Defender for Containers is voor elke Kubernetes-omgeving anders ontworpen, ongeacht of deze worden uitgevoerd:
Azure Kubernetes Service (AKS): de beheerde service van Microsoft voor het ontwikkelen, implementeren en beheren van toepassingen in containers.
Amazon Elastic Kubernetes Service (EKS) in een verbonden AWS-account (Amazon Web Services): de beheerde service van Amazon voor het uitvoeren van Kubernetes op AWS zonder dat u uw eigen Kubernetes-besturingsvlak of -knooppunten hoeft te installeren, te gebruiken en te onderhouden.
Google Kubernetes Engine (GKE) in een verbonden GCP-project (Google Cloud Platform): de beheerde omgeving van Google voor het implementeren, beheren en schalen van toepassingen met behulp van GCP-infrastructuur.
Een onbeheerde Kubernetes-distributie (met behulp van Kubernetes met Azure Arc) - CncF-gecertificeerde Kubernetes-clusters (Cloud Native Computing Foundation) die on-premises of op IaaS worden gehost.
Notitie
Defender for Containers-ondersteuning voor Kubernetes-clusters met Arc (AWS EKS en GCP GKE) is een preview-functie.
Om uw Kubernetes-containers te beveiligen, ontvangt en analyseert Defender for Containers:
Auditlogboeken en beveiligingsgebeurtenissen van de API-server
Informatie over clusterconfiguratie vanuit het besturingsvlak
Workloadconfiguratie van Azure Policy
Beveiligingssignalen en gebeurtenissen van het knooppuntniveau
Zie de beschikbaarheid van functies van Defender for Containers voor meer informatie over implementatiedetails, zoals ondersteunde besturingssystemen, beschikbaarheid van functies, uitgaande proxy.
Architectuurdiagram van Defender voor Cloud- en AKS-clusters
Wanneer Defender voor Cloud een cluster beveiligt dat wordt gehost in Azure Kubernetes Service, is de verzameling auditlogboekgegevens zonder agent en automatisch verzameld via de Azure-infrastructuur zonder extra kosten of configuratieoverwegingen. Dit zijn de vereiste onderdelen om de volledige beveiliging van Microsoft Defender for Containers te ontvangen:
Defender-sensor: De DaemonSet die op elk knooppunt wordt geïmplementeerd, verzamelt signalen van hosts met behulp van eBPF-technologie en biedt runtimebeveiliging. De sensor wordt geregistreerd bij een Log Analytics-werkruimte en wordt gebruikt als gegevenspijplijn. De auditlogboekgegevens worden echter niet opgeslagen in de Log Analytics-werkruimte. De Defender-sensor wordt geïmplementeerd als een AKS-beveiligingsprofiel.
Azure Policy voor Kubernetes: een pod die de opensource Gatekeeper v3 uitbreidt en zich registreert als een webhook op Kubernetes-toegangsbeheer, zodat het mogelijk is om afdwinging op schaal toe te passen en beveiligingsmaatregelen op uw clusters op een gecentraliseerde, consistente manier te waarborgen. De Azure Policy voor Kubernetes-pod wordt geïmplementeerd als een AKS-invoegtoepassing. Het is slechts geïnstalleerd op één knooppunt in het cluster. Zie Uw Kubernetes-workloads beveiligen en Inzicht in Azure Policy voor Kubernetes-clusters voor meer informatie.
Een set containers die zich richten op het verzamelen van inventaris- en beveiligingsgebeurtenissen uit de Kubernetes-omgeving die niet zijn gebonden aan een specifiek knooppunt.
* Resourcelimieten kunnen niet worden geconfigureerd; Meer informatie over limieten voor Kubernetes-resources.
Hoe werkt detectie zonder agent voor Kubernetes in Azure?
Het detectieproces is gebaseerd op momentopnamen die met intervallen zijn gemaakt:
Wanneer u de detectie zonder agent inschakelt voor de Kubernetes-extensie, wordt het volgende proces uitgevoerd:
Maken:
Als de extensie is ingeschakeld vanuit Defender CSPM, maakt Defender voor Cloud een identiteit in klantomgevingen met de naam CloudPosture/securityOperator/DefenderCSPMSecurityOperator.
Als de extensie is ingeschakeld vanuit Defender for Containers, maakt Defender voor Cloud een identiteit in klantomgevingen met de naam CloudPosture/securityOperator/DefenderForContainersSecurityOperator.
Toewijzen: Defender voor Cloud wijst een ingebouwde rol met de naam Kubernetes Agentless Operator toe aan die identiteit op abonnementsniveau. De rol bevat de volgende machtigingen:
AKS read (Microsoft.ContainerService/managedClusters/read)
Vertrouwde AKS-toegang met de volgende machtigingen:
Detecteren: Met behulp van de door het systeem toegewezen identiteit voert Defender voor Cloud een detectie uit van de AKS-clusters in uw omgeving met behulp van API-aanroepen naar de API-server van AKS.
Bind: Bij detectie van een AKS-cluster voert Defender voor Cloud een AKS-bindingsbewerking uit door een ClusterRoleBinding tussen de gemaakte identiteit en de Kubernetes ClusterRoleaks:trustedaccessrole:defender-containers:microsoft-defender-operator te maken. Het ClusterRole is zichtbaar via de API en geeft Defender voor Cloud gegevensvlak leesmachtigingen binnen het cluster.
Notitie
De gekopieerde momentopname blijft in dezelfde regio als het cluster.
Architectuurdiagram van kubernetes-clusters met Defender voor Cloud en Kubernetes met Arc
Deze onderdelen zijn vereist om de volledige beveiliging te ontvangen die wordt geboden door Microsoft Defender for Containers:
Kubernetes met Azure Arc - Kubernetes met Azure Arc- een op sensor gebaseerde oplossing, geïnstalleerd op één knooppunt in het cluster, waarmee uw clusters worden verbonden met Defender voor Cloud. Defender voor Cloud vervolgens de volgende twee agents kan implementeren als Arc-extensies:
Defender-sensor: De DaemonSet die op elk knooppunt wordt geïmplementeerd, verzamelt hostsignalen met behulp van eBPF-technologie en Kubernetes-auditlogboeken om runtimebeveiliging te bieden. De sensor wordt geregistreerd bij een Log Analytics-werkruimte en wordt gebruikt als gegevenspijplijn. De auditlogboekgegevens worden echter niet opgeslagen in de Log Analytics-werkruimte. De Defender-sensor wordt geïmplementeerd als een Kubernetes-extensie met Arc.
Azure Policy voor Kubernetes: een pod die de opensource Gatekeeper v3 uitbreidt en zich registreert als een webhook op Kubernetes-toegangsbeheer, zodat het mogelijk is om afdwinging op schaal toe te passen en beveiligingsmaatregelen op uw clusters op een gecentraliseerde, consistente manier te waarborgen. Het is slechts geïnstalleerd op één knooppunt in het cluster. Zie Uw Kubernetes-workloads beveiligen en Inzicht in Azure Policy voor Kubernetes-clusters voor meer informatie.
Notitie
Defender for Containers-ondersteuning voor Kubernetes-clusters met Arc is een preview-functie.
Architectuurdiagram van Defender voor Cloud- en EKS-clusters
Wanneer Defender voor Cloud een cluster beveiligt dat wordt gehost in Elastic Kubernetes Service, is de verzameling auditlogboekgegevens zonder agent. Dit zijn de vereiste onderdelen om de volledige beveiliging van Microsoft Defender for Containers te ontvangen:
Kubernetes-auditlogboeken: CloudWatch van het AWS-account maakt het mogelijk en verzamelt auditlogboekgegevens via een collector zonder agent en verzendt de verzamelde gegevens naar de Microsoft Defender voor Cloud back-end voor verdere analyse.
Kubernetes met Azure Arc - Kubernetes met Azure Arc- een op sensor gebaseerde oplossing, geïnstalleerd op één knooppunt in het cluster, waarmee uw clusters worden verbonden met Defender voor Cloud. Defender voor Cloud vervolgens de volgende twee agents kan implementeren als Arc-extensies:
Defender-sensor: De DaemonSet die op elk knooppunt wordt geïmplementeerd, verzamelt signalen van hosts met behulp van eBPF-technologie en biedt runtimebeveiliging. De sensor wordt geregistreerd bij een Log Analytics-werkruimte en wordt gebruikt als gegevenspijplijn. De auditlogboekgegevens worden echter niet opgeslagen in de Log Analytics-werkruimte. De Defender-sensor wordt geïmplementeerd als een Kubernetes-extensie met Arc.
Azure Policy voor Kubernetes: een pod die de opensource Gatekeeper v3 uitbreidt en zich registreert als een webhook op Kubernetes-toegangsbeheer, zodat het mogelijk is om afdwinging op schaal toe te passen en beveiligingsmaatregelen op uw clusters op een gecentraliseerde, consistente manier te waarborgen. De Azure Policy voor Kubernetes-pod wordt geïmplementeerd als een Kubernetes-extensie met Arc. Het is slechts geïnstalleerd op één knooppunt in het cluster. Zie Uw Kubernetes-workloads beveiligen en Inzicht in Azure Policy voor Kubernetes-clusters voor meer informatie.
Hoe werkt detectie zonder agent voor Kubernetes in AWS?
Het detectieproces is gebaseerd op momentopnamen die met intervallen zijn gemaakt:
Wanneer u de detectie zonder agent inschakelt voor de Kubernetes-extensie, wordt het volgende proces uitgevoerd:
Maken:
De Defender voor Cloud rol MDCContainersAgentlessDiscoveryK8sRole moet worden toegevoegd aan de aws-auth ConfigMap van de EKS-clusters. De naam kan worden aangepast.
Toewijzen: Defender voor Cloud de rol MDCContainersAgentlessDiscoveryK8sRole de volgende machtigingen toewijst:
eks:UpdateClusterConfig
eks:DescribeCluster
Detecteren: Met behulp van de door het systeem toegewezen identiteit voert Defender voor Cloud een detectie uit van de EKS-clusters in uw omgeving met behulp van API-aanroepen naar de API-server van EKS.
Notitie
De gekopieerde momentopname blijft in dezelfde regio als het cluster.
Architectuurdiagram van Defender voor Cloud- en GKE-clusters
Wanneer Defender voor Cloud een cluster beveiligt dat wordt gehost in Google Kubernetes Engine, is de verzameling auditlogboekgegevens zonder agent. Dit zijn de vereiste onderdelen om de volledige beveiliging van Microsoft Defender for Containers te ontvangen:
Kubernetes-auditlogboeken: GCP Cloud Logging maakt het mogelijk en verzamelt auditlogboekgegevens via een collector zonder agent en verzendt de verzamelde gegevens naar de Microsoft Defender voor Cloud back-end voor verdere analyse.
Kubernetes met Azure Arc - Kubernetes met Azure Arc : een oplossing op basis van een sensor, geïnstalleerd op één knooppunt in het cluster, waarmee uw clusters verbinding kunnen maken met Defender voor Cloud. Defender voor Cloud vervolgens de volgende twee agents kan implementeren als Arc-extensies:
Defender-sensor: De DaemonSet die op elk knooppunt wordt geïmplementeerd, verzamelt signalen van hosts met behulp van eBPF-technologie en biedt runtimebeveiliging. De sensor wordt geregistreerd bij een Log Analytics-werkruimte en wordt gebruikt als gegevenspijplijn. De auditlogboekgegevens worden echter niet opgeslagen in de Log Analytics-werkruimte.
Azure Policy voor Kubernetes: een pod die de opensource Gatekeeper v3 uitbreidt en zich registreert als een webhook op Kubernetes-toegangsbeheer, zodat het mogelijk is om afdwinging op schaal toe te passen en beveiligingsmaatregelen op uw clusters op een gecentraliseerde, consistente manier te waarborgen. De Azure Policy voor Kubernetes-pod wordt geïmplementeerd als een Kubernetes-extensie met Arc. Het hoeft slechts op één knooppunt in het cluster te worden geïnstalleerd. Zie Uw Kubernetes-workloads beveiligen en Inzicht in Azure Policy voor Kubernetes-clusters voor meer informatie.
Hoe werkt detectie zonder agent voor Kubernetes in GCP?
Het detectieproces is gebaseerd op momentopnamen die met intervallen zijn gemaakt:
Wanneer u de detectie zonder agent inschakelt voor de Kubernetes-extensie, wordt het volgende proces uitgevoerd:
Maken:
De serviceaccount mdc-containers-k8s-operator wordt gemaakt. De naam kan worden aangepast.
Toewijzen: Defender voor Cloud koppelt de volgende rollen aan de mdc-containers-k8s-operator van het serviceaccount:
De aangepaste rol MDCGkeClusterWriteRole, die de container.clusters.update machtiging heeft
De ingebouwde rol container.viewer
Detecteren: Met behulp van de door het systeem toegewezen identiteit voert Defender voor Cloud een detectie uit van de GKE-clusters in uw omgeving met behulp van API-aanroepen naar de API-server van GKE.
Notitie
De gekopieerde momentopname blijft in dezelfde regio als het cluster.
Volgende stappen
In dit overzicht hebt u geleerd over de architectuur van containerbeveiliging in Microsoft Defender voor Cloud. Als u het plan wilt inschakelen, raadpleegt u:
