O Defender for Containers foi projetado de forma diferente para cada ambiente Kubernetes, independentemente de estarem sendo executados em:
Azure Kubernetes Service (AKS) - o serviço gerenciado da Microsoft para desenvolver, implantar e gerenciar aplicativos em contêineres.
Amazon Elastic Kubernetes Service (EKS) em uma conta conectada da Amazon Web Services (AWS) - o serviço gerenciado da Amazon para executar o Kubernetes na AWS sem a necessidade de instalar, operar e manter seu próprio plano ou nós de controle do Kubernetes.
Google Kubernetes Engine (GKE) em um projeto conectado do Google Cloud Platform (GCP) - o ambiente gerenciado do Google para implantar, gerenciar e dimensionar aplicativos usando a infraestrutura GCP.
Uma distribuição Kubernetes não gerenciada (usando o Kubernetes habilitado para Azure Arc) - clusters Kubernetes certificados pela Cloud Native Computing Foundation (CNCF) hospedados no local ou em IaaS.
Nota
O suporte do Defender for Containers para clusters Kubernetes habilitados para Arc (AWS EKS e GCP GKE) é um recurso de visualização.
Para proteger seus contêineres Kubernetes, o Defender for Containers recebe e analisa:
Logs de auditoria e eventos de segurança do servidor de API
Informações de configuração do cluster do plano de controle
Configuração da carga de trabalho da Política do Azure
Sinais e eventos de segurança do nível do nó
Para saber mais sobre detalhes de implementação, como sistemas operacionais suportados, disponibilidade de recursos, proxy de saída, consulte Disponibilidade de recursos do Defender for Containers.
Diagrama de arquitetura de clusters Defender for Cloud e AKS
Quando o Defender for Cloud protege um cluster hospedado no Serviço Kubernetes do Azure, a coleta de dados de log de auditoria é sem agente e coletada automaticamente por meio da infraestrutura do Azure, sem custo adicional ou considerações de configuração. Estes são os componentes necessários para receber a proteção total oferecida pelo Microsoft Defender for Containers:
Sensor Defender: O DaemonSet que é implantado em cada nó, coleta sinais de hosts usando a tecnologia eBPF e fornece proteção de tempo de execução. O sensor é registrado em um espaço de trabalho do Log Analytics e usado como um pipeline de dados. No entanto, os dados do log de auditoria não são armazenados no espaço de trabalho do Log Analytics. O sensor Defender é implantado como um perfil de segurança AKS.
Política do Azure para Kubernetes: um pod que estende o Gatekeeper v3 de código aberto e se registra como um gancho da Web para o controle de admissão do Kubernetes, tornando possível aplicar imposições em escala e salvaguardas em seus clusters de maneira centralizada e consistente. O pod da Política do Azure para Kubernetes é implantado como um complemento AKS. Ele é instalado apenas em um nó no cluster. Para obter mais informações, consulte Proteja suas cargas de trabalho do Kubernetes e Entenda a Política do Azure para clusters do Kubernetes.
Um conjunto de contêineres que se concentram na coleta de eventos de inventário e segurança do ambiente Kubernetes que não estão vinculados a um nó específico.
Como funciona a descoberta sem agente para Kubernetes no Azure?
O processo de descoberta é baseado em instantâneos tirados em intervalos:
Quando você habilita a descoberta sem agente para a extensão Kubernetes, ocorre o seguinte processo:
Criar:
Se a extensão estiver habilitada a partir do Defender CSPM, o Defender for Cloud criará uma identidade em ambientes de clientes chamada CloudPosture/securityOperator/DefenderCSPMSecurityOperator.
Se a extensão estiver habilitada no Defender for Containers, o Defender for Cloud criará uma identidade em ambientes de clientes chamada CloudPosture/securityOperator/DefenderForContainersSecurityOperator.
Atribuir: o Defender for Cloud atribui uma função interna chamada Operador sem agente do Kubernetes a essa identidade no escopo da assinatura. A função contém as seguintes permissões:
AKS read (Microsoft.ContainerService/managedClusters/read)
Descubra: Usando a identidade atribuída ao sistema, o Defender for Cloud realiza uma descoberta dos clusters AKS em seu ambiente usando chamadas de API para o servidor de API do AKS.
Bind: Após a descoberta de um cluster AKS, o Defender for Cloud executa uma operação de ligação AKS criando um ClusterRoleBinding entre a identidade criada e o Kubernetes ClusterRoleaks:trustedaccessrole:defender-containers:microsoft-defender-operator. O ClusterRole é visível via API e dá permissão de leitura do plano de dados do Defender for Cloud dentro do cluster.
Nota
O instantâneo copiado permanece na mesma região do cluster.
Diagrama de arquitetura de clusters Kubernetes habilitados para Defender for Cloud e Arc
Esses componentes são necessários para receber a proteção total oferecida pelo Microsoft Defender for Containers:
Kubernetes habilitado para Azure Arc - Kubernetes habilitado para Azure Arc - Uma solução baseada em sensor, instalada em um nó no cluster, que conecta seus clusters ao Defender for Cloud. O Defender for Cloud é então capaz de implantar os dois agentes a seguir como extensões Arc:
Sensor Defender: O DaemonSet que é implantado em cada nó, coleta sinais de host usando a tecnologia eBPF e logs de auditoria do Kubernetes, para fornecer proteção de tempo de execução. O sensor é registrado em um espaço de trabalho do Log Analytics e usado como um pipeline de dados. No entanto, os dados do log de auditoria não são armazenados no espaço de trabalho do Log Analytics. O sensor Defender é implantado como uma extensão do Kubernetes habilitada para Arc.
