A Microsoft Defender for Containers összetevőinek konfigurálása
A Microsoft Defender for Containers a tárolók biztonságossá tételének felhőalapú natív megoldása.
A Defender tárolókhoz a következők mindegyikében futó fürtöknek védelmet nyújt:
Azure Kubernetes Service (AKS) – A Microsoft felügyelt szolgáltatása tárolóalapú alkalmazások fejlesztésére, üzembe helyezésére és kezelésére.
Amazon Elastic Kubernetes Service (EKS) egy csatlakoztatott Amazon Web Services -fiókban – Az Amazon felügyelt szolgáltatása a Kubernetes AWS-en való futtatásához anélkül, hogy saját Kubernetes-vezérlősíkot vagy csomópontokat kellene telepítenie, üzemeltetnie és karbantartania.
Google Kubernetes Engine (GKE) egy csatlakoztatott Google Cloud Platform (GCP) projektben – A Google felügyelt környezete alkalmazások GCP-infrastruktúrával történő üzembe helyezéséhez, kezeléséhez és méretezéséhez.
Egyéb Kubernetes-disztribúciók (az Azure Arc-kompatibilis Kubernetes használatával) – Cloud Native Computing Foundation (CNCF) minősített Kubernetes-fürtök, amelyek a helyszínen vagy az IaaS-en üzemelnek. További információkért tekintse meg a támogatott funkciók környezet szerinti helyszíni/IaaS (Arc) szakaszát.
Erről a csomagról a Microsoft Defender for Containers áttekintésében olvashat.
Az alábbi cikkekből megtudhatja, hogyan csatlakoztathatja és védheti a tárolókat:
- Az Azure-tárolók védelme a Defender for Containers használatával
- A helyszíni Kubernetes-fürtök védelme a Defender for Containers használatával
- Az Amazon Web Service -fiókok (AWS- és AWS-fiókok) védelme a Defender for Containers szolgáltatással
- A Google Cloud Platform (GCP) projekttárolóinak védelme a Defender for Containers használatával
További információt a mező videósorozat Felhőhöz készült Defender alábbi videóiból is megtudhat:
- Microsoft Defender tárolókhoz többfelhős környezetben
- Tárolók védelme a GCP-ben a Defender for Containers használatával
Feljegyzés
A Defender for Containers arc-kompatibilis Kubernetes-fürtökhöz nyújtott támogatása előzetes verziójú funkció. Az előzetes verziójú funkció önkiszolgáló, opt-in alapon érhető el.
Az előzetes verziókat "ahogy van" és "rendelkezésre állóként" biztosítjuk, és nem tartoznak a szolgáltatásiszint-szerződésekbe és korlátozott jótállásba.
A támogatott operációs rendszerekről, a szolgáltatások rendelkezésre állásáról, a kimenő proxyról és egyebekről a Defender for Containers szolgáltatás rendelkezésre állásáról olvashat.
Hálózati követelmények
Ellenőrizze, hogy a következő végpontok vannak-e konfigurálva a kimenő hozzáféréshez, hogy a Defender-érzékelő kapcsolódni tud Felhőhöz készült Microsoft Defender biztonsági adatok és események küldéséhez:
Tekintse meg a Microsoft Defender for Containershez szükséges teljes tartománynév-/alkalmazásszabályokat.
Alapértelmezés szerint az AKS-fürtök korlátlan kimenő internetkapcsolattal rendelkeznek.
Hálózati követelmények
Ellenőrizze, hogy a következő végpontok vannak-e konfigurálva a kimenő hozzáféréshez, hogy a Defender-érzékelő kapcsolódni tud Felhőhöz készült Microsoft Defender biztonsági adatok és események küldéséhez:
Nyilvános felhőbeli üzemelő példányok esetén:
Azure Domain | Azure Government Domain | A 21Vianet Domain által üzemeltetett Microsoft Azure | Kikötő |
---|---|---|---|
*.ods.opinsights.azure.com | *.ods.opinsights.azure.us | *.ods.opinsights.azure.cn | 443 |
*.oms.opinsights.azure.com | *.oms.opinsights.azure.us | *.oms.opinsights.azure.cn | 443 |
login.microsoftonline.com | login.microsoftonline.us | login.chinacloudapi.cn | 443 |
Emellett ellenőriznie kell az Azure Arc-kompatibilis Kubernetes hálózati követelményeit is.
A csomag engedélyezése
A terv engedélyezése:
A Felhőhöz készült Defender menüjében nyissa meg a Beállítások lapot, és válassza ki a megfelelő előfizetést.
A Defender csomagok lapján válassza a Defender for Containers elemet, majd a Beállítások lehetőséget.
Tipp.
Ha az előfizetésben már engedélyezve van a Kubernetes Defender és/vagy a Tárolóregisztrációs adatbázisokhoz készült Defender, megjelenik egy frissítési értesítés. Ellenkező esetben az egyetlen lehetőség a Defender for Containers lesz.
Kapcsolja be a megfelelő összetevőt az engedélyezéséhez.
Feljegyzés
- A Defenders for Containers azon ügyfeleinek, akik 2023 augusztusa előtt csatlakoztak, és nem engedélyezték a Kubernetes ügynök nélküli felderítését a Defender CSPM részeként, amikor engedélyezték a tervet, manuálisan engedélyezniük kell a Kubernetes-bővítmény ügynök nélküli felderítését a Defender for Containers csomagban.
- Ha kikapcsolja a Defender for Containers szolgáltatást, az összetevők ki vannak kapcsolva, és nem lesznek üzembe helyezve további tárolókban, de nem távolítják el őket a már telepített tárolókból.
Engedélyezési módszer képességenként
Alapértelmezés szerint a csomag Azure Portalon keresztüli engedélyezésekor a Microsoft Defender for Containers úgy van konfigurálva, hogy automatikusan engedélyezze az összes képességet, és telepítse az összes szükséges összetevőt a csomag által kínált védelem biztosításához, beleértve az alapértelmezett munkaterület hozzárendelését is.
Ha nem szeretné engedélyezni a csomagok összes funkcióját, manuálisan kiválaszthatja, hogy mely képességeket szeretné engedélyezni a Tárolók csomag konfigurációjának szerkesztésével. Ezután a Beállítások > monitorozás lapon válassza ki az engedélyezni kívánt képességeket. A konfigurációt a Defender csomagok lapján is módosíthatja a csomag kezdeti konfigurálása után.
Az egyes képességek engedélyezési módszerével kapcsolatos részletes információkért tekintse meg a támogatási mátrixot.
Szerepkörök és engedélyek
További információ a Defender for Containers bővítmények kiépítéséhez használt szerepkörökről.
Egyéni munkaterület hozzárendelése a Defender-érzékelőhöz
Egyéni munkaterületet az Azure Policy használatával rendelhet hozzá.
A Defender-érzékelő vagy az Azure Policy Agent manuális üzembe helyezése automatikus üzembe helyezés nélkül, javaslatok használatával
Az érzékelőtelepítést igénylő képességek egy vagy több Kubernetes-fürtön is üzembe helyezhetők a megfelelő javaslat alapján:
Érzékelő | Ajánlás |
---|---|
Defender-érzékelő a Kuberneteshez | Az Azure Kubernetes Service-fürtöknek engedélyezniük kell a Defender-profilt |
Defender Sensor for Arc-enabled Kubernetes | Az Azure Arc-kompatibilis Kubernetes-fürtöken telepítve kell lennie a Defender-bővítménynek |
Azure policy agent for Kubernetes | Az Azure Kubernetes Service-fürtöknek telepítve kell lenniük a Kubernetes Azure Policy bővítményével |
Azure policy agent for Arc-enabled Kubernetes | Az Azure Arc-kompatibilis Kubernetes-fürtöken telepítve kell lennie az Azure Policy-bővítménynek |
Hajtsa végre az alábbi lépéseket a Defender-érzékelő adott fürtökön való üzembe helyezéséhez:
A Felhőhöz készült Microsoft Defender javaslatoldalán nyissa meg a Fokozott biztonság szabályozásának engedélyezése lehetőséget, vagy keressen közvetlenül a fenti javaslatok egyikére (vagy használja a fenti hivatkozásokat a javaslat közvetlen megnyitásához)
Az összes olyan fürt megtekintése, amely nem rendelkezik érzékelővel, a nem megfelelő állapotú lapon.
Jelölje ki a fürtöket a kívánt érzékelő üzembe helyezéséhez, és válassza a Javítás lehetőséget.
Válassza az X-erőforrások javítása lehetőséget.
A Defender-érzékelő üzembe helyezése – minden lehetőség
Engedélyezheti a Defender for Containers-csomagot, és üzembe helyezheti az összes releváns összetevőt az Azure Portalról, a REST API-ból vagy egy Resource Manager-sablonnal. A részletes lépésekért válassza a megfelelő lapot.
A Defender-érzékelő üzembe helyezése után a rendszer automatikusan hozzárendel egy alapértelmezett munkaterületet. Az alapértelmezett munkaterület helyett egyéni munkaterületet rendelhet hozzá az Azure Policy használatával.
Feljegyzés
A Defender-érzékelő minden csomóponton üzembe van helyezve, hogy biztosítsa a futásidejű védelmet, és eBPF-technológiával gyűjtsön jeleket ezekről a csomópontokról.
A javítás gomb használata a Felhőhöz készült Defender javaslatból
Az egyszerűsített, súrlódásmentes folyamat lehetővé teszi, hogy az Azure Portal lapjaival engedélyezze a Felhőhöz készült Defender tervét, és beállítsa az összes szükséges összetevő automatikus kiépítését a Kubernetes-fürtök nagy léptékű védelméhez.
Egy dedikált Felhőhöz készült Defender javaslat a következőt nyújtja:
- Annak láthatósága , hogy melyik fürtön van üzembe helyezve a Defender-érzékelő
- Javítás gomb az érzékelő nélküli fürtökre való üzembe helyezéshez
A Felhőhöz készült Microsoft Defender javaslatoldalán nyissa meg a Fokozott biztonság szabályozásának engedélyezése lehetőséget.
A szűrővel megkeresheti az Azure Kubernetes Service-fürtökre vonatkozó javaslatot, ha engedélyezve van a Defender-profil.
Tipp.
Figyelje meg a Javítás ikont a Műveletek oszlopban
Válassza ki a fürtöket az kifogástalan és nem kifogástalan erőforrások részleteinek megtekintéséhez – az érzékelővel és anélkül rendelkező fürtökről.
A nem megfelelő erőforrások listájában válasszon ki egy fürtöt, majd a Szervizelés lehetőséget választva nyissa meg a panelt a szervizelési megerősítéssel.
Válassza az X-erőforrások javítása lehetőséget.
A csomag engedélyezése
A terv engedélyezése:
A Felhőhöz készült Defender menüjében nyissa meg a Beállítások lapot, és válassza ki a megfelelő előfizetést.
A Defender csomagok lapján válassza a Defender for Containers elemet, majd a Beállítások lehetőséget.
Tipp.
Ha az előfizetésben már engedélyezve van a Kubernetes Defender vagy a Tárolóregisztrációs adatbázisokhoz készült Defender, megjelenik egy frissítési értesítés. Ellenkező esetben az egyetlen lehetőség a Defender for Containers lesz.
Kapcsolja be a megfelelő összetevőt az engedélyezéséhez.
Feljegyzés
Ha kikapcsolja a Defender for Containers szolgáltatást, az összetevők ki vannak kapcsolva, és nem lesznek üzembe helyezve további tárolókban, de nem távolítják el őket a már telepített tárolókból.
Alapértelmezés szerint, amikor az Azure Portalon keresztül engedélyezi a csomagot, a Microsoft Defender for Containers úgy van konfigurálva, hogy automatikusan telepítse a szükséges összetevőket a csomag által kínált védelem biztosításához, beleértve az alapértelmezett munkaterület hozzárendelését is.
Ha le szeretné tiltani az összetevők automatikus telepítését az előkészítési folyamat során, válassza a Tárolók csomag konfigurációjának szerkesztése lehetőséget. Megjelennek a Speciális beállítások, és letilthatja az egyes összetevők automatikus telepítését.
Emellett ezt a konfigurációt a Defender csomagok oldaláról is módosíthatja.
Feljegyzés
Ha úgy dönt, hogy bármikor letiltja a csomagot , miután engedélyezte a portálon a fent látható módon, manuálisan el kell távolítania a fürtökön üzembe helyezett Defender for Containers-összetevőket.
Egyéni munkaterületet az Azure Policy használatával rendelhet hozzá.
Ha bármely összetevő automatikus telepítését letiltja, a megfelelő javaslattal egyszerűen üzembe helyezheti az összetevőt egy vagy több fürtön:
- Házirend-bővítmény a Kuberneteshez – Az Azure Kubernetes Service-fürtöknek telepítve kell lenniük a KubernetesHez készült Azure Policy-bővítménynek
- Azure Kubernetes Service-profil – Az Azure Kubernetes Service-fürtöknek engedélyezniük kell a Defender-profilt
- Azure Arc-kompatibilis Kubernetes-bővítmény – Az Azure Arc-kompatibilis Kubernetes-fürtöken telepítve kell lennie a Defender-bővítménynek
- Azure Arc-kompatibilis Kubernetes Policy-bővítmény – Az Azure Arc-kompatibilis Kubernetes-fürtöknek telepítve kell lenniük az Azure Policy-bővítménysel
További információ a Defender for Containers bővítmények kiépítéséhez használt szerepkörökről.
Előfeltételek
Az érzékelő üzembe helyezése előtt győződjön meg arról, hogy:
- A Kubernetes-fürt csatlakoztatása az Azure Archoz
- Töltse ki az általános fürtbővítmények dokumentációjában felsorolt előfeltételeket.
A Defender-érzékelő üzembe helyezése
A Defender-érzékelőt többféle módszerrel is üzembe helyezheti. A részletes lépésekért válassza a megfelelő lapot.
A javítás gomb használata a Felhőhöz készült Defender javaslatból
Egy dedikált Felhőhöz készült Defender javaslat a következőt nyújtja:
- Annak láthatósága , hogy melyik fürtön van üzembe helyezve a Defender-érzékelő
- Javítás gomb az érzékelő nélküli fürtökre való üzembe helyezéshez
A Felhőhöz készült Microsoft Defender javaslatoldalán nyissa meg a Fokozott biztonság szabályozásának engedélyezése lehetőséget.
A szűrővel keresse meg az Azure Arc-kompatibilis Kubernetes-fürtökre vonatkozó javaslatot, Felhőhöz készült Defender bővítményének telepítve kell lennie.
Tipp.
Figyelje meg a Javítás ikont a Műveletek oszlopban
Válassza ki az érzékelőt az egészséges és nem kifogástalan erőforrások – az érzékelővel és anélkül rendelkező fürtök részleteinek megtekintéséhez.
A nem megfelelő erőforrások listájában válasszon ki egy fürtöt, majd a Szervizelés lehetőséget választva nyissa meg a panelt a szervizelési beállításokkal.
Válassza ki a megfelelő Log Analytics-munkaterületet, és válassza az X-erőforrás szervizelése lehetőséget.
Az üzemelő példány ellenőrzése
Annak ellenőrzéséhez, hogy a fürtön telepítve van-e a Defender-érzékelő, kövesse az alábbi fülek egyikének lépéseit:
Az érzékelő állapotának ellenőrzéséhez használja Felhőhöz készült Defender javaslatot
A Felhőhöz készült Microsoft Defender javaslatoldalán nyissa meg az Engedélyezés Felhőhöz készült Microsoft Defender biztonsági vezérlőt.
Válassza ki az Azure Arc-kompatibilis Kubernetes-fürtökre vonatkozó javaslatot, Felhőhöz készült Microsoft Defender bővítményének telepítve kell lennie.
Ellenőrizze, hogy az a fürt, amelyre telepítette az érzékelőt, kifogástalan állapotú-e.
A csomag engedélyezése
Fontos
- Ha még nem csatlakoztatott AWS-fiókot, csatlakoztassa az AWS-fiókokat Felhőhöz készült Microsoft Defender.
- Ha már engedélyezte a tervet az összekötőn, és módosítani szeretné az opcionális konfigurációkat, vagy új képességeket szeretne engedélyezni, lépjen közvetlenül a 4. lépésre.
Az EKS-fürtök védelméhez engedélyezze a Tárolók csomagot a megfelelő fiókösszekötőn:
A Felhőhöz készült Defender menüjében nyissa meg a Környezeti beállításokat.
Válassza ki az AWS-összekötőt.
Ellenőrizze, hogy a Tárolók csomag kapcsolója be van-e kapcsolva.
A csomag opcionális konfigurációinak módosításához válassza a Beállítások lehetőséget.
A Defender for Containershez vezérlősík-naplózási naplókra van szükség a futtatókörnyezeti veszélyforrások elleni védelem biztosításához. Ha Kubernetes-naplókat szeretne küldeni a Microsoft Defendernek, kapcsolja be a beállítást . Az auditnaplók megőrzési időtartamának módosításához adja meg a szükséges időkeretet.
A Kubernetes ügynök nélküli felderítése API-alapú felderítést biztosít a Kubernetes-fürtök számára. A Kubernetes ügynök nélküli felderítésének engedélyezéséhez állítsa be a beállítást Be értékre.
Az ügynök nélküli tároló sebezhetőségi felmérése biztonságirés-kezelés biztosít az ECR-ben tárolt és az EKS-fürtökön futó képekhez. Az ügynök nélküli tároló biztonságirés-felmérési funkciójának engedélyezéséhez állítsa be a beállítást Be értékre.
Folytassa az összekötő varázsló fennmaradó lapjait.
Ha engedélyezi az Ügynök nélküli felderítés a Kuberneteshez funkciót, engedélyeznie kell a vezérlősík-engedélyeket a fürtön. Ezt az alábbi módok egyikével teheti meg:
Futtassa ezt a Python-szkriptet az engedélyek megadásához. A szkript hozzáadja az MDCContainersAgentlessDiscoveryK8sRole Felhőhöz készült Defender szerepkört a előkészíteni kívánt EKS-fürtök aws-auth ConfigMap eleméhez.
Adjon minden Amazon EKS-fürtnek MDCContainersAgentlessDiscoveryK8sRole szerepkört a fürttel való interakcióhoz. Jelentkezzen be az összes meglévő és újonnan létrehozott fürtbe az eksctl használatával, és hajtsa végre a következő szkriptet:
eksctl create iamidentitymapping \ --cluster my-cluster \ --region region-code \ --arn arn:aws:iam::account:role/MDCContainersAgentlessDiscoveryK8sRole \ --group system:masters\ --no-duplicate-arns
További információ: Az IAM egyszerű hozzáférésének engedélyezése a fürthöz.
Az Azure Arc-kompatibilis Kubernetes, a Defender-érzékelő és az Azure Policy for Kubernetes telepítése és futtatása az EKS-fürtökön történik. A bővítmények (és szükség esetén az Azure Arc) telepítéséhez dedikált Felhőhöz készült Defender javaslatok tartoznak:
EKS clusters should have Microsoft Defender's extension for Azure Arc installed
Az egyes javaslatokhoz kövesse az alábbi lépéseket a szükséges bővítmények telepítéséhez.
A szükséges bővítmények telepítése:
Felhőhöz készült Defender Javaslatok lapján név szerint keressen rá az egyik javaslatra.
Jelöljön ki egy nem kifogástalan fürtöt.
Fontos
A fürtöket egyenként kell kijelölnie.
Ne jelölje ki a fürtöket a hivatkozott neveik alapján: a megfelelő sorban bárhol máshol jelölje ki a fürtöket.
Válassza a Javítás opciót.
Felhőhöz készült Defender egy tetszőleges nyelven hoz létre szkriptet: válassza a Bash (Linux) vagy a PowerShell (Windows esetén) lehetőséget.
Válassza a Letöltési szervizelési logika lehetőséget.
Futtassa a létrehozott szkriptet a fürtön.
Ismételje meg az "a" és az "f" lépéseket a második javaslathoz.
EKS-fürtökre vonatkozó javaslatok és riasztások megtekintése
Tipp.
A tárolóriasztások szimulálásához kövesse az ebben a blogbejegyzésben található utasításokat.
Az EKS-fürtökre vonatkozó riasztások és javaslatok megtekintéséhez használja a riasztások, javaslatok és leltároldalak szűrőit az AWS EKS-fürt erőforrástípus szerinti szűréséhez.
A Defender-érzékelő üzembe helyezése
A Defender-érzékelő AWS-fürtökön való üzembe helyezéséhez kövesse az alábbi lépéseket:
Nyissa meg a Felhőhöz készült Microsoft Defender ->Környezeti beállítások ->Környezet hozzáadása ->Amazon Web Services lehetőséget.
Adja meg a fiók adatait.
Nyissa meg a Csomagok kiválasztása lehetőséget, nyissa meg a Tárolók csomagot, és győződjön meg arról, hogy az Azure Arc Defender érzékelőjének automatikus kiépítése be van kapcsolva.
Nyissa meg a Hozzáférés konfigurálása elemet, és kövesse az ott leírt lépéseket.
A Cloud Formation-sablon sikeres üzembe helyezése után válassza a Létrehozás lehetőséget.
Feljegyzés
Egy adott AWS-fürtöt kizárhat az automatikus kiépítésből. Az érzékelő üzembe helyezéséhez alkalmazza az ms_defender_container_exclude_agents
erőforrás címkéjét az értékkel true
. Ügynök nélküli üzembe helyezés esetén alkalmazza az ms_defender_container_exclude_agentless
erőforrás címkéjét az értékkel true
.
A csomag engedélyezése
Fontos
Ha még nem csatlakoztatott GCP-projektet, csatlakoztassa a GCP-projekteket Felhőhöz készült Microsoft Defender.
A GKE-fürtök védelméhez engedélyeznie kell a tárolók tervét a megfelelő GCP-projektben.
Feljegyzés
Ellenőrizze, hogy nincsenek-e olyan Azure-szabályzatok, amelyek megakadályozzák az Arc telepítését.
A Google Kubernetes Engine -fürtök védelme:
Jelentkezzen be az Azure Portalra.
Lépjen a Felhőhöz készült Microsoft Defender> Környezet beállításaihoz.
Válassza ki a megfelelő GCP-összekötőt
Válassza a Tovább: Tervek > kiválasztása gombot.
Győződjön meg arról, hogy a Tárolók csomag be van kapcsolva.
A csomag opcionális konfigurációinak módosításához válassza a Beállítások lehetőséget.
A Kubernetes naplózási naplóit a következőre Felhőhöz készült Defender: Alapértelmezés szerint engedélyezve van. Ez a konfiguráció csak a GCP-projekt szintjén érhető el. Ügynök nélküli adatgyűjtést biztosít a naplóadatokról a GCP-felhőnaplózáson keresztül a Felhőhöz készült Microsoft Defender háttérrendszerbe további elemzés céljából. A Defender for Containershez vezérlősík-naplózási naplókra van szükség a futtatókörnyezeti veszélyforrások elleni védelem biztosításához. Ha Kubernetes-naplókat szeretne küldeni a Microsoft Defendernek, kapcsolja be a beállítást .
A Defender érzékelőjének automatikus kiépítése az Azure Archoz és az Azure Policy-bővítmény automatikus kiépítése az Azure Archoz: Alapértelmezés szerint engedélyezve van. Az Azure Arc-kompatibilis Kubernetes és annak bővítményei három módon telepíthetők a GKE-fürtökre:
- A Defender for Containers projektszinten történő automatikus üzembe helyezésének engedélyezése az ebben a szakaszban ismertetett utasításoknak megfelelően. Ezt a módszert javasoljuk.
- Használjon Felhőhöz készült Defender javaslatokat a fürtönkénti telepítéshez. Ezek megjelennek a Felhőhöz készült Microsoft Defender javaslatok oldalán. Megtudhatja, hogyan helyezheti üzembe a megoldást adott fürtökön.
- Az Arc-kompatibilis Kubernetes és -bővítmények manuális telepítése.
A Kubernetes ügynök nélküli felderítése API-alapú felderítést biztosít a Kubernetes-fürtök számára. A Kubernetes ügynök nélküli felderítésének engedélyezéséhez állítsa be a beállítást Be értékre.
Az ügynök nélküli tároló sebezhetőségi felmérése biztonságirés-kezelés biztosít a Google-nyilvántartásokban (GAR és GCR) tárolt képekhez, valamint képeket futtat a GKE-fürtökön. Az ügynök nélküli tároló biztonságirés-felmérési funkciójának engedélyezéséhez állítsa be a beállítást Be értékre.
Válassza a Másolás gombot.
Válassza a GCP Cloud Shell > gombot.
Illessze be a szkriptet a Cloud Shell-terminálba, és futtassa.
Az összekötő a szkript végrehajtása után frissül. Ez a folyamat akár 6-8 órát is igénybe vehet.
A megoldás üzembe helyezése adott fürtökön
Ha letiltotta az alapértelmezett automatikus kiépítési konfigurációkat kikapcsolva, a GCP-összekötő előkészítési folyamata során vagy utána. Manuálisan kell telepítenie az Azure Arc-kompatibilis Kubernetes-t, a Defender-érzékelőt és az Azure Policy for Kubernetes-t az egyes GKE-fürtökre, hogy a Defender for Containers teljes biztonsági értéket kapjon.
A bővítmények (és szükség esetén az Arc) telepítéséhez 2 dedikált Felhőhöz készült Defender javaslat érhető el:
GKE clusters should have Microsoft Defender's extension for Azure Arc installed
GKE clusters should have the Azure Policy extension installed
Feljegyzés
Az Arc-bővítmények telepítésekor ellenőriznie kell, hogy a megadott GCP-projekt megegyezik-e a megfelelő összekötőben lévő projektel.
A megoldás üzembe helyezése adott fürtökön:
Jelentkezzen be az Azure Portalra.
Lépjen a Felhőhöz készült Microsoft Defender> Recommendations elemre.
Felhőhöz készült Defender Javaslatok lapján név szerint keressen rá az egyik javaslatra.
Jelöljön ki egy nem kifogástalan állapotú GKE-fürtöt.
Fontos
A fürtöket egyenként kell kijelölnie.
Ne jelölje ki a fürtöket a hivatkozott neveik alapján: a megfelelő sorban bárhol máshol jelölje ki a fürtöket.
Válassza ki a nem megfelelő erőforrás nevét.
Válassza a Javítás opciót.
Felhőhöz készült Defender egy tetszőleges nyelven hoz létre szkriptet:
- Linux esetén válassza a Bash lehetőséget.
- Windows esetén válassza a PowerShellt.
Válassza a Letöltési szervizelési logika lehetőséget.
Futtassa a létrehozott szkriptet a fürtön.
Ismételje meg a 3–8. lépést a második javaslathoz.
GKE-fürtriasztások megtekintése
Jelentkezzen be az Azure Portalra.
Lépjen a Felhőhöz készült Microsoft Defender> Security-riasztásokhoz.
Válassza az gombot.
A Szűrő legördülő menüben válassza az Erőforrás típusa lehetőséget.
Az Érték legördülő menüben válassza a GCP GKE-fürt lehetőséget.
Kattintson az OK gombra.
A Defender-érzékelő üzembe helyezése
A Defender-érzékelő GCP-fürtökön való üzembe helyezéséhez kövesse az alábbi lépéseket:
Nyissa meg a Felhőhöz készült Microsoft Defender ->Környezeti beállítások ->Környezet hozzáadása ->Google Cloud Platform lehetőséget.
Adja meg a fiók adatait.
Nyissa meg a Csomagok kiválasztása lehetőséget, nyissa meg a Tárolók csomagot, és győződjön meg arról, hogy be van kapcsolva az Azure Arc Defender érzékelőjének automatikus kiépítése.
Nyissa meg a Hozzáférés konfigurálása elemet, és kövesse az ott leírt lépéseket.
A gcloud-szkript sikeres futtatása után válassza a Létrehozás lehetőséget.
Feljegyzés
Egy adott GCP-fürtöt kizárhat az automatikus kiépítésből. Az érzékelő üzembe helyezéséhez alkalmazza az ms_defender_container_exclude_agents
erőforrás címkéjét az értékkel true
. Ügynök nélküli üzembe helyezés esetén alkalmazza az ms_defender_container_exclude_agentless
erőforrás címkéjét az értékkel true
.
A Microsoft Defender for Containers biztonsági riasztásainak szimulálása
A támogatott riasztások teljes listája elérhető az összes Felhőhöz készült Defender biztonsági riasztás referenciatáblájában.
Biztonsági riasztás szimulálásához futtassa a következő parancsot a fürtből:
kubectl get pods --namespace=asc-alerttest-662jfi039n
A várt válasz a következő
No resource found
: .30 percen belül Felhőhöz készült Defender észleli ezt a tevékenységet, és biztonsági riasztást aktivál.
Feljegyzés
A Defender for Containers ügynök nélküli riasztásainak szimulálásához az Azure Arc nem előfeltétele.
Az Azure Portalon nyissa meg Felhőhöz készült Microsoft Defender biztonsági riasztások oldalát, és keresse meg a riasztást a megfelelő erőforráson:
A Defender-érzékelő eltávolítása
Az automatikus kiépítés kikapcsolásához nem elég, ha eltávolítja ezt a - vagy bármely - Felhőhöz készült Defender bővítményt:
- Az automatikus kiépítés engedélyezése hatással lehet a meglévő és a jövőbeli gépekre.
- A bővítmény automatikus kiépítésének letiltása csak a jövőbeli gépeket érinti – az automatikus kiépítés letiltásával semmi sem távolítható el.
Feljegyzés
A Defender for Containers csomag teljes kikapcsolásához lépjen a Környezeti beállítások elemre , és tiltsa le a Microsoft Defender for Containers csomagot.
Annak érdekében azonban, hogy a Defender for Containers összetevői mostantól ne legyenek automatikusan kiépítve az erőforrásokhoz, tiltsa le a bővítmények automatikus kiépítését az ügynökök és bővítmények automatikus kiépítésének konfigurálása Felhőhöz készült Microsoft Defender.<
A bővítményt az Azure Portal, az Azure CLI vagy a REST API használatával távolíthatja el az alábbi lapokban leírtak szerint.
A bővítmény eltávolítása az Azure Portal használatával
Alapértelmezett Log Analytics-munkaterület AKS-hez
A Log Analytics-munkaterületet a Defender-érzékelő adatfolyamatként használja, hogy adatokat küldjön a fürtből a Felhőhöz készült Defender anélkül, hogy a Log Analytics-munkaterületen tárolt adatokat megőrizze. Ennek eredményeképpen ebben a használati esetben a felhasználókat nem terheljük ki.
A Defender-érzékelő egy alapértelmezett Log Analytics-munkaterületet használ. Ha még nincs alapértelmezett Log Analytics-munkaterülete, Felhőhöz készült Defender új erőforráscsoportot és alapértelmezett munkaterületet hoz létre a Defender-érzékelő telepítésekor. Az alapértelmezett munkaterület a régió alapján jön létre.
Az alapértelmezett Log Analytics-munkaterület és erőforráscsoport elnevezési konvenciója a következő:
- Munkaterület: DefaultWorkspace-[subscription-ID]-[geo]
- Erőforráscsoport: DefaultResourceGroup-[geo]
Egyéni munkaterület hozzárendelése
Az automatikus kiépítés engedélyezésekor a rendszer automatikusan hozzárendel egy alapértelmezett munkaterületet. Egyéni munkaterületet az Azure Policy használatával rendelhet hozzá.
Annak ellenőrzéséhez, hogy van-e hozzárendelve munkaterület:
Jelentkezzen be az Azure Portalra.
Keresse meg és válassza ki a Szabályzatot.
Válassza a Definíciók lehetőséget.
Szabályzatazonosító
64def556-fbad-4622-930e-72d1d5589bf5
keresése.Válassza az Azure Kubernetes Service-fürtök konfigurálása a Defender-profil engedélyezéséhez.
Válassza a Hozzárendelés lehetőséget.
Ha a szabályzat még nem lett hozzárendelve a megfelelő hatókörhöz, kövesse az Új hozzárendelés létrehozása egyéni munkaterületi lépésekkel című témakört. Vagy kövesse a Frissítés hozzárendelést egyéni munkaterületi lépésekkel, ha a szabályzat már ki van rendelve, és módosítani szeretné, hogy egyéni munkaterületet használjon.
Új hozzárendelés létrehozása egyéni munkaterülettel
Ha a szabályzat nincs hozzárendelve, megjelenik Assignments (0)
.
Egyéni munkaterület hozzárendelése:
Válassza a Hozzárendelés lehetőséget.
A Paraméterek lapon törölje a jelölést a Csak a bemeneti vagy felülvizsgálati lehetőséget igénylő paraméterek kijelöléséből.
Válassza ki a LogAnalyticsWorkspaceResource azonosítót a legördülő menüből.
Válassza az Áttekintés + létrehozás lehetőséget.
Válassza a Létrehozás lehetőséget.
Hozzárendelés frissítése egyéni munkaterülettel
Ha a szabályzat már hozzá lett rendelve egy munkaterülethez, megjelenik Assignments (1)
.
Feljegyzés
Ha több előfizetéssel rendelkezik, a szám magasabb lehet.
Egyéni munkaterület hozzárendelése:
Válassza ki a megfelelő hozzárendelést.
Válassza a Hozzárendelés szerkesztése lehetőséget.
A Paraméterek lapon törölje a jelölést a Csak a bemeneti vagy felülvizsgálati lehetőséget igénylő paraméterek kijelöléséből.
Válassza ki a LogAnalyticsWorkspaceResource azonosítót a legördülő menüből.
Válassza a Véleményezés és mentés lehetőséget.
Válassza a Mentés lehetőséget.
Az Arc alapértelmezett Log Analytics-munkaterülete
A Log Analytics-munkaterületet a Defender-érzékelő adatfolyamatként használja, hogy adatokat küldjön a fürtből a Felhőhöz készült Defender anélkül, hogy a Log Analytics-munkaterületen tárolt adatokat megőrizze. Ennek eredményeképpen ebben a használati esetben a felhasználókat nem terheljük ki.
A Defender-érzékelő egy alapértelmezett Log Analytics-munkaterületet használ. Ha még nincs alapértelmezett Log Analytics-munkaterülete, Felhőhöz készült Defender új erőforráscsoportot és alapértelmezett munkaterületet hoz létre a Defender-érzékelő telepítésekor. Az alapértelmezett munkaterület a régió alapján jön létre.
Az alapértelmezett Log Analytics-munkaterület és erőforráscsoport elnevezési konvenciója a következő:
- Munkaterület: DefaultWorkspace-[subscription-ID]-[geo]
- Erőforráscsoport: DefaultResourceGroup-[geo]
Egyéni munkaterület hozzárendelése
Az automatikus kiépítés engedélyezésekor a rendszer automatikusan hozzárendel egy alapértelmezett munkaterületet. Egyéni munkaterületet az Azure Policy használatával rendelhet hozzá.
Annak ellenőrzéséhez, hogy van-e hozzárendelve munkaterület:
Jelentkezzen be az Azure Portalra.
Keressen rá, és válassza a Szabályzat lehetőséget.
Válassza a Definíciók lehetőséget.
Szabályzatazonosító
708b60a6-d253-4fe0-9114-4be4c00f012c
keresése.Válassza az Azure Arc-kompatibilis Kubernetes-fürtök konfigurálása Felhőhöz készült Microsoft Defender bővítmény telepítéséhez.
Válassza ki a Hozzárendelések lehetőséget.
Ha a szabályzat még nem lett hozzárendelve a megfelelő hatókörhöz, kövesse az Új hozzárendelés létrehozása egyéni munkaterületi lépésekkel című témakört. Vagy kövesse a Frissítés hozzárendelést egyéni munkaterületi lépésekkel, ha a szabályzat már ki van rendelve, és módosítani szeretné, hogy egyéni munkaterületet használjon.
Új hozzárendelés létrehozása egyéni munkaterülettel
Ha a szabályzat nincs hozzárendelve, megjelenik Assignments (0)
.
Egyéni munkaterület hozzárendelése:
Válassza a Hozzárendelés lehetőséget.
A Paraméterek lapon törölje a jelölést a Csak a bemeneti vagy felülvizsgálati lehetőséget igénylő paraméterek kijelöléséből.
Válassza ki a LogAnalyticsWorkspaceResource azonosítót a legördülő menüből.
Válassza az Áttekintés + létrehozás lehetőséget.
Válassza a Létrehozás lehetőséget.
Hozzárendelés frissítése egyéni munkaterülettel
Ha a szabályzat már hozzá lett rendelve egy munkaterülethez, megjelenik Assignments (1)
.
Feljegyzés
Ha több előfizetéssel rendelkezik, a szám magasabb lehet. Ha 1-es vagy újabb számmal rendelkezik, előfordulhat, hogy a hozzárendelés még mindig nem a megfelelő hatókörben van. Ha ez a helyzet, kövesse az Új hozzárendelés létrehozása egyéni munkaterület lépéseit.
Egyéni munkaterület hozzárendelése:
Válassza ki a megfelelő hozzárendelést.
Válassza a Hozzárendelés szerkesztése lehetőséget.
A Paraméterek lapon törölje a jelölést a Csak a bemeneti vagy felülvizsgálati lehetőséget igénylő paraméterek kijelöléséből.
Válassza ki a LogAnalyticsWorkspaceResource azonosítót a legördülő menüből.
Válassza a Véleményezés és mentés lehetőséget.
Válassza a Mentés lehetőséget.
A Defender-érzékelő eltávolítása
Az automatikus kiépítés kikapcsolásához nem elég, ha eltávolítja ezt a - vagy bármely - Felhőhöz készült Defender bővítményt:
- Az automatikus kiépítés engedélyezése hatással lehet a meglévő és a jövőbeli gépekre.
- A bővítmény automatikus kiépítésének letiltása csak a jövőbeli gépeket érinti – az automatikus kiépítés letiltásával semmi sem távolítható el.
Feljegyzés
A Defender for Containers csomag teljes kikapcsolásához lépjen a Környezeti beállítások elemre , és tiltsa le a Microsoft Defender for Containers csomagot.
Annak érdekében azonban, hogy a Defender for Containers összetevői mostantól ne legyenek automatikusan kiépítve az erőforrásokhoz, tiltsa le a bővítmények automatikus kiépítését az ügynökök és bővítmények automatikus kiépítésének konfigurálása Felhőhöz készült Microsoft Defender.<
A bővítményt a REST API-val vagy egy Resource Manager-sablonnal távolíthatja el az alábbi lapokban leírtak szerint.
A DEFENDER-érzékelő eltávolítása az AKS-ből a REST API használatával
A bővítmény REST API-val való eltávolításához futtassa a következő PUT parancsot:
https://management.azure.com/subscriptions/{{SubscriptionId}}/resourcegroups/{{ResourceGroup}}/providers/Microsoft.ContainerService/managedClusters/{{ClusterName}}?api-version={{ApiVersion}}
Név | Leírás | Kötelező |
---|---|---|
SubscriptionId | A fürt előfizetés-azonosítója | Igen |
ResourceGroup | Fürt erőforráscsoportja | Igen |
ClusterName | Fürt neve | Igen |
ApiVersion | AZ API-verziónak = 2022-06-01-nek kell lennie > | Igen |
Kérés törzse:
{
"location": "{{Location}}",
"properties": {
"securityProfile": {
"defender": {
"securityMonitoring": {
"enabled": false
}
}
}
}
}
Törzsparaméterek kérése:
Név | Leírás | Kötelező |
---|---|---|
hely | A fürt helye | Igen |
properties.securityProfile.defender.securityMonitoring.enabled | Meghatározza, hogy engedélyezi vagy letiltja-e a Microsoft Defender for Containerst a fürtön | Igen |
További információ
A következő blogokat tekintheti meg:
- A Google Cloud számítási feladatainak védelme Felhőhöz készült Microsoft Defender
- A Microsoft Defender for Containers bemutatása
- A többfelhős biztonság új neve: Felhőhöz készült Microsoft Defender
Következő lépések
Most, hogy engedélyezte a Defender for Containers szolgáltatást, a következőt teheti:
- Az ACR-rendszerképek biztonsági réseinek vizsgálata
- Az AWS-rendszerképek biztonsági réseinek vizsgálata Microsoft Defender biztonságirés-kezelés
- A GGP-rendszerképek biztonsági réseinek vizsgálata Microsoft Defender biztonságirés-kezelés
- Tekintse meg a Defender for Containers szolgáltatásra vonatkozó gyakori kérdéseket .