A Defender for Containers eltérően lett kialakítva minden Kubernetes-környezethez, függetlenül attól, hogy a következő környezetben futnak:
Azure Kubernetes Service (AKS) – A Microsoft felügyelt szolgáltatása tárolóalapú alkalmazások fejlesztésére, üzembe helyezésére és kezelésére.
Amazon Elastic Kubernetes Service (EKS) egy csatlakoztatott Amazon Web Services -fiókban – Az Amazon felügyelt szolgáltatása a Kubernetes AWS-en való futtatásához anélkül, hogy saját Kubernetes-vezérlősíkot vagy csomópontokat kellene telepítenie, üzemeltetnie és karbantartania.
Google Kubernetes Engine (GKE) egy csatlakoztatott Google Cloud Platform (GCP) projektben – A Google felügyelt környezete alkalmazások GCP-infrastruktúrával történő üzembe helyezéséhez, kezeléséhez és méretezéséhez.
Nem felügyelt Kubernetes-disztribúció (Az Azure Arc-kompatibilis Kubernetes használatával) – Cloud Native Computing Foundation (CNCF) által hitelesített Kubernetes-fürtök, amelyek a helyszínen vagy az IaaS-en futnak.
Feljegyzés
Az Arc-kompatibilis Kubernetes-fürtök (AWS EKS és GCP GKE) Defender for Containers támogatása előzetes verziójú funkció.
A Kubernetes-tárolók védelme érdekében a Defender for Containers a következő adatokat fogadja és elemzi:
Naplók és biztonsági események naplózása az API-kiszolgálóról
Fürtkonfigurációs információk a vezérlősíkról
Számítási feladatok konfigurálása az Azure Policyból
Biztonsági jelek és események a csomópont szintjén
Az implementáció részleteiről, például a támogatott operációs rendszerekről, a szolgáltatások rendelkezésre állásáról és a kimenő proxyról a Defender for Containers szolgáltatás rendelkezésre állásával kapcsolatban olvashat bővebben.
Felhőhöz készült Defender és AKS-fürtök architektúradiagramja
Ha Felhőhöz készült Defender védi az Azure Kubernetes Service-ben üzemeltetett fürtöket, az auditnapló-adatok gyűjtése ügynök nélküli, és az Azure-infrastruktúrán keresztül automatikusan, további költségek és konfigurációs szempontok nélkül gyűjthető. Ezek a szükséges összetevők a Microsoft Defender for Containers teljes körű védelmének biztosításához:
Defender-érzékelő: Az egyes csomópontokon üzembe helyezett DaemonSet eBPF technológiával gyűjti a gazdagépektől érkező jeleket, és futásidejű védelmet nyújt. Az érzékelő regisztrálva van egy Log Analytics-munkaterületen, és adatfolyamként használatos. A naplóadatokat azonban nem a Log Analytics-munkaterület tárolja. A Defender-érzékelő AKS Security-profilként van üzembe helyezve.
Azure Policy for Kubernetes: Egy pod, amely kiterjeszti a nyílt forráskódú Gatekeeper v3-at , és webes horogként regisztrál a Kubernetes-beléptetés-vezérléshez, lehetővé téve a helyszíni kényszerítéseket és a fürtökre vonatkozó biztonsági intézkedéseket központosított, konzisztens módon. Az Azure Policy for Kubernetes-pod AKS-bővítményként van üzembe helyezve. A fürtben csak egy csomóponton van telepítve. További információ: Kubernetes-számítási feladatok védelme és a Kubernetes-fürtökhöz készült Azure Policy ismertetése.
* Az erőforráskorlátok nem konfigurálhatók; További információ a Kubernetes-erőforrások korlátairól.
Hogyan működik a Kubernetes ügynök nélküli felderítése az Azure-ban?
A felderítési folyamat az időközönként készített pillanatképeken alapul:
Amikor engedélyezi az ügynök nélküli felderítést a Kubernetes-bővítményhez, a következő folyamat következik be:
Létrehozás:
Ha a bővítmény engedélyezve van a Defender CSPM-ben, Felhőhöz készült Defender létrehoz egy identitást az ügyfélkörnyezetekben.CloudPosture/securityOperator/DefenderCSPMSecurityOperator
Ha a bővítmény engedélyezve van a Defender for Containers szolgáltatásban, Felhőhöz készült Defender létrehoz egy identitást az ügyfélkörnyezetekben.CloudPosture/securityOperator/DefenderForContainersSecurityOperator
Hozzárendelés: Felhőhöz készült Defender hozzárendel egy kubernetes ügynök nélküli operátor nevű beépített szerepkört az adott identitáshoz az előfizetés hatókörében. A szerepkör a következő engedélyeket tartalmazza:
További információ az AKS Megbízható hozzáférésről.
Felfedezés: A rendszer által hozzárendelt identitás használatával Felhőhöz készült Defender végrehajtja a környezetben lévő AKS-fürtök felderítését az AKS API-kiszolgálójához intézett API-hívások használatával.
Kötés: Egy AKS-fürt felderítésekor Felhőhöz készült Defender AKS-kötési műveletet ClusterRoleBinding hajt végre a létrehozott identitás és a Kubernetes ClusterRoleaks:trustedaccessrole:defender-containers:microsoft-defender-operator között. Az ClusterRole API-val látható, és Felhőhöz készült Defender adatsík olvasási engedélyt ad a fürtben.
Feljegyzés
A másolt pillanatkép ugyanabban a régióban marad, mint a fürt.
Felhőhöz készült Defender és Arc-kompatibilis Kubernetes-fürtök architektúradiagramja
Ezekre az összetevőkre a Microsoft Defender for Containers által biztosított teljes védelem biztosításához van szükség:
Azure Arc-kompatibilis Kubernetes – Azure Arc-kompatibilis Kubernetes – A fürt egy csomópontjára telepített érzékelőalapú megoldás, amely összekapcsolja a fürtöket a Felhőhöz készült Defender. Felhőhöz készült Defender ezután üzembe helyezheti a következő két ügynököt Arc-bővítmények:
Defender-érzékelő: Az egyes csomópontokon üzembe helyezett DaemonSet az eBPF technológia és a Kubernetes naplózási naplóinak használatával gyűjti a gazdagépjeleket a futtatókörnyezet védelmének biztosítása érdekében. Az érzékelő regisztrálva van egy Log Analytics-munkaterületen, és adatfolyamként használatos. A naplóadatokat azonban nem a Log Analytics-munkaterület tárolja. A Defender-érzékelő Arc-kompatibilis Kubernetes-bővítményként van üzembe helyezve.
Azure Policy for Kubernetes: Egy pod, amely kiterjeszti a nyílt forráskódú Gatekeeper v3-at , és webes horogként regisztrál a Kubernetes-beléptetés-vezérléshez, lehetővé téve a helyszíni kényszerítéseket és a fürtökre vonatkozó biztonsági intézkedéseket központosított, konzisztens módon. A fürtben csak egy csomóponton van telepítve. További információ: Kubernetes-számítási feladatok védelme és a Kubernetes-fürtökhöz készült Azure Policy ismertetése.
Feljegyzés
Az Arc-kompatibilis Kubernetes-fürtök Defender for Containers támogatása előzetes verziójú funkció.
Felhőhöz készült Defender és EKS-fürtök architektúradiagramja
Ha Felhőhöz készült Defender védi az Elastic Kubernetes Service szolgáltatásban üzemeltetett fürtöt, a naplóadatok gyűjtése ügynök nélküli. Ezek a szükséges összetevők a Microsoft Defender for Containers teljes körű védelmének biztosításához:
Kubernetes-naplózási naplók – Az AWS-fiók CloudWatch-fiókja lehetővé teszi és összegyűjti az auditnapló adatait egy ügynök nélküli gyűjtőn keresztül, és elküldi az összegyűjtött adatokat a Felhőhöz készült Microsoft Defender háttérrendszernek további elemzés céljából.
Azure Arc-kompatibilis Kubernetes – Azure Arc-kompatibilis Kubernetes – A fürt egy csomópontjára telepített érzékelőalapú megoldás, amely összekapcsolja a fürtöket a Felhőhöz készült Defender. Felhőhöz készült Defender ezután üzembe helyezheti a következő két ügynököt Arc-bővítmények:
Defender-érzékelő: Az egyes csomópontokon üzembe helyezett DaemonSet eBPF technológiával gyűjti a gazdagépektől érkező jeleket, és futásidejű védelmet nyújt. Az érzékelő regisztrálva van egy Log Analytics-munkaterületen, és adatfolyamként használatos. A naplóadatokat azonban nem a Log Analytics-munkaterület tárolja. A Defender-érzékelő Arc-kompatibilis Kubernetes-bővítményként van üzembe helyezve.
Azure Policy for Kubernetes: Egy pod, amely kiterjeszti a nyílt forráskódú Gatekeeper v3-at , és webes horogként regisztrál a Kubernetes-beléptetés-vezérléshez, lehetővé téve a helyszíni kényszerítéseket és a fürtökre vonatkozó biztonsági intézkedéseket központosított, konzisztens módon. Az Azure Policy for Kubernetes-pod Arc-kompatibilis Kubernetes-bővítményként van üzembe helyezve. A fürtben csak egy csomóponton van telepítve. További információ: Kubernetes-számítási feladatok védelme és a Kubernetes-fürtökhöz készült Azure Policy ismertetése.
Hogyan működik a Kubernetes ügynök nélküli felderítése az AWS-ben?
A felderítési folyamat az időközönként készített pillanatképeken alapul:
Amikor engedélyezi az ügynök nélküli felderítést a Kubernetes-bővítményhez, a következő folyamat következik be:
Létrehozás:
Az Felhőhöz készült Defender MDCContainersAgentlessDiscoveryK8sRole szerepkört hozzá kell adni az EKS-fürtök aws-auth ConfigMap eleméhez. A név testre szabható.
Hozzárendelés: Felhőhöz készült Defender hozzárendeli az MDCContainersAgentlessDiscoveryK8sRole szerepkört a következő engedélyekhez:
eks:UpdateClusterConfig
eks:DescribeCluster
Felfedezés: A rendszer által hozzárendelt identitás használatával Felhőhöz készült Defender az EKS-fürtök felderítését hajtja végre a környezetben az EKS API-kiszolgálójára irányuló API-hívások használatával.
Feljegyzés
A másolt pillanatkép ugyanabban a régióban marad, mint a fürt.
Felhőhöz készült Defender és GKE-fürtök architektúradiagramja
Ha Felhőhöz készült Defender védi a Google Kubernetes Engine-ben üzemeltetett fürtöket, a naplóadatok gyűjtése ügynök nélküli. Ezek a szükséges összetevők a Microsoft Defender for Containers teljes körű védelmének biztosításához:
Kubernetes-naplók – A GCP felhőnaplózása lehetővé teszi és összegyűjti a naplóadatokat egy ügynök nélküli gyűjtőn keresztül, és az összegyűjtött adatokat elküldi a Felhőhöz készült Microsoft Defender háttérrendszernek további elemzés céljából.
Azure Arc-kompatibilis Kubernetes – Azure Arc-kompatibilis Kubernetes – A fürt egy csomópontjára telepített érzékelőalapú megoldás, amely lehetővé teszi a fürtök számára, hogy csatlakozzanak Felhőhöz készült Defender. Felhőhöz készült Defender ezután üzembe helyezheti a következő két ügynököt Arc-bővítmények:
Defender-érzékelő: Az egyes csomópontokon üzembe helyezett DaemonSet eBPF technológiával gyűjti a gazdagépektől érkező jeleket, és futásidejű védelmet nyújt. Az érzékelő regisztrálva van egy Log Analytics-munkaterületen, és adatfolyamként használatos. A naplóadatokat azonban nem a Log Analytics-munkaterület tárolja.
Azure Policy for Kubernetes: Egy pod, amely kiterjeszti a nyílt forráskódú Gatekeeper v3-at , és webes horogként regisztrál a Kubernetes-beléptetés-vezérléshez, lehetővé téve a helyszíni kényszerítéseket és a fürtökre vonatkozó biztonsági intézkedéseket központosított, konzisztens módon. Az Azure Policy for Kubernetes-pod Arc-kompatibilis Kubernetes-bővítményként van üzembe helyezve. Csak a fürt egy csomópontján kell telepíteni. További információ: Kubernetes-számítási feladatok védelme és a Kubernetes-fürtökhöz készült Azure Policy ismertetése.
Hogyan működik a Kubernetes ügynök nélküli felderítése a GCP-ben?
A felderítési folyamat az időközönként készített pillanatképeken alapul:
Amikor engedélyezi az ügynök nélküli felderítést a Kubernetes-bővítményhez, a következő folyamat következik be:
Létrehozás:
Létrejön az mdc-containers-k8s-operátor szolgáltatásfiók. A név testre szabható.
Hozzárendelés: Felhőhöz készült Defender a következő szerepköröket csatolja az mdc-containers-k8s-operátor szolgáltatásfiókhoz:
Az egyéni szerepkör MDCGkeClusterWriteRole, amely rendelkezik az container.clusters.update engedéllyel
A beépített szerepkör container.viewer
Felfedezés: A rendszer által hozzárendelt identitás használatával Felhőhöz készült Defender a környezetben lévő GKE-fürtök felderítését hajtja végre a GKE API-kiszolgálójához intézett API-hívások használatával.
Feljegyzés
A másolt pillanatkép ugyanabban a régióban marad, mint a fürt.
Következő lépések
Ebben az áttekintésben megismerhette a tárolóbiztonság architektúráját Felhőhöz készült Microsoft Defender. A terv engedélyezéséhez lásd: