Partilhar via


Arquitetura do Defender for Containers

O Defender for Containers foi projetado de forma diferente para cada ambiente Kubernetes, independentemente de estarem sendo executados em:

  • Azure Kubernetes Service (AKS) - o serviço gerenciado da Microsoft para desenvolver, implantar e gerenciar aplicativos em contêineres.

  • Amazon Elastic Kubernetes Service (EKS) em uma conta conectada da Amazon Web Services (AWS) - o serviço gerenciado da Amazon para executar o Kubernetes na AWS sem a necessidade de instalar, operar e manter seu próprio plano ou nós de controle do Kubernetes.

  • Google Kubernetes Engine (GKE) em um projeto conectado do Google Cloud Platform (GCP) - o ambiente gerenciado do Google para implantar, gerenciar e dimensionar aplicativos usando a infraestrutura GCP.

  • Uma distribuição Kubernetes não gerenciada (usando o Kubernetes habilitado para Azure Arc) - clusters Kubernetes certificados pela Cloud Native Computing Foundation (CNCF) hospedados no local ou em IaaS.

Nota

O suporte do Defender for Containers para clusters Kubernetes habilitados para Arc (AWS EKS e GCP GKE) é um recurso de visualização.

Para proteger seus contêineres Kubernetes, o Defender for Containers recebe e analisa:

  • Logs de auditoria e eventos de segurança do servidor de API
  • Informações de configuração do cluster do plano de controle
  • Configuração da carga de trabalho da Política do Azure
  • Sinais e eventos de segurança do nível do nó

Para saber mais sobre detalhes de implementação, como sistemas operacionais suportados, disponibilidade de recursos, proxy de saída, consulte Disponibilidade de recursos do Defender for Containers.

Arquitetura para cada ambiente Kubernetes

Diagrama de arquitetura de clusters Defender for Cloud e AKS

Quando o Defender for Cloud protege um cluster hospedado no Serviço Kubernetes do Azure, a coleta de dados de log de auditoria é sem agente e coletada automaticamente por meio da infraestrutura do Azure, sem custo adicional ou considerações de configuração. Estes são os componentes necessários para receber a proteção total oferecida pelo Microsoft Defender for Containers:

  • Sensor Defender: O DaemonSet que é implantado em cada nó, coleta sinais de hosts usando a tecnologia eBPF e fornece proteção de tempo de execução. O sensor é registrado em um espaço de trabalho do Log Analytics e usado como um pipeline de dados. No entanto, os dados do log de auditoria não são armazenados no espaço de trabalho do Log Analytics. O sensor Defender é implantado como um perfil de segurança AKS.
  • Política do Azure para Kubernetes: um pod que estende o Gatekeeper v3 de código aberto e se registra como um gancho da Web para o controle de admissão do Kubernetes, tornando possível aplicar imposições em escala e salvaguardas em seus clusters de maneira centralizada e consistente. O pod da Política do Azure para Kubernetes é implantado como um complemento AKS. Ele é instalado apenas em um nó no cluster. Para obter mais informações, consulte Proteja suas cargas de trabalho do Kubernetes e Entenda a Política do Azure para clusters do Kubernetes.

Diagrama da arquitetura de alto nível da interação entre o Microsoft Defender for Containers, o Serviço Kubernetes do Azure e a Política do Azure.

Detalhes do componente do sensor Defender

Nome do Pod Espaço de Nomes Variante Short Description Capacidades Limites de recursos Saída Necessária
microsoft-defender-colecionador-ds-* kube-system DaemonSet Um conjunto de contêineres que se concentram na coleta de inventário e eventos de segurança do ambiente Kubernetes. SYS_ADMIN,
SYS_RESOURCE,
SYS_PTRACE
memória: 296Mi

CPU: 360m
Não
microsoft-defender-colecionador-misc-* kube-system Implementação Um conjunto de contêineres que se concentram na coleta de eventos de inventário e segurança do ambiente Kubernetes que não estão vinculados a um nó específico. N/A memória: 64Mi

CPU: 60m
Não
microsoft-defender-editor-ds-* kube-system DaemonSet Publique os dados coletados no serviço de back-end do Microsoft Defender for Containers, onde os dados serão processados e analisados. N/A memória: 200Mi

CPU: 60m
Disponível em: 443

Saiba mais sobre os pré-requisitos de acesso de saída

* Os limites de recursos não são configuráveis; Saiba mais sobre os limites de recursos do Kubernetes.

Como funciona a descoberta sem agente para Kubernetes no Azure?

O processo de descoberta é baseado em instantâneos tirados em intervalos:

Diagrama da arquitetura de permissões.

Quando você habilita a descoberta sem agente para a extensão Kubernetes, ocorre o seguinte processo:

  • Criar:

    • Se a extensão estiver habilitada a partir do Defender CSPM, o Defender for Cloud criará uma identidade em ambientes de clientes chamada CloudPosture/securityOperator/DefenderCSPMSecurityOperator.
    • Se a extensão estiver habilitada no Defender for Containers, o Defender for Cloud criará uma identidade em ambientes de clientes chamada CloudPosture/securityOperator/DefenderForContainersSecurityOperator.
  • Atribuir: o Defender for Cloud atribui uma função interna chamada Operador sem agente do Kubernetes a essa identidade no escopo da assinatura. A função contém as seguintes permissões:

    • AKS read (Microsoft.ContainerService/managedClusters/read)
    • AKS Trusted Access com as seguintes permissões:
    • Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/write
    • Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/read
    • Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/delete

    Saiba mais sobre o AKS Trusted Access.

  • Descubra: Usando a identidade atribuída ao sistema, o Defender for Cloud realiza uma descoberta dos clusters AKS em seu ambiente usando chamadas de API para o servidor de API do AKS.

  • Bind: Após a descoberta de um cluster AKS, o Defender for Cloud executa uma operação de ligação AKS criando um ClusterRoleBinding entre a identidade criada e o Kubernetes ClusterRole aks:trustedaccessrole:defender-containers:microsoft-defender-operator. O ClusterRole é visível via API e dá permissão de leitura do plano de dados do Defender for Cloud dentro do cluster.

Nota

O instantâneo copiado permanece na mesma região do cluster.

Próximos passos

Nesta visão geral, você aprendeu sobre a arquitetura de segurança de contêiner no Microsoft Defender for Cloud. Para habilitar o plano, consulte: