Microsoft Defender für Container ist für jede Kubernetes-Umgebung unterschiedlich konzipiert, abhängig davon, in welcher Umgebung sie ausgeführt werden:
Azure Kubernetes Service (AKS) - Der verwaltete Dienst von Microsoft für die Entwicklung, Bereitstellung und Verwaltung von containerisierten Anwendungen.
Amazon Elastic Kubernetes Service (EKS) in einem verbundenen Amazon Web Services -Konto (AWS) - Der verwaltete Amazon-Dienst zum Ausführen von Kubernetes in AWS, ohne dass Sie Ihre eigene Kubernetes-Steuerungsebene oder -Knoten installieren, betreiben und verwalten müssen.
Google Kubernetes Engine (GKE) in einem GCP-Projekt (Connected Google Cloud Platform): Die verwaltete Google-Umgebung zum Bereitstellen, Verwalten und Skalieren von Anwendungen mithilfe der GCP-Infrastruktur.
Eine nicht verwaltete Kubernetes-Distribution (mit Azure Arc-fähigen Kubernetes) – CLOUD Native Computing Foundation (CSVF) zertifizierte Kubernetes-Cluster, die lokal oder auf IaaS gehostet werden.
Hinweis
Die Microsoft Defender für Container-Unterstützung für Arc-fähige Kubernetes-Cluster (AWS EKS und GCP GKE) ist eine Previewfunktion.
Um Ihre Kubernetes-Container zu schützen, empfängt und analysiert Microsoft Defender für Container:
Überwachungsprotokolle und Sicherheitsereignisse vom API-Server
Clusterkonfigurationsinformationen von der Steuerungsebene
Workloadkonfiguration von Azure Policy
Sicherheitssignale und -ereignisse auf Knotenebene
Weitere Informationen zu den Implementierungsdetails wie z. B. unterstützte Betriebssysteme, Funktionsverfügbarkeit, Proxy für ausgehenden Datenverkehr finden Sie unter Defender for Containers-Featureverfügbarkeit.
Architektur für die einzelnen Kubernetes-Umgebungen
Architekturdiagramm von Defender für Cloud- und AKS-Cluster
Wenn Defender for Cloud einen in Azure Kubernetes Service gehosteten Cluster schützt, erfolgt die Sammlung von Überwachungsprotokolldaten ohne Agent, und die Daten werden automatisch über die Azure-Infrastruktur gesammelt, ohne dass zusätzliche Kosten anfallen oder Konfigurationsüberlegungen erforderlich sind. Diese Komponenten sind erforderlich, um den vollständigen Schutz von Microsoft Defender for Containers zu erhalten:
Defender-Sensor: Das DaemonSet, das auf jedem Knoten bereitgestellt wird, sammelt Signale von Hosts mithilfe der eBPF-Technologie und bietet Laufzeitschutz. Der Sensor wird bei einem Log Analytics-Arbeitsbereich registriert und als Datenpipeline verwendet. Die Überwachungsprotokolldaten werden jedoch nicht im Log Analytics-Arbeitsbereich gespeichert. Der Defender-Sensor wird als AKS-Sicherheitsprofil bereitgestellt.
Azure Policy für Kubernetes: Damit ist ein Pod gemeint, der den Open-Source-Gatekeeper v3 erweitert und sich als Webhook bei der Kubernetes-Zugangssteuerung registriert sowie das zentrale, konsistente Anwenden von Skalierungs- und Sicherheitsvorkehrungen in Ihren Clustern ermöglicht. Der Azure Policy für Kubernetes-Pod wird als AKS-Add-On bereitgestellt. Sie ist nur auf einem Knoten im Cluster installiert. Weitere Informationen finden Sie unter Schützen Ihrer Kubernetes-Workloads und Grundlegendes zu Azure Policy für Kubernetes-Cluster.
Eine Gruppe von Containern, die sich auf das Sammeln von Inventur- und Sicherheitsereignissen aus der Kubernetes-Umgebung konzentrieren und nicht an einen bestimmten Knoten gebunden sind.
Wie funktioniert die Ermittlung ohne Agent für Kubernetes in Azure?
Der Ermittlungsprozess basiert auf Momentaufnahmen, die in Intervallen erstellt werden:
Wenn Sie die Erweiterung Agentlose Ermittlung für Kubernetes aktivieren, wird der folgende Prozess ausgeführt:
Erstellen:
Wenn die Erweiterung über Defender CSPM aktiviert ist, erstellt Defender for Cloud eine Identität in Kundenumgebungen namens CloudPosture/securityOperator/DefenderCSPMSecurityOperator.
Wenn die Erweiterung über Defender for Containers aktiviert ist, erstellt Defender for Cloud eine Identität in Kundenumgebungen namens CloudPosture/securityOperator/DefenderForContainersSecurityOperator.
Zuweisen: Defender for Cloud weist dieser Identität im Abonnementbereich eine integrierte Rolle namens Kubernetes-Operator ohne Agent zu. Die Rolle enthält die folgenden Berechtigungen:
AKS lesen (Microsoft.ContainerService/managedClusters/read)
Vertrauenswürdiger Zugriff auf AKS mit den folgenden Berechtigungen:
Ermitteln: Mithilfe der systemseitig zugewiesenen Identität führt Defender for Cloud eine Ermittlung der AKS-Cluster in Ihrer Umgebung mithilfe von API-Aufrufen an den API-Server von AKS durch.
Binden: Sobald ein AKS-Cluster entdeckt wird, führt Defender for Cloud mithilfe eines ClusterRoleBinding einen AKS-Bindungsvorgang zwischen der erstellten Identität und der Kubernetes-ClusterRoleaks:trustedaccessrole:defender-containers:microsoft-defender-operator aus. Die ClusterRole ist über die API sichtbar und gewährt der Datenebene von Defender for Cloud Leseberechtigungen innerhalb des Clusters.
Hinweis
Die kopierte Momentaufnahme verbleibt in derselben Region wie der Cluster.
Architekturdiagramm von Defender für Cloud- und Arc-fähigen Kubernetes-Clustern
Diese Komponenten sind erforderlich, um den vollständigen Schutz von Microsoft Defender für Container zu erhalten:
Azure Arc-fähiges Kubernetes - Azure Arc-fähiges Kubernetes: eine sensorbasierte Lösung, die auf einem Knoten im Cluster installiert ist und Ihre Cluster mit Defender for Cloud verbindet. Defender for Cloud kann dann die folgenden beiden Agents als Arc-Erweiterungen bereitstellen:
Defender-Sensor: Das DaemonSet wird auf den einzelnen Knoten bereitgestellt und sammelt Hostsignale über die eBPF-Technologie und Kubernetes-Überwachungsprotokolle, um Laufzeitschutz zu bieten. Der Sensor wird bei einem Log Analytics-Arbeitsbereich registriert und als Datenpipeline verwendet. Die Überwachungsprotokolldaten werden jedoch nicht im Log Analytics-Arbeitsbereich gespeichert. Der Defender-Sensor wird als Arc-fähige Kubernetes-Erweiterung bereitgestellt.
Azure Policy für Kubernetes: Damit ist ein Pod gemeint, der den Open-Source-Gatekeeper v3 erweitert und sich als Webhook bei der Kubernetes-Zugangssteuerung registriert sowie das zentrale, konsistente Anwenden von Skalierungs- und Sicherheitsvorkehrungen in Ihren Clustern ermöglicht. Sie ist nur auf einem Knoten im Cluster installiert. Weitere Informationen finden Sie unter Schützen Ihrer Kubernetes-Workloads und Grundlegendes zu Azure Policy für Kubernetes-Cluster.
Hinweis
Die Unterstützung von Microsoft Defender für Container für Arc-fähige Kubernetes-Cluster ist eine Previewfunktion.
Architekturdiagramm von Defender für Cloud- und AKS-Cluster
Wenn Defender for Cloud einen in Elastic Kubernetes Service gehosteten Cluster schützt, erfolgt die Erfassung von Überwachungsprotokolldaten ohne Agent. Diese Komponenten sind erforderlich, um den vollständigen Schutz von Microsoft Defender for Containers zu erhalten:
Kubernetes-Überwachungsprotokolle: CloudWatch des AWS-Kontos aktiviert und sammelt Überwachungsprotokolldaten über einen Collector ohne Agent und sendet die gesammelten Informationen zur weiteren Analyse an das Microsoft Defender für Cloud-Back-End.
Azure Arc-fähiges Kubernetes - Azure Arc-fähiges Kubernetes: eine sensorbasierte Lösung, die auf einem Knoten im Cluster installiert ist und Ihre Cluster mit Defender for Cloud verbindet. Defender for Cloud kann dann die folgenden beiden Agents als Arc-Erweiterungen bereitstellen:
Defender-Sensor: Das DaemonSet, das auf jedem Knoten bereitgestellt wird, sammelt Signale von Hosts mithilfe der eBPF-Technologie und bietet Laufzeitschutz. Der Sensor wird bei einem Log Analytics-Arbeitsbereich registriert und als Datenpipeline verwendet. Die Überwachungsprotokolldaten werden jedoch nicht im Log Analytics-Arbeitsbereich gespeichert. Der Defender-Sensor wird als Arc-fähige Kubernetes-Erweiterung bereitgestellt.
Azure Policy für Kubernetes: Damit ist ein Pod gemeint, der den Open-Source-Gatekeeper v3 erweitert und sich als Webhook bei der Kubernetes-Zugangssteuerung registriert sowie das zentrale, konsistente Anwenden von Skalierungs- und Sicherheitsvorkehrungen in Ihren Clustern ermöglicht. Der Azure Policy für Kubernetes-Pod wird als Arc-fähige Kubernetes-Erweiterung bereitgestellt. Sie ist nur auf einem Knoten im Cluster installiert. Weitere Informationen finden Sie unter Schützen Ihrer Kubernetes-Workloads und Grundlegendes zu Azure Policy für Kubernetes-Cluster.
Wie funktioniert die Ermittlung ohne Agent für Kubernetes in AWS?
Der Ermittlungsprozess basiert auf Momentaufnahmen, die in Intervallen erstellt werden:
Wenn Sie die Erweiterung Agentlose Ermittlung für Kubernetes aktivieren, wird der folgende Prozess ausgeführt:
Erstellen:
Die Defender for Cloud-Rolle MDCContainersAgentlessDiscoveryK8sRole muss der aws-auth ConfigMap der EKS-Cluster hinzugefügt werden. Der Name kann angepasst werden.
Zuweisen: Defender für Cloud weist der Rolle MDCContainersAgentlessDiscoveryK8sRole die folgenden Berechtigungen zu:
eks:UpdateClusterConfig
eks:DescribeCluster
Ermitteln: Mithilfe der systemseitig zugewiesenen Identität führt Defender for Cloud eine Ermittlung der EKS-Cluster in Ihrer Umgebung mithilfe von API-Aufrufen an den API-Server von EKS durch.
Hinweis
Die kopierte Momentaufnahme verbleibt in derselben Region wie der Cluster.
Architekturdiagramm von Defender für Cloud und GKE-Clustern
Wenn Defender for Cloud einen in Google Kubernetes Engine gehosteten Cluster schützt, erfolgt die Erfassung von Überwachungsprotokolldaten ohne Agent. Diese Komponenten sind erforderlich, um den vollständigen Schutz von Microsoft Defender for Containers zu erhalten:
Kubernetes-Überwachungsprotokolle: GCP Cloud Logging aktiviert und sammelt Überwachungsprotokolldaten über einen Collector ohne Agent und sendet die gesammelten Informationen zur weiteren Analyse an das Microsoft Defender für Cloud-Back-End.
Azure Arc-fähiges Kubernetes – Azure Arc-fähiges Kubernetes: eine sensorbasierte Lösung, die auf einem Knoten im Cluster installiert ist und es Ihren Clustern ermöglicht, sich mit Defender for Cloud zu verbinden. Defender for Cloud kann dann die folgenden beiden Agents als Arc-Erweiterungen bereitstellen:
Defender-Sensor: Das DaemonSet, das auf jedem Knoten bereitgestellt wird, sammelt Signale von Hosts mithilfe der eBPF-Technologie und bietet Laufzeitschutz. Der Sensor wird bei einem Log Analytics-Arbeitsbereich registriert und als Datenpipeline verwendet. Die Überwachungsprotokolldaten werden jedoch nicht im Log Analytics-Arbeitsbereich gespeichert.
Azure Policy für Kubernetes: Damit ist ein Pod gemeint, der den Open-Source-Gatekeeper v3 erweitert und sich als Webhook bei der Kubernetes-Zugangssteuerung registriert sowie das zentrale, konsistente Anwenden von Skalierungs- und Sicherheitsvorkehrungen in Ihren Clustern ermöglicht. Der Azure Policy für Kubernetes-Pod wird als Arc-fähige Kubernetes-Erweiterung bereitgestellt. Es muss nur auf einem Knoten im Cluster installiert werden. Weitere Informationen finden Sie unter Schützen Ihrer Kubernetes-Workloads und Grundlegendes zu Azure Policy für Kubernetes-Cluster.
Wie funktioniert die Ermittlung ohne Agent für Kubernetes in GCP?
Der Ermittlungsprozess basiert auf Momentaufnahmen, die in Intervallen erstellt werden:
Wenn Sie die Erweiterung Agentlose Ermittlung für Kubernetes aktivieren, wird der folgende Prozess ausgeführt:
Erstellen:
Das Dienstkonto mdc-containers-k8s-operator wird erstellt. Der Name kann angepasst werden.
Zuweisen: Defender für Cloud fügt die folgenden Rollen an das Dienstkonto mdc-containers-k8s-operator an:
Die benutzerdefinierte Rolle MDCGkeClusterWriteRole, die über die container.clusters.update-Berechtigung verfügt
Die integrierte Rolle container.viewer
Ermitteln: Mithilfe der systemseitig zugewiesenen Identität führt Defender for Cloud eine Ermittlung der GKE-Cluster in Ihrer Umgebung mithilfe von API-Aufrufen an den API-Server von GKE durch.
Hinweis
Die kopierte Momentaufnahme verbleibt in derselben Region wie der Cluster.
Nächste Schritte
In dieser Übersicht haben Sie die Architektur der Containersicherheit in Microsoft Defender für Cloud kennengelernt. Informationen zum Aktivieren des Plans finden Sie unter:
