컨테이너용 Microsoft Defender 구성 요소를 사용하도록 설정하는 방법

  • 아티클

컨테이너용 Microsoft Defender는 컨테이너 보호를 위한 클라우드 네이티브 솔루션입니다.

컨테이너용 Defender는 클러스터가 실행되고 있는지 여부에 관계없이 클러스터를 보호합니다.

  • AKS(Azure Kubernetes Service) - 컨테이너화된 애플리케이션 개발, 배포 및 관리를 위한 Microsoft의 관리형 서비스입니다.

  • 연결된 AWS(Amazon Web Services) 계정의 Amazon EKS(Elastic Kubernetes Service) - 자체 Kubernetes 컨트롤 플레인 또는 노드를 설치, 운영, 유지 관리할 필요 없이 AWS에서 Kubernetes를 실행하기 위한 Amazon 관리되는 서비스입니다.

  • 연결된 GCP(Google Cloud Platform) 프로젝트의 GKE(Google Kubernetes Engine) - GCP 인프라를 사용하여 애플리케이션을 배포, 관리 및 크기 조정하기 위한 Google의 관리 환경입니다.

  • 기타 Kubernetes 배포(Azure Arc 지원 Kubernetes 사용) - 온-프레미스 또는 IaaS에서 호스트되는 CNCF(Cloud Native Computing Foundation) 인증 Kubernetes 클러스터입니다. 자세한 내용은 환경별로 지원되는 기능온-프레미스/IaaS(Arc) 섹션을 참조하세요.

컨테이너용 Microsoft Defender 개요에서 이 계획에 대해 알아봅니다.

먼저 다음 문서에서 컨테이너를 연결하고 보호하는 방법을 알아볼 수 있습니다.

필드 비디오 시리즈의 클라우드용 Defender 이러한 비디오를 시청하여 자세히 알아볼 수도 있습니다.

참고 항목

Arc 지원 Kubernetes 클러스터, AWS EKS 및 GCP GKE에 대한 Defender for Containers 지원은 미리 보기 기능입니다. 미리 보기 기능은 셀프 서비스에서 옵트인(opt-in)으로 사용할 수 있습니다.

미리 보기는 "있는 그대로" 및 "사용 가능"으로 제공되며 서비스 수준 계약 및 제한된 보증에서 제외됩니다.

지원되는 운영 체제, 기능 가용성, 아웃바운드 프록시 등에 대한 자세한 내용은 Defender for Containers 기능 가용성을 참조하세요.

네트워크 요구 사항

Defender 에이전트가 클라우드용 Microsoft Defender 연결하여 보안 데이터 및 이벤트를 보낼 수 있도록 아웃바운드 액세스를 위해 다음 엔드포인트가 구성되어 있는지 확인합니다.

컨테이너용 Microsoft Defender에 대한 필수 FQDN/애플리케이션 규칙을 참조하세요.

기본적으로 AKS 클러스터에는 무제한 아웃바운드(송신) 인터넷 액세스가 있습니다.

네트워크 요구 사항

Defender 에이전트가 클라우드용 Microsoft Defender 연결하여 보안 데이터 및 이벤트를 보낼 수 있도록 아웃바운드 액세스를 위해 다음 엔드포인트가 구성되어 있는지 확인합니다.

퍼블릭 클라우드 배포의 경우:

Azure Do기본 Azure Government Do기본 21Vianet Do에서 운영하는 Microsoft Azure기본 포트
*.ods.opinsights.azure.com *.ods.opinsights.azure.us *.ods.opinsights.azure.cn 443
*.oms.opinsights.azure.com *.oms.opinsights.azure.us *.oms.opinsights.azure.cn 443
login.microsoftonline.com login.microsoftonline.us login.chinacloudapi.cn 443

다음 도메인은 관련 OS를 사용하는 경우에만 필요합니다. 예를 들어 AWS에서 실행 중인 EKS 클러스터가 있는 경우 Amazon Linux 2 (Eks): Domain: "amazonlinux.*.amazonaws.com/2/extras/*" 도메인만 적용하면 됩니다.

도메인 포트 호스트 운영 체제
amazonlinux.*.amazonaws.com/2/extras/* 443 Amazon Linux 2
yum 기본 리포지토리 - RHEL/CentOS
apt 기본 리포지토리 - Debian

Azure Arc 사용 Kubernetes 네트워크 요구 사항의 유효성도 검사해야 합니다.

Azure에서 프로비저닝된 AKS 하이브리드 클러스터에서 이 확장을 사용하는 경우 provisionedClusters를 사용하도록 --cluster-type을 설정하고 명령에 --cluster-resource-provider microsoft.hybridcontainerservice도 추가해야 합니다. Azure에서 프로비저닝된 AKS 하이브리드 클러스터에 Azure Arc 확장을 설치하는 기능은 현재 미리 보기로 제공됩니다.

계획 사용

플랜을 사용하도록 설정:

  1. 클라우드용 Defender의 메뉴에서 설정 페이지를 열고 관련 구독을 선택합니다.

  2. Defender 플랜 페이지에서 컨테이너용 Defender를 선택하고 설정을 선택합니다.

    screenshot of Defender plans page.

    구독에 이미 Kubernetes용 Defender 및/또는 컨테이너용 Defender 레지스트리가 사용하도록 설정되어 있는 경우 업데이트 알림이 표시됩니다. 그렇지 않으면 유일한 옵션은 컨테이너용 Defender입니다.

    Defender for container registries and Defender for Kubernetes plans showing 'Deprecated' and upgrade information.

  3. 관련 구성 요소를 켜서 사용하도록 설정합니다.

    screenshot of turning on components.

    참고 항목

    • 2023년 8월 이전에 가입했으며 계획을 사용하도록 설정할 때 Defender CSPM의 일부로 Kubernetes에 대한 에이전트 없는 검색을 사용하도록 설정하지 않은 컨테이너용 Defender 고객은 Defender for Containers 계획 내에서 Kubernetes 확장에 대한 에이전트 없는 검색을 수동으로 사용하도록 설정해야 합니다.
    • 컨테이너용 Defender를 끄면 구성 요소가 끄기로 설정되고 더 이상 컨테이너에 배포되지 않지만 이미 설치된 컨테이너에서 제거되지는 않습니다.

기능당 Enablement 메서드

기본적으로 Azure Portal 을 통해 계획을 사용하도록 설정할 때 컨테이너용 Microsoft Defender는 모든 기능을 자동으로 사용하도록 구성되고 기본 작업 영역 할당을 포함하여 계획에서 제공하는 보호를 제공하기 위해 필요한 모든 구성 요소를 설치합니다.

계획의 모든 기능을 사용하도록 설정하지 않으려면 컨테이너 계획에 대한 구성 편집을 선택하여 사용하도록 설정할 특정 기능을 수동으로 선택할 수 있습니다. 그런 다음 설정 & 모니터링 페이지에서 사용하도록 설정할 기능을 선택합니다. 또한 계획의 초기 구성 후 Defender 계획 페이지에서 이 구성을 수정할 수 있습니다.

다음 표에서는 각 기능에 대한 사용 방법에 대한 자세한 정보를 제공합니다.

도메인 기능 설명 Enablement 메서드 에이전트 Azure 클라우드 가용성
보안 태세 관리 Kubernetes에 대한 에이전트 없는 검색 0개의 공간, Kubernetes 클러스터의 API 기반 검색, 해당 구성 및 배포를 제공합니다. Kubernetes 토글에서 에이전트 없는 검색 사용 에이전트 없음 Azure 상용 클라우드
보안 태세 관리 포괄적인 인벤토리 기능 보안 탐색기를 통해 리소스, Pod, 서비스, 리포지토리, 이미지 및 구성을 탐색하여 자산을 쉽게 모니터링하고 관리할 수 있습니다. Kubernetes 토글에서 에이전트 없는 검색 사용 에이전트 없음 Azure 상용 클라우드
보안 태세 관리 향상된 위험 헌팅 보안 관리자는 보안 탐색기에서 쿼리(기본 제공 및 사용자 지정) 및 보안 인사이트를 통해 컨테이너화된 자산의 자세 문제를 적극적으로 검색할 수 있습니다. Kubernetes토글에서 에이전트 없는 검색 사용 에이전트 없음 Azure 상용 클라우드
보안 태세 관리 컨트롤 플레인 강화 클러스터의 구성을 지속적으로 평가하고 구독에 적용되는 이니셔티브와 비교합니다. 잘못된 구성이 검색되면 클라우드용 Defender는 클라우드용 Defender의 권장 사항 페이지에서 사용할 수 있는 보안 권장 사항을 생성합니다. 권장 사항을 통해 문제를 조사하고 수정할 수 있습니다. 계획으로 활성화됨 에이전트 없음 상용 클라우드

국가별 클라우드: Azure Government, 21Vianet에서 운영하는 Azure
보안 태세 관리 Kubernetes 데이터 평면 강화 모범 사례 권장 사항을 사용하여 Kubernetes 컨테이너의 워크로드를 보호합니다. Kubernetes 토글에 대한 Azure Policy 사용 Azure Policy 에이전트 상용 클라우드

국가별 클라우드: Azure Government, 21Vianet에서 운영하는 Azure
취약점 평가 레지스트리 이미지에 대한 에이전트 없는 취약성 검사(Qualys에서 구동) ACR의 이미지에 대한 취약성 평가 계획으로 활성화됨 에이전트 없음 상용 클라우드

국가별 클라우드: Azure Government, 21Vianet에서 운영하는 Azure
취약점 평가 실행 중인 이미지에 대한 에이전트 없는 취약성 검사(Qualys에서 구동) AKS에서 이미지를 실행하기 위한 취약성 평가 계획으로 활성화됨 Defender 에이전트 상용 클라우드

국가별 클라우드: Azure Government, 21Vianet에서 운영하는 Azure
취약점 평가 에이전트 없는 레지스트리 검사(MDVM으로 구동) ACR의 이미지에 대한 취약성 평가 에이전트 없는 컨테이너 취약성 평가 토글 사용 에이전트 없음 상용 클라우드
취약점 평가 에이전트 없는/에이전트 기반 런타임(MDVM에서 구동) AKS에서 이미지를 실행하기 위한 취약성 평가 에이전트 없는 컨테이너 취약성 평가 토글 사용 더 짧은 새로 고침 속도를 위해 에이전트 없는 또는 Defender 에이전트 설치 상용 클라우드
런타임 위협 방지 컨트롤 플레인 위협 검색 Kubernetes 감사 내역을 기반으로 Kubernetes에 대한 의심스러운 활동 검색 계획에서 사용 에이전트 없음 상용 클라우드

국가별 클라우드: Azure Government, 21Vianet에서 운영하는 Azure
런타임 위협 방지 워크로드 위협 검색 클러스터 수준, 노드 수준 및 워크로드 수준에 대한 Kubernetes에 대한 의심스러운 활동 검색 Defender DaemonSet 토글 사용 또는 개별 클러스터에 Defender 에이전트 배포 Defender 에이전트 상용 클라우드
배포 & 모니터링 보호되지 않는 클러스터 검색 Defender 에이전트가 없는 Kubernetes 클러스터 검색 계획에서 사용 에이전트 없음 상용 클라우드

국가별 클라우드: Azure Government, 21Vianet에서 운영하는 Azure
배포 & 모니터링 Defender 에이전트 자동 프로비저닝 Defender 에이전트 자동 배포 Defender Daemonset 토글 사용 에이전트 없음 상용 클라우드

국가별 클라우드: Azure Government, 21Vianet에서 운영하는 Azure
배포 & 모니터링 Kubernetes 자동 프로비저닝에 대한 Azure Policy Kubernetes에 대한 Azure Policy 에이전트 자동 배포 Kubernetes 토글에 대한 Azure 정책 사용 에이전트 없음 상용 클라우드

국가별 클라우드: Azure Government, 21Vianet에서 운영하는 Azure

역할 및 권한

Defender for Containers 확장을 프로비전하는 데 사용되는 역할에 대해 자세히 알아봅니다.

Defender 에이전트에 대한 사용자 지정 작업 영역 할당

Azure Policy를 통해 사용자 지정 작업 영역을 할당할 수 있습니다.

권장 사항을 사용하여 자동 프로비저닝하지 않고 Defender 에이전트 또는 Azure 정책 에이전트 수동 배포

에이전트 설치가 필요한 기능은 적절한 권장 사항을 사용하여 하나 이상의 Kubernetes 클러스터에 배포할 수도 있습니다.

에이전트 권장
Kubernetes용 Defender 에이전트 Azure Kubernetes Service 클러스터에는 Defender 프로필이 사용하도록 설정되어 있어야 합니다.
Arc 지원 Kubernetes용 Defender 에이전트 Azure Arc 지원 Kubernetes 클러스터에 Defender의 확장이 설치되어 있어야 합니다.
Kubernetes용 Azure Policy 에이전트 Azure Kubernetes Service 클러스터에는 Kubernetes용 Azure Policy 추가 기능이 설치되어 있어야 합니다.
Arc 지원 Kubernetes에 대한 Azure 정책 에이전트 Azure Arc 지원 Kubernetes 클러스터에 Azure Policy 확장이 설치되어 있어야 합니다.

특정 클러스터에서 Defender 에이전트 배포를 수행하려면 다음 단계를 수행합니다.

  1. 클라우드용 Microsoft Defender 권장 사항 페이지에서 향상된 보안 보안 제어 사용 또는 위의 권장 사항 중 하나를 직접 검색(또는 위의 링크를 사용하여 권장 사항 직접 열기)을 엽니다.

  2. 비정상 탭을 통해 에이전트가 없는 모든 클러스터를 봅니다.

  3. 원하는 에이전트를 배포할 클러스터를 선택하고 수정을 선택합니다.

  4. X 리소스 수정을 선택합니다.

Defender 에이전트 배포 - 모든 옵션

컨테이너용 Defender를 사용하도록 설정하고 Azure Portal, REST API 또는 Resource Manager 템플릿에서 모든 관련 구성 요소를 배포할 수 있습니다. 자세한 단계를 보려면 관련 탭을 선택합니다.

Defender 에이전트가 배포되면 기본 작업 영역이 자동으로 할당됩니다. Azure Policy를 통해 기본 작업 영역 대신 사용자 지정 작업 영역을 할당할 수 있습니다.

참고 항목

Defender 에이전트는 각 노드에 배포되어 런타임 보호를 제공하고 eBPF 기술을 사용하여 해당 노드에서 신호를 수집합니다.

클라우드용 Defender 권장 사항의 수정 단추 사용

능률적이고 원활한 프로세스를 통해 Azure Portal 페이지를 사용하여 클라우드용 Defender 계획을 사용하도록 설정하고 Kubernetes 클러스터를 대규모로 방어하는 데 필요한 모든 구성 요소의 자동 프로비저닝을 설정할 수 있습니다.

클라우드용 Defender 권장 사항은 다음을 제공합니다.

  • Defender 에이전트가 배포된 클러스터에 대한 가시성
  • 에이전트 없이 해당 클러스터에 배포하는 수정 단추

  1. 클라우드용 Microsoft Defender의 권장 사항 페이지에서 강화된 보안 사용 보안 제어를 엽니다.

  2. 필터를 사용하여 Azure Kubernetes Service 클러스터에 Defender 프로필이 사용하도록 설정되어 있어야 함이라는 권장 사항을 찾습니다.

    작업 열의 수정 아이콘을 확인합니다.

  3. 클러스터를 선택하여 정상 및 비정상 리소스의 세부 정보(에이전트 포함 및 제외) 클러스터를 확인합니다.

  4. 비정상 리소스 목록에서 클러스터를 선택하고 수정을 선택하여 수정 확인 창을 엽니다.

  5. X 리소스 수정을 선택합니다.

계획 사용

플랜을 사용하도록 설정:

  1. 클라우드용 Defender의 메뉴에서 설정 페이지를 열고 관련 구독을 선택합니다.

  2. Defender 플랜 페이지에서 컨테이너용 Defender를 선택하고 설정을 선택합니다. screenshot of Defender plans page.

    구독에 이미 Kubernetes용 Defender 또는 컨테이너 레지스트리용 Defender가 사용하도록 설정되어 있는 경우 업데이트 알림이 표시됩니다. 그렇지 않으면 유일한 옵션은 컨테이너용 Defender입니다.

    Defender for container registries and Defender for Kubernetes plans showing 'Deprecated' and upgrade information.

  3. 관련 구성 요소를 켜서 사용하도록 설정합니다.

    screenshot of turning on components.

    참고 항목

    컨테이너용 Defender를 끄면 구성 요소가 끄기로 설정되고 더 이상 컨테이너에 배포되지 않지만 이미 설치된 컨테이너에서 제거되지는 않습니다.

기본적으로 Azure Portal을 통해 플랜을 사용하도록 설정하는 경우 컨테이너용 Microsoft Defender는 기본 작업 영역의 할당을 비롯하여 플랜에서 제공하는 보호를 제공하기 위해 필수 구성 요소를 자동으로 설치하도록 구성됩니다.

온보딩 프로세스 중에 구성 요소의 자동 설치를 사용하지 않도록 설정하려면 컨테이너 플랜에 대한 구성 편집을 선택합니다. 고급 옵션이 표시되고 각 구성 요소에 대해 자동 설치를 사용하지 않도록 설정할 수 있습니다.

또한 Defender 플랜 페이지에서 이 구성을 수정할 수 있습니다.

참고 항목

위에 표시된 대로 포털을 통해 사용하도록 설정한 후 언제든지 계획을 사용하지 않도록 설정하도록 선택한 경우 클러스터에 배포된 컨테이너용 Defender 구성 요소를 수동으로 제거해야 합니다.

Azure Policy를 통해 사용자 지정 작업 영역을 할당할 수 있습니다.

구성 요소의 자동 설치를 사용하지 않도록 설정하면 적절한 권장 사항을 사용하여 구성 요소를 하나 이상의 클러스터에 쉽게 배포할 수 있습니다.

Defender for Containers 확장을 프로비전하는 데 사용되는 역할에 대해 자세히 알아봅니다.

필수 조건

에이전트를 배포하기 전에 다음을 확인합니다.

Defender 에이전트 배포

다양한 메서드를 사용하여 Defender 에이전트를 배포할 수 있습니다. 자세한 단계를 보려면 관련 탭을 선택합니다.

클라우드용 Defender 권장 사항의 수정 단추 사용

클라우드용 Defender 권장 사항은 다음을 제공합니다.

  • Defender 에이전트가 배포된 클러스터에 대한 가시성
  • 에이전트 없이 해당 클러스터에 배포하는 수정 단추

  1. 클라우드용 Microsoft Defender의 권장 사항 페이지에서 강화된 보안 사용 보안 제어를 엽니다.

  2. 필터를 사용하여 Azure Arc 지원 Kubernetes 클러스터에 클라우드용 Defender 확장이 설치되어 있어야 함이라는 권장 사항을 찾습니다.

    Microsoft Defender for Cloud's recommendation for deploying the Defender agent for Azure Arc-enabled Kubernetes clusters.

    작업 열의 수정 아이콘을 확인합니다.

  3. 에이전트를 사용 및 사용하지 않는 클러스터인 정상 및 비정상 리소스의 세부 정보를 보려면 에이전트를 선택합니다.

  4. 비정상 리소스 목록에서 클러스터를 선택하고 재구성을 선택하여 수정 옵션이 있는 창을 엽니다.

  5. 관련 Log Analytics 작업 영역을 선택하고 x 리소스 수정을 선택합니다.

    Deploy Defender agent for Azure Arc with Defender for Cloud's 'fix' option.

배포 확인

클러스터에 Defender 에이전트가 설치되어 있는지 확인하려면 아래 탭 중 하나의 단계를 수행합니다.

클라우드용 Defender 권장 사항을 사용하여 에이전트의 상태 확인

  1. 클라우드용 Microsoft Defender의 권장 사항 페이지에서 클라우드용 Microsoft Defender 사용 보안 제어를 엽니다.

  2. Azure Arc 지원 Kubernetes 클러스터에 클라우드용 Microsoft Defender 확장이 설치되어 있어야 함이라는 권장 사항을 선택합니다.

    Microsoft Defender for Cloud's recommendation for deploying the Defender agent for Azure Arc-enabled Kubernetes clusters.

  3. 에이전트를 배포한 클러스터가 정상으로 나열되어 있는지 확인합니다.

Amazon Elastic Kubernetes Service 클러스터 보호

Important

AWS 계정을 아직 연결하지 않은 경우 AWS 계정을 클라우드용 Microsoft Defender에 연결합니다.

EKS 클러스터를 보호하려면 관련 계정 커넥터에서 컨테이너 계획을 사용하도록 설정합니다.

  1. Defender for Cloud 메뉴에서 환경 설정을 엽니다.

  2. AWS 커넥터를 선택합니다.

    Screenshot of Defender for Cloud's environment settings page showing an AWS connector.

  3. 컨테이너 계획의 토글을 켜기로 설정합니다.

    Screenshot of enabling Defender for Containers for an AWS connector.

  4. (선택 사항) 감사 로그의 보존 기간을 변경하려면 구성을 선택하고 필요한 기간을 입력한 다음 저장을 선택합니다.

    Screenshot of adjusting the retention period for EKS control pane logs.

    참고 항목

    이 구성을 사용하지 않도록 설정하면 Threat detection (control plane) 기능이 사용하지 않도록 설정됩니다. 사용 가능한 기능에 대해 자세히 알아봅니다.

  5. (선택 사항) ECR 이미지의 취약성 검사를 사용하도록 설정합니다. ECR 이미지에 대한 취약성 평가에 대해 자세히 알아봅니다.

  6. 커넥터 마법사의 나머지 페이지를 계속 진행합니다.

  7. Azure Arc 지원 Kubernetes, Defender 에이전트 및 Kubernetes용 Azure Policy를 설치하고 EKS 클러스터에서 실행해야 합니다. 이러한 확장(및 필요한 경우 Azure Arc)을 설치하기 위한 클라우드용 Defender 전용 권장 사항이 있습니다.

    • EKS clusters should have Microsoft Defender's extension for Azure Arc installed

    각 권장 사항에 대해 아래 단계에 따라 필요한 확장을 설치합니다.

    필요한 확장을 설치하려면:

    1. 클라우드용 Defender의 권장 사항 페이지에서 권장 사항 중 하나를 이름으로 검색합니다.

    2. 비정상 클러스터를 선택합니다.

      Important

      클러스터를 한 번에 하나씩 선택해야 합니다.

      하이퍼링크된 이름으로 클러스터를 선택하지 마세요. 관련 행의 다른 곳을 선택합니다.

    3. 수정을 선택합니다.

    4. Defender for Cloud는 원하는 언어로 스크립트를 생성합니다. Bash(Linux의 경우) 또는 PowerShell(Windows의 경우)을 선택합니다.

    5. 수정 논리 다운로드를 선택합니다.

    6. 클러스터에서 생성된 스크립트를 실행합니다.

    7. 두 번째 권장 사항에 대해 "a"에서 "f" 단계를 반복합니다.

    Video of how to use the Defender for Cloud recommendation to generate a script for your EKS clusters that enables the Azure Arc extension.

EKS 클러스터에 대한 권장 사항 및 경고 보기

이 블로그 게시물의 지침에 따라 컨테이너 경고를 시뮬레이션할 수 있습니다.

EKS 클러스터에 대한 경고 및 권장 사항을 보려면 경고, 권장 사항 및 인벤토리 페이지에 대한 필터를 사용하여 리소스 유형 AWS EKS 클러스터를 기준으로 필터링합니다.

Screenshot of how to use filters on Microsoft Defender for Cloud's security alerts page to view alerts related to AWS EKS clusters.

GKE(Google Kubernetes Engine) 클러스터 보호

Important

GCP 프로젝트를 아직 연결하지 않은 경우 GCP 프로젝트를 클라우드용 Microsoft Defender에 연결합니다.

GKE 클러스터를 보호하려면 관련 GCP 프로젝트에서 컨테이너 계획을 사용하도록 설정해야 합니다.

참고 항목

Arc 설치를 방지하는 Azure 정책이 없는지 확인합니다.

GKE(Google Kubernetes Engine) 클러스터를 보호하려면:

  1. Azure Portal에 로그인합니다.

  2. 클라우드용 Microsoft Defender>환경 설정으로 이동합니다.

  3. 관련 GCP 커넥터 선택

    Screenshot showing an example GCP connector.

  4. 다음: 계획 선택 > 단추를 선택합니다.

  5. 컨테이너 계획이 켜기로 전환되었는지 확인합니다.

    Screenshot that shows the containers plan is toggled to on.

  6. (선택 사항) 컨테이너 계획을 구성합니다.

  7. 복사 단추를 선택합니다.

    Screenshot showing the location of the copy button.

  8. GCP Cloud Shell > 단추를 선택합니다.

  9. 스크립트를 Cloud Shell 터미널에 붙여넣고 실행합니다.

커넥터는 스크립트가 실행된 후 업데이트됩니다. 이 프로세스를 완료하는 데 최대 6-8시간이 소요될 수 있습니다.

특정 클러스터에 솔루션 배포

GCP 커넥터 온보딩 프로세스 또는 그 이후에 기본 자동 프로비저닝 구성을 끄기로 사용하지 않도록 설정한 경우 Defender for Containers에서 전체 보안 값을 얻으려면 각 GKE 클러스터에 Azure Arc 지원 Kubernetes, Defender 에이전트 및 Kubernetes용 Azure Policy를 수동으로 설치해야 합니다.

확장(필요한 경우 Arc)을 설치하는 데 사용할 수 있는 2개의 클라우드용 Defender 전용 권장 사항이 있습니다.

  • GKE clusters should have Microsoft Defender's extension for Azure Arc installed
  • GKE clusters should have the Azure Policy extension installed

참고 항목

Arc 확장을 설치할 때 제공된 GCP 프로젝트가 관련 커넥터의 프로젝트와 동일한지 확인해야 합니다.

특정 클러스터에 솔루션을 배포하려면:

  1. Azure Portal에 로그인합니다.

  2. 클라우드용 Microsoft Defender>권장 사항으로 이동합니다.

  3. 클라우드용 Defender의 권장 사항 페이지에서 권장 사항 중 하나를 이름으로 검색합니다.

    Screenshot showing how to search for the recommendation.

  4. 비정상 GKE 클러스터를 선택합니다.

    Important

    클러스터를 한 번에 하나씩 선택해야 합니다.

    하이퍼링크된 이름으로 클러스터를 선택하지 마세요. 관련 행의 다른 곳을 선택합니다.

  5. 비정상 리소스의 이름을 선택합니다.

  6. 수정을 선택합니다.

    Screenshot showing the location of the fix button.

  7. 클라우드용 Defender는 선택한 언어로 스크립트를 생성합니다.

    • Linux의 경우 Bash를 선택합니다.
    • Windows의 경우 PowerShell을 선택합니다.

  8. 수정 논리 다운로드를 선택합니다.

  9. 클러스터에서 생성된 스크립트를 실행합니다.

  10. 두 번째 권장 사항에 대해 3~8단계를 반복합니다.

GKE 클러스터 경고 보기

  1. Azure Portal에 로그인합니다.

  2. 클라우드용 Microsoft Defender>보안 경고으로 이동합니다.

  3. 단추를 선택합니다.

  4. [필터] 드롭다운 메뉴에서 리소스 종류를 선택합니다.

  5. [값] 드롭다운 메뉴에서 GCP GKE 클러스터를 선택합니다.

  6. 확인을 선택합니다.

컨테이너용 Microsoft Defender의 보안 경고 시뮬레이션

지원되는 경고의 전체 목록은 모든 클라우드용 Defender 보안 경고의 참조 테이블에서 사용할 수 있습니다.

  1. 보안 경고를 시뮬레이션하려면 클러스터에서 다음 명령을 실행합니다.

    kubectl get pods --namespace=asc-alerttest-662jfi039n

    예상 응답은 .입니다 No resource found.

    30분 이내에 클라우드용 Defender 이 활동을 감지하고 보안 경고를 트리거합니다.

  2. Azure Portal에서 클라우드용 Microsoft Defender의 보안 경고 페이지를 열고 관련 리소스에서 경고를 찾습니다.

    Sample alert from Microsoft Defender for Kubernetes.

Defender 에이전트 제거

이 확장 또는 모든 것을 제거하려면 자동 프로비저닝을 끄는 것만으로는 충분하지 않습니다.

  • 자동 프로비저닝을 사용하도록 설정하면 기존향후 컴퓨터에 잠재적으로 영향을 미칩니다.
  • 확장에 대한 자동 프로비저닝을 사용하지 않도록 설정하면 향후 컴퓨터에만 영향을 미치며 자동 프로비저닝을 사용하지 않도록 설정해도 제거되는 것은 없습니다.

그럼에도 불구하고 지금부터 컨테이너용 Defender 구성 요소가 리소스에 자동으로 프로비저닝되지 않도록 하려면 클라우드용 Microsoft Defender에서 에이전트 및 확장에 대한 자동 프로비저닝 구성에 설명된 대로 확장의 자동 프로비저닝을 사용하지 않도록 설정합니다.

아래 탭에 설명된 대로 Azure Portal, Azure CLI 또는 REST API를 사용하여 확장을 제거할 수 있습니다.

Azure Portal을 사용하여 확장 제거

  1. Azure Portal에서 Azure Arc를 엽니다.

  2. 인프라 목록에서 Kubernetes 클러스터를 선택한 다음, 특정 클러스터를 선택합니다.

  3. 확장 페이지를 엽니다. 클러스터의 확장이 나열됩니다.

  4. 클러스터를 선택하고 제거를 선택합니다.

    Removing an extension from your Arc-enabled Kubernetes cluster.

AKS에 대한 기본 Log Analytics 작업 영역

Log Analytics 작업 영역은 Log Analytics 작업 영역 자체에 데이터를 보관하지 않고 클러스터에서 클라우드용 Defender 데이터를 보내는 데이터 파이프라인으로 Defender 에이전트에서 사용됩니다. 따라서 이 사용 사례에서는 사용자에게 요금이 청구되지 않습니다.

Defender 에이전트는 기본 Log Analytics 작업 영역을 사용합니다. 기본 Log Analytics 작업 영역이 아직 없는 경우 클라우드용 Defender Defender 에이전트가 설치될 때 새 리소스 그룹 및 기본 작업 영역을 만듭니다. 기본 작업 영역은 지역에 따라 만들어집니다.

기본 Log Analytics 작업 영역 및 리소스 그룹의 명명 규칙은 다음과 같습니다.

  • 작업 영역: DefaultWorkspace-[subscription-ID]-[geo]
  • 리소스 그룹: DefaultResourceGroup-[geo]

사용자 지정 작업 영역 할당

자동 프로비전 옵션을 사용하도록 설정하면 기본 작업 영역이 자동으로 할당됩니다. Azure Policy를 통해 사용자 지정 작업 영역을 할당할 수 있습니다.

할당된 작업 영역이 있는지 확인하려면:

  1. Azure Portal에 로그인합니다.

  2. 정책을 검색하고 선택합니다.

    Screenshot that shows how to locate the policy page.

  3. 정의를 선택합니다.

  4. 정책 ID 64def556-fbad-4622-930e-72d1d5589bf5를 검색합니다.

    Screenshot that shows where to search for the policy by ID number.

  5. Defender 프로필을 사용하도록 Azure Kubernetes Service 클러스터 구성을 선택합니다.

  6. 할당을 선택합니다.

    Screenshot showing where to locate the assignments tab.

  7. 정책이 관련 범위에 아직 할당되지 않은 경우 사용자 지정 작업 영역을 사용하여 새 할당 만들기 단계를 따릅니다. 또는 정책이 이미 할당되어 있고 사용자 지정 작업 영역을 사용하도록 해당 정책을 변경하려는 경우 사용자 지정 작업 영역을 사용하여 할당 업데이트 단계를 따릅니다.

사용자 지정 작업 영역을 사용하여 새 할당 만들기

정책이 할당되지 않은 경우 Assignments (0)이 표시됩니다.

Screenshot showing that no workspace has been assigned.

사용자 지정 작업 영역을 할당하려면 다음을 수행합니다.

  1. 할당을 선택합니다.

  2. 매개 변수 탭에서 입력 또는 검토 옵션이 필요한 매개 변수만 표시를 선택 취소합니다.

  3. 드롭다운 메뉴에서 LogAnalyticsWorkspaceResource ID를 선택합니다.

    Screenshot showing where the dropdown menu is located.

  4. 검토 + 만들기를 선택합니다.

  5. 만들기를 선택합니다.

사용자 지정 작업 영역을 사용하여 할당 업데이트

정책이 이미 작업 영역에 할당된 경우 Assignments (1)이 표시됩니다.

Screenshot that shows Assignment (1), meaning a workspace has already been assigned.

참고 항목

구독이 두 개 이상인 경우 숫자가 더 높을 수 있습니다.

사용자 지정 작업 영역을 할당하려면 다음을 수행합니다.

  1. 관련 할당을 선택합니다.

    Screenshot that shows where to select the relevant assignment from.

  2. 할당 편집을 선택합니다.

  3. 매개 변수 탭에서 입력 또는 검토 옵션이 필요한 매개 변수만 표시를 선택 취소합니다.

  4. 드롭다운 메뉴에서 LogAnalyticsWorkspaceResource ID를 선택합니다.

    Screenshot showing where the dropdown menu is located.

  5. 검토 + 저장을 선택합니다.

  6. 저장을 선택합니다.

Arc에 대한 기본 Log Analytics 작업 영역

Log Analytics 작업 영역은 Log Analytics 작업 영역 자체에 데이터를 보관하지 않고 클러스터에서 클라우드용 Defender 데이터를 보내는 데이터 파이프라인으로 Defender 에이전트에서 사용됩니다. 따라서 이 사용 사례에서는 사용자에게 요금이 청구되지 않습니다.

Defender 에이전트는 기본 Log Analytics 작업 영역을 사용합니다. 기본 Log Analytics 작업 영역이 아직 없는 경우 클라우드용 Defender Defender 에이전트가 설치될 때 새 리소스 그룹 및 기본 작업 영역을 만듭니다. 기본 작업 영역은 지역에 따라 만들어집니다.

기본 Log Analytics 작업 영역 및 리소스 그룹의 명명 규칙은 다음과 같습니다.

  • 작업 영역: DefaultWorkspace-[subscription-ID]-[geo]
  • 리소스 그룹: DefaultResourceGroup-[geo]

사용자 지정 작업 영역 할당

자동 프로비전 옵션을 사용하도록 설정하면 기본 작업 영역이 자동으로 할당됩니다. Azure Policy를 통해 사용자 지정 작업 영역을 할당할 수 있습니다.

할당된 작업 영역이 있는지 확인하려면:

  1. Azure Portal에 로그인합니다.

  2. 정책을 검색하고 선택합니다.

    Screenshot that shows how to locate the policy page for Arc.

  3. 정의를 선택합니다.

  4. 정책 ID 708b60a6-d253-4fe0-9114-4be4c00f012c를 검색합니다.

    Screenshot that shows where to search for the policy by ID number for Arc.

  5. 클라우드용 Microsoft Defender 확장을 설치하도록 Azure Arc 사용 Kubernetes 클러스터 구성을 선택합니다.

  6. 할당을 선택합니다.

    Screenshot that shows where the assignments tab is for Arc.

  7. 정책이 관련 범위에 아직 할당되지 않은 경우 사용자 지정 작업 영역을 사용하여 새 할당 만들기 단계를 따릅니다. 또는 정책이 이미 할당되어 있고 사용자 지정 작업 영역을 사용하도록 해당 정책을 변경하려는 경우 사용자 지정 작업 영역을 사용하여 할당 업데이트 단계를 따릅니다.

사용자 지정 작업 영역을 사용하여 새 할당 만들기

정책이 할당되지 않은 경우 Assignments (0)이 표시됩니다.

Screenshot showing that no workspace has been assigned for Arc.

사용자 지정 작업 영역을 할당하려면 다음을 수행합니다.

  1. 할당을 선택합니다.

  2. 매개 변수 탭에서 입력 또는 검토 옵션이 필요한 매개 변수만 표시를 선택 취소합니다.

  3. 드롭다운 메뉴에서 LogAnalyticsWorkspaceResource ID를 선택합니다.

    Screenshot showing where the dropdown menu is located for Arc.

  4. 검토 + 만들기를 선택합니다.

  5. 만들기를 선택합니다.

사용자 지정 작업 영역을 사용하여 할당 업데이트

정책이 이미 작업 영역에 할당된 경우 Assignments (1)이 표시됩니다.

참고 항목

구독이 두 개 이상인 경우 숫자가 더 높을 수 있습니다. 숫자 1 이상이 있는 경우 할당이 관련 범위에 없을 수 있습니다. 이 경우 사용자 지정 작업 영역을 사용하여 새 할당 만들기 단계를 따를 수 있습니다.

Screenshot that shows Assignment (1), meaning a workspace has already been assigned for Arc.

사용자 지정 작업 영역을 할당하려면 다음을 수행합니다.

  1. 관련 할당을 선택합니다.

    Screenshot that shows where to select the relevant assignment from for Arc.

  2. 할당 편집을 선택합니다.

  3. 매개 변수 탭에서 입력 또는 검토 옵션이 필요한 매개 변수만 표시를 선택 취소합니다.

  4. 드롭다운 메뉴에서 LogAnalyticsWorkspaceResource ID를 선택합니다.

    Screenshot showing where the dropdown menu is located for Arc.

  5. 검토 + 저장을 선택합니다.

  6. 저장을 선택합니다.

Defender 에이전트 제거

이 확장 또는 모든 것을 제거하려면 자동 프로비저닝을 끄는 것만으로는 충분하지 않습니다.

  • 자동 프로비저닝을 사용하도록 설정하면 기존향후 컴퓨터에 잠재적으로 영향을 미칩니다.
  • 확장에 대한 자동 프로비저닝을 사용하지 않도록 설정하면 향후 컴퓨터에만 영향을 미치며 자동 프로비저닝을 사용하지 않도록 설정해도 제거되는 것은 없습니다.

그럼에도 불구하고 지금부터 컨테이너용 Defender 구성 요소가 리소스에 자동으로 프로비저닝되지 않도록 하려면 클라우드용 Microsoft Defender에서 에이전트 및 확장에 대한 자동 프로비저닝 구성에 설명된 대로 확장의 자동 프로비저닝을 사용하지 않도록 설정합니다.

아래 탭에 설명된 대로 REST API 또는 Resource Manager 템플릿을 사용하여 확장을 제거할 수 있습니다.

REST API를 사용하여 AKS에서 Defender 에이전트 제거

REST API를 사용하여 확장을 제거하려면 다음 PUT 명령을 실행합니다.

https://management.azure.com/subscriptions/{{SubscriptionId}}/resourcegroups/{{ResourceGroup}}/providers/Microsoft.ContainerService/managedClusters/{{ClusterName}}?api-version={{ApiVersion}}
이름 설명 필수
SubscriptionId 클러스터의 구독 ID
ResourceGroup 클러스터의 리소스 그룹
ClusterName 클러스터 이름
ApiVersion API 버전은 2022-06-01 이상이어야 합니다.

요청 본문.:

{
  "location": "{{Location}}",
  "properties": {
    "securityProfile": {
            "defender": {
                "securityMonitoring": {
                    "enabled": false
                }
            }
        }
    }
}

요청 본문 매개 변수:

이름 설명 필수
location 클러스터의 위치
properties.securityProfile.defender.securityMonitoring.enabled 클러스터에서 컨테이너용 Microsoft Defender를 사용하거나 사용하지 않도록 설정할지 여부를 결정합니다.

자세한 정보

다음 블로그를 확인할 수 있습니다.

다음 단계

이제 컨테이너용 Defender를 사용하도록 설정했으므로 다음을 수행할 수 있습니다.