Defender untuk Kontainer dirancang secara berbeda untuk setiap lingkungan Kubernetes terlepas di mana dijalankannya:
Azure Kubernetes Service (AKS) - layanan terkelola Microsoft untuk mengembangkan, menyebarkan, dan mengelola aplikasi dalam kontainer.
Amazon Elastic Kubernetes Service (EKS) di akun AWS yang terhubung - Layanan terkelola Amazon untuk menjalankan Kubernetes di AWS tanpa perlu memasang, mengoperasikan, dan memelihara sarana kontrol atau simpul Kubernetes Anda sendiri.
Google Kubernetes Engine (GKE) dalam proyek Google Cloud Platform (GCP) yang terhubung - Lingkungan terkelola Google untuk menyebarkan, mengelola, dan menskalakan aplikasi menggunakan infrastruktur GCP.
Distribusi Kubernetes yang tidak dikelola (menggunakan Kubernetes berkemampuan Azure Arc) - Kluster Kubernetes bersertifikat Cloud Native Computing Foundation (CNCF) yang dihosting di jaringan lokal atau di infrastruktur sebagai layanan.
Catatan
Dukungan Defender untuk Kontainer untuk cluster Kubernetes yang mengaktifkan Arc (AWS EKS dan GCP GKE) adalah fitur pratinjau.
Untuk melindungi kontainer Kubernetes Anda, Defender untuk Kontainer menerima dan menganalisis:
Log audit dan peristiwa keamanan dari server API
Informasi konfigurasi kluster dari sarana kontrol
Konfigurasi beban kerja dari Azure Policy
Sinyal dan peristiwa keamanan dari tingkat node
Untuk mempelajari selengkapnya tentang detail implementasi seperti sistem operasi yang didukung, ketersediaan fitur, proksi keluar, lihat Ketersediaan fitur Defender for Containers.
Diagram arsitektur kluster Defender untuk Cloud dan AKS
Ketika Defender untuk Cloud melindungi kluster yang dihosting di Azure Kubernetes Service, pengumpulan data log audit tidak memiliki agen dan dikumpulkan secara otomatis melalui infrastruktur Azure tanpa pertimbangan biaya atau konfigurasi tambahan. Ini adalah komponen yang diperlukan untuk menerima perlindungan penuh yang ditawarkan oleh Pertahanan Microsoft untuk Kontainer:
Sensor defender: DaemonSet yang disebarkan pada setiap simpul, mengumpulkan sinyal dari host menggunakan teknologi eBPF, dan memberikan perlindungan runtime. Sensor terdaftar di ruang kerja Analitik Log, dan digunakan sebagai alur data. Namun, data log audit tidak disimpan di ruang kerja Log Analytics. Sensor Defender disebarkan sebagai profil Keamanan AKS.
Azure Policy untuk Kubernetes: Pod yang memperluas Gatekeeper v3 sumber terbuka dan mendaftar sebagai webhook ke kontrol penerimaan Kube sehingga memungkinkan untuk menerapkan penegakan skala besar, dan perlindungan pada kluster Anda secara terpusat dan konsisten. Pod Azure Policy for Kubernetes disebarkan sebagai add-on AKS. Ini hanya diinstal pada satu node di kluster. Untuk informasi selengkapnya, lihat Melindungi beban kerja Kubernetes Anda dan Memahami Azure Policy untuk kluster Kubernetes.
Sekumpulan kontainer yang berfokus pada pengumpulan inventaris dan peristiwa keamanan dari lingkungan Kubernetes yang tidak terbatas pada simpul tertentu.
* Batas sumber daya tidak dapat dikonfigurasi; Pelajari selengkapnya tentang batas sumber daya Kubernetes.
Bagaimana cara kerja penemuan tanpa agen untuk Kubernetes di Azure?
Proses penemuan didasarkan pada rekam jepret yang diambil pada interval:
Saat Anda mengaktifkan penemuan tanpa agen untuk ekstensi Kubernetes, proses berikut terjadi:
Buat:
Jika ekstensi diaktifkan dari Defender CSPM, Defender untuk Cloud membuat identitas di lingkungan pelanggan yang disebut CloudPosture/securityOperator/DefenderCSPMSecurityOperator.
Jika ekstensi diaktifkan dari Defender untuk Kontainer, Defender untuk Cloud membuat identitas di lingkungan pelanggan yang disebut CloudPosture/securityOperator/DefenderForContainersSecurityOperator.
Tetapkan: Defender untuk Cloud menetapkan peran bawaan yang disebut Operator Tanpa Agen Kubernetes ke identitas tersebut pada cakupan langganan. Peran berisi izin berikut:
Baca AKS (Microsoft.ContainerService/managedClusters/read)
Pelajari selengkapnya tentang Akses Tepercaya AKS.
Temukan: Menggunakan identitas yang ditetapkan sistem, Defender untuk Cloud melakukan penemuan kluster AKS di lingkungan Anda menggunakan panggilan API ke server API AKS.
Ikatan: Setelah penemuan kluster AKS, Defender untuk Cloud melakukan operasi pengikatan AKS dengan membuat antara identitas yang ClusterRoleBinding dibuat dan Kubernetes ClusterRoleaks:trustedaccessrole:defender-containers:microsoft-defender-operator. ClusterRole terlihat melalui API dan memberikan izin baca bidang data Defender untuk Cloud di dalam kluster.
Catatan
Rekam jepret yang disalin tetap berada di wilayah yang sama dengan kluster.
Diagram arsitektur Defender untuk Cloud dan kluster Kubernetes berkemampuan Arc
Komponen berikut ini diperlukan untuk menerima perlindungan penuh yang ditawarkan oleh Microsoft Defender untuk Kontainer:
Kubernetes dengan dukungan Azure Arc - Kubernetes dengan dukungan Azure Arc - Solusi berbasis sensor, diinstal pada satu node di kluster, yang menghubungkan kluster Anda ke Defender untuk Cloud. Defender untuk Cloud kemudian dapat menyebarkan dua agen berikut sebagai Ekstensi Arc:
Sensor defender: DaemonSet yang disebarkan pada setiap simpul, mengumpulkan sinyal host menggunakan teknologi eBPF dan log audit Kubernetes, untuk memberikan perlindungan runtime. Sensor terdaftar di ruang kerja Analitik Log, dan digunakan sebagai alur data. Namun, data log audit tidak disimpan di ruang kerja Log Analytics. Sensor Defender disebarkan sebagai ekstensi Kubernetes dengan dukungan Arc.
Azure Policy untuk Kubernetes: Pod yang memperluas Gatekeeper v3 sumber terbuka dan mendaftar sebagai webhook ke kontrol penerimaan Kube sehingga memungkinkan untuk menerapkan penegakan skala besar, dan perlindungan pada kluster Anda secara terpusat dan konsisten. Ini hanya diinstal pada satu node di kluster. Untuk informasi selengkapnya, lihat Melindungi beban kerja Kubernetes Anda dan Memahami Azure Policy untuk kluster Kubernetes.
Catatan
Dukungan Defender untuk Kontainer untuk cluster Kubernetes yang mengaktifkan Arc adalah fitur pratinjau.
Diagram arsitektur kluster Defender untuk Cloud dan EKS
Ketika Defender untuk Cloud melindungi kluster yang dihosting di Elastic Kubernetes Service, pengumpulan data log audit tidak memiliki agen. Ini adalah komponen yang diperlukan untuk menerima perlindungan penuh yang ditawarkan oleh Pertahanan Microsoft untuk Kontainer:
Log audit Kubernetes – CloudWatch akun AWS memungkinkan dan mengumpulkan data log audit melalui kolektor tanpa agen, dan mengirimkan informasi yang dikumpulkan ke backend Microsoft Defender untuk Cloud untuk analisis lebih lanjut.
Kubernetes dengan dukungan Azure Arc - Kubernetes dengan dukungan Azure Arc - Solusi berbasis sensor, diinstal pada satu node di kluster, yang menghubungkan kluster Anda ke Defender untuk Cloud. Defender untuk Cloud kemudian dapat menyebarkan dua agen berikut sebagai Ekstensi Arc:
Sensor defender: DaemonSet yang disebarkan pada setiap simpul, mengumpulkan sinyal dari host menggunakan teknologi eBPF, dan memberikan perlindungan runtime. Sensor terdaftar di ruang kerja Analitik Log, dan digunakan sebagai alur data. Namun, data log audit tidak disimpan di ruang kerja Log Analytics. Sensor Defender disebarkan sebagai ekstensi Kubernetes dengan dukungan Arc.
Azure Policy untuk Kubernetes: Pod yang memperluas Gatekeeper v3 sumber terbuka dan mendaftar sebagai webhook ke kontrol penerimaan Kube sehingga memungkinkan untuk menerapkan penegakan skala besar, dan perlindungan pada kluster Anda secara terpusat dan konsisten. Pod Azure Policy for Kubernetes disebarkan sebagai ekstensi Kubernetes dengan dukungan Arc. Ini hanya diinstal pada satu node di kluster. Untuk informasi selengkapnya, lihat Melindungi beban kerja Kubernetes Anda dan Memahami Azure Policy untuk kluster Kubernetes.
Bagaimana cara kerja penemuan tanpa agen untuk Kubernetes di AWS?
Proses penemuan didasarkan pada rekam jepret yang diambil pada interval:
Saat Anda mengaktifkan penemuan tanpa agen untuk ekstensi Kubernetes, proses berikut terjadi:
Buat:
Peran Defender untuk Cloud MDCContainersAgentlessDiscoveryK8sRole harus ditambahkan ke aws-auth ConfigMap dari kluster EKS. Nama dapat disesuaikan.
Tetapkan: Defender untuk Cloud menetapkan peran MDCContainersAgentlessDiscoveryK8sRole sebagai izin berikut:
eks:UpdateClusterConfig
eks:DescribeCluster
Temukan: Menggunakan identitas yang ditetapkan sistem, Defender untuk Cloud melakukan penemuan kluster EKS di lingkungan Anda menggunakan panggilan API ke server API EKS.
Catatan
Rekam jepret yang disalin tetap berada di wilayah yang sama dengan kluster.
Diagram arsitektur Defender untuk Cloud dan kluster GKE
Saat Defender untuk Cloud melindungi kluster yang dihosting di Google Kubernetes Engine, pengumpulan data log audit tidak memiliki agen. Ini adalah komponen yang diperlukan untuk menerima perlindungan penuh yang ditawarkan oleh Pertahanan Microsoft untuk Kontainer:
Log audit Kubernetes – Pengelogan Cloud GCP memungkinkan dan mengumpulkan data log audit melalui kolektor tanpa agen, dan mengirimkan informasi yang dikumpulkan ke backend Microsoft Defender untuk Cloud untuk analisis lebih lanjut.
Kubernetes dengan dukungan Azure Arc - Kubernetes dengan dukungan Azure Arc - Solusi berbasis sensor, diinstal pada satu node di kluster, yang memungkinkan kluster Anda terhubung ke Defender untuk Cloud. Defender untuk Cloud kemudian dapat menyebarkan dua agen berikut sebagai Ekstensi Arc:
Sensor defender: DaemonSet yang disebarkan pada setiap simpul, mengumpulkan sinyal dari host menggunakan teknologi eBPF, dan memberikan perlindungan runtime. Sensor terdaftar di ruang kerja Analitik Log, dan digunakan sebagai alur data. Namun, data log audit tidak disimpan di ruang kerja Log Analytics.
Azure Policy untuk Kubernetes: Pod yang memperluas Gatekeeper v3 sumber terbuka dan mendaftar sebagai webhook ke kontrol penerimaan Kube sehingga memungkinkan untuk menerapkan penegakan skala besar, dan perlindungan pada kluster Anda secara terpusat dan konsisten. Pod Azure Policy for Kubernetes disebarkan sebagai ekstensi Kubernetes dengan dukungan Arc. Ini hanya perlu diinstal pada satu node di kluster. Untuk informasi selengkapnya, lihat Melindungi beban kerja Kubernetes Anda dan Memahami Azure Policy untuk kluster Kubernetes.
Bagaimana cara kerja penemuan tanpa agen untuk Kubernetes di GCP?
Proses penemuan didasarkan pada rekam jepret yang diambil pada interval:
Saat Anda mengaktifkan penemuan tanpa agen untuk ekstensi Kubernetes, proses berikut terjadi:
Buat:
Akun layanan mdc-containers-k8s-operator dibuat. Nama dapat disesuaikan.
Tetapkan: Defender untuk Cloud melampirkan peran berikut ke akun layanan mdc-containers-k8s-operator:
Peran MDCGkeClusterWriteRolekustom , yang memiliki container.clusters.update izin
Peran bawaan container.viewer
Temukan: Menggunakan identitas yang ditetapkan sistem, Defender untuk Cloud melakukan penemuan kluster GKE di lingkungan Anda menggunakan panggilan API ke server API GKE.
Catatan
Rekam jepret yang disalin tetap berada di wilayah yang sama dengan kluster.
Langkah berikutnya
Dalam gambaran umum ini, Anda mempelajari tentang arsitektur keamanan kontainer di Microsoft Defender untuk Cloud. Untuk mengaktifkan rencana, lihat: