Anmerkung
Der Zugriff auf diese Seite erfordert eine Genehmigung. Du kannst versuchen, dich anzumelden oder die Verzeichnisse zu wechseln.
Der Zugriff auf diese Seite erfordert eine Genehmigung. Du kannst versuchen , die Verzeichnisse zu wechseln.
Microsoft Defender für Container bietet erweiterte Bedrohungsschutz- und Sicherheitsfunktionen für Ihre containerisierten Umgebungen auf mehreren Plattformen. Dieser Leitfaden hilft Ihnen bei der Auswahl des richtigen Bereitstellungspfads für Ihre Kubernetes-Umgebung.
Unterstützte Umgebungen
Defender für Container unterstützt die folgenden Kubernetes-Umgebungen:
- Azure (AKS) – Azure Kubernetes-Dienst
- AWS (EKS) - Amazon Elastic Kubernetes Service
- GCP (GKE) - Google Kubernetes Engine
- Arc-enabled Kubernetes (Preview) – Lokale und IaaS Kubernetes-Cluster
Auswählen des Bereitstellungspfads
Wählen Sie das Bereitstellungshandbuch aus, das Ihrer Kubernetes-Umgebung entspricht:
Azure (AKS)
Für Azure Kubernetes-Dienstcluster bietet Defender für Container Folgendes:
- Native Integration in Azure-Dienste
- Automatische Bereitstellung in allen Clustern in einem Abonnement
- Kein cloudübergreifender Connector erforderlich
- Features der Sicherheitsrisikobewertung (VA), einschließlich der Registrierungsüberprüfung für azure Container Registry
- Funktionen zur Verwaltung des Sicherheitsstatus, einschließlich des Schutzes der Lieferkette für Containersoftware
- Laufzeitschutzfunktionen, einschließlich Erkennung, Untersuchung und Reaktion, sind in Microsoft XDR integriert.
- Schutzfunktionen der Container-Software-Lieferkette, einschließlich der gesteuerten Bereitstellung von Container-Images
AWS (EKS)
Für Amazon Elastic Kubernetes Service-Cluster bietet Defender für Container Folgendes:
- Zentrale Sicherheitsverwaltung in Defender für Cloud
- AWS Connector-basierte Bereitstellung, einschließlich CloudFormation-Vorlagenunterstützung
- Features der Sicherheitsrisikobewertung (VA), einschließlich der Registrierungsüberprüfung für die Elastic Container Registry (ECR)
- Features für Sicherheitsstatusverwaltung
- Laufzeitschutzfunktionen, einschließlich Erkennung, Untersuchung und Reaktion, sind in Microsoft XDR integriert.
- Schutzfunktionen der Container-Software-Lieferkette, einschließlich der gesteuerten Bereitstellung von Container-Images
GCP (GKE)
Für Google Kubernetes Engine-Cluster bietet Defender für Container Folgendes:
- Zentrale Sicherheitsverwaltung in Defender für Cloud
- GCP Connector-basierte Bereitstellung
- GKE Autopilot-Unterstützung
- Features der Sicherheitsrisikobewertung (VA), einschließlich der Registrierungsüberprüfung für Google Container Registry (GCR) und Google Artifact Registry (GAR)
- Features für Sicherheitsstatusverwaltung
- Laufzeitschutzfunktionen, einschließlich Erkennung, Untersuchung und Reaktion, sind in Microsoft XDR integriert.
- Schutzfunktionen der Container-Software-Lieferkette, einschließlich der gesteuerten Bereitstellung von Container-Images
Arc-enabled Kubernetes (Vorschau)
Für lokale und IaaS Kubernetes-Cluster, die über Azure Arc verbunden sind, bietet Defender for Containers Folgendes:
- Hybride Cloudsicherheitsverwaltung
- Zentrale Sicherheit über Azure
- Arbeitet mit CNCF-zertifizierten Kubernetes Distributionen
- Schutzfunktionen der Container-Software-Lieferkette, einschließlich der gesteuerten Bereitstellung von Container-Images
Voraussetzungen
Stellen Sie vor der Bereitstellung von Defender für Container folgendes sicher:
- Ein aktives Azure-Abonnement
- Rolle als Inhaber oder Mitwirkender des Abonnements
- Kubernetes-Clusterversion 1.19 oder höher
- Netzwerkkonnektivität mit Azure-Diensten
- Informationen zu sensorbasierten Funktionen: Ausreichende Clusterressourcen für Defender-Komponenten finden Sie unter Details zur Defender-Sensorkomponente
- Aktivieren Sie einen OpenId Connect (OIDC)-Aussteller für Ihren Cluster.
Hinweis
Agentlose Funktionen erfordern keine Clusterressourcen oder Sensorbereitstellung. Eine detaillierte Liste der unterstützten Features sowie deren Verfügbarkeit und Merkmale finden Sie in der Supportmatrix für Defender für Container. Die Unterstützungsmatrix gibt an, ob jedes Feature agentlos oder sensorbasiert unter der Spalte " Enablement-Methode " ist.
Aktivierungs- und Bereitstellungsoptionen
Defender für Container umfasst zwei Hauptschritte:
Aktivieren des Plans – Sie können den Plan über Folgendes aktivieren:
- Azure-Portal
- Programmgesteuert (Azure CLI, REST-API, PowerShell)
Bereitstellen des Sensors
- Integriertes AKS-Addon - Sie können es auf folgende Weise bereitstellen:
- Azure-Portal
- Programmgesteuert (Azure CLI, REST-API, IaC-Vorlagen)
- Helm-Chart-Bereitstellung
- Integriertes AKS-Addon - Sie können es auf folgende Weise bereitstellen:
Anzeigen Ihrer aktuellen Abdeckung
Defender for Cloud bietet Zugriff auf Arbeitsmappen über Azure-Arbeitsmappen. Arbeitsmappen sind anpassbare Berichte, die Einblicke in Ihren Sicherheitsstatus bieten.
Die Abdeckungsarbeitsmappe hilft Ihnen, Ihre aktuelle Abdeckung zu verstehen, indem Sie anzeigen, welche Pläne für Ihre Abonnements und Ressourcen aktiviert sind.
Nächste Schritte
Wählen Sie Ihre Umgebung aus, um zu beginnen:
- Bereitstellen auf Azure (AKS) – Für systemeigene Azure-Bereitstellungen
- Bereitstellen auf Arc-fähigen Kubernetes – Für Hybrid- und On-Premises-Lösungen
- Bereitstellen auf AWS (EKS) – Für Amazon EKS-Cluster
- Bereitstellen auf GCP (GKE) – Für Google GKE-Cluster
Einen Vergleich der Features in allen Umgebungen finden Sie in der Supportmatrix für Defender für Container.