pro Kubernetes se nasadí jako rozšíření Kubernetes s podporou Arc. Stačí ho nainstalovat jenom na jeden uzel v clusteru. Další informace najdete v tématu Ochrana úloh Kubernetes a vysvětlení azure Policy pro clustery Kubernetes.

Jak funguje zjišťování bez agentů pro Kubernetes v GCP?

Proces zjišťování vychází ze snímků pořízených v intervalech:

Když povolíte zjišťování bez agentů pro rozšíření Kubernetes, dojde k následujícímu procesu:

• Vytvořit:

  • Vytvoří se účet služby mdc-containers-k8s-operator . Název lze přizpůsobit.

• Přiřadit: Defender for Cloud připojí následující role k účtu služby mdc-containers-k8s-operator:

  • Vlastní role MDCGkeClusterWriteRole, která má container.clusters.update oprávnění
  • Předdefinovaná role container.viewer

• Zjišťování: Pomocí identity přiřazené systémem provede Defender for Cloud zjišťování clusterů GKE ve vašem prostředí pomocí volání rozhraní API na server GKE.

Poznámka:

Zkopírovaný snímek zůstane ve stejné oblasti jako cluster.

Další kroky

V tomto přehledu jste se seznámili s architekturou zabezpečení kontejnerů v programu Microsoft Defender for Cloud. Pokud chcete plán povolit, přečtěte si:

Povolení defenderu pro kontejnery