Política do Azure para Kubernetes: um pod que estende o Gatekeeper v3 de código aberto e se registra como um gancho da Web para o controle de admissão do Kubernetes, tornando possível aplicar imposições em escala e salvaguardas em seus clusters de maneira centralizada e consistente. Ele é instalado apenas em um nó no cluster. Para obter mais informações, consulte Proteja suas cargas de trabalho do Kubernetes e Entenda a Política do Azure para clusters do Kubernetes.
Nota
O suporte do Defender for Containers para clusters Kubernetes habilitados para Arc é um recurso de visualização.
Diagrama de arquitetura de clusters Defender for Cloud e EKS
Quando o Defender for Cloud protege um cluster hospedado no Elastic Kubernetes Service, a coleta de dados de log de auditoria é sem agente. Estes são os componentes necessários para receber a proteção total oferecida pelo Microsoft Defender for Containers:
Logs de auditoria do Kubernetes – o CloudWatch da conta da AWS habilita e coleta dados de log de auditoria por meio de um coletor sem agente e envia as informações coletadas para o back-end do Microsoft Defender for Cloud para análise posterior.
Kubernetes habilitado para Azure Arc - Kubernetes habilitado para Azure Arc - Uma solução baseada em sensor, instalada em um nó no cluster, que conecta seus clusters ao Defender for Cloud. O Defender for Cloud é então capaz de implantar os dois agentes a seguir como extensões Arc:
Sensor Defender: O DaemonSet que é implantado em cada nó, coleta sinais de hosts usando a tecnologia eBPF e fornece proteção de tempo de execução. O sensor é registrado em um espaço de trabalho do Log Analytics e usado como um pipeline de dados. No entanto, os dados do log de auditoria não são armazenados no espaço de trabalho do Log Analytics. O sensor Defender é implantado como uma extensão do Kubernetes habilitada para Arc.
Política do Azure para Kubernetes: um pod que estende o Gatekeeper v3 de código aberto e se registra como um gancho da Web para o controle de admissão do Kubernetes, tornando possível aplicar imposições em escala e salvaguardas em seus clusters de maneira centralizada e consistente. O pod da Política do Azure para Kubernetes é implantado como uma extensão do Kubernetes habilitada para Arc. Ele é instalado apenas em um nó no cluster. Para obter mais informações, consulte Proteja suas cargas de trabalho do Kubernetes e Entenda a Política do Azure para clusters do Kubernetes.
Como funciona a descoberta sem agente para Kubernetes na AWS?
O processo de descoberta é baseado em instantâneos tirados em intervalos:
Quando você habilita a descoberta sem agente para a extensão Kubernetes, ocorre o seguinte processo:
Criar:
A função MDCContainersAgentlessDiscoveryK8sRole do Defender for Cloud deve ser adicionada ao aws-auth ConfigMap dos clusters EKS. O nome pode ser personalizado.
Atribuir: o Defender for Cloud atribui à função MDCContainersAgentlessDiscoveryK8sRole as seguintes permissões:
eks:UpdateClusterConfig
eks:DescribeCluster
Descubra: Usando a identidade atribuída ao sistema, o Defender for Cloud realiza uma descoberta dos clusters EKS em seu ambiente usando chamadas de API para o servidor de API do EKS.
Nota
O instantâneo copiado permanece na mesma região do cluster.
Diagrama de arquitetura de clusters Defender for Cloud e GKE
Quando o Defender for Cloud protege um cluster hospedado no Google Kubernetes Engine, a coleta de dados de log de auditoria é sem agente. Estes são os componentes necessários para receber a proteção total oferecida pelo Microsoft Defender for Containers:
Logs de auditoria do Kubernetes – O GCP Cloud Logging habilita e coleta dados de log de auditoria por meio de um coletor sem agente e envia as informações coletadas para o back-end do Microsoft Defender for Cloud para análise posterior.
Kubernetes habilitado para Azure Arc - Kubernetes habilitado para Azure Arc - Uma solução baseada em sensor, instalada em um nó no cluster, que permite que seus clusters se conectem ao Defender for Cloud. O Defender for Cloud é então capaz de implantar os dois agentes a seguir como extensões Arc:
Sensor Defender: O DaemonSet que é implantado em cada nó, coleta sinais de hosts usando a tecnologia eBPF e fornece proteção de tempo de execução. O sensor é registrado em um espaço de trabalho do Log Analytics e usado como um pipeline de dados. No entanto, os dados do log de auditoria não são armazenados no espaço de trabalho do Log Analytics.
Política do Azure para Kubernetes: um pod que estende o Gatekeeper v3 de código aberto e se registra como um gancho da Web para o controle de admissão do Kubernetes, tornando possível aplicar imposições em escala e salvaguardas em seus clusters de maneira centralizada e consistente. O pod da Política do Azure para Kubernetes é implantado como uma extensão do Kubernetes habilitada para Arc. Ele só precisa ser instalado em um nó no cluster. Para obter mais informações, consulte Proteja suas cargas de trabalho do Kubernetes e Entenda a Política do Azure para clusters do Kubernetes.
Como funciona a descoberta sem agente para o Kubernetes no GCP?
O processo de descoberta é baseado em instantâneos tirados em intervalos:
Quando você habilita a descoberta sem agente para a extensão Kubernetes, ocorre o seguinte processo:
Criar:
A conta de serviço mdc-containers-k8s-operator é criada. O nome pode ser personalizado.
Atribuir: o Defender for Cloud anexa as seguintes funções à conta de serviço mdc-containers-k8s-operator:
A função MDCGkeClusterWriteRolepersonalizada , que tem a container.clusters.update permissão
A função interna container.viewer
Descubra: Usando a identidade atribuída ao sistema, o Defender for Cloud realiza uma descoberta dos clusters GKE em seu ambiente usando chamadas de API para o servidor de API do GKE.
Nota
O instantâneo copiado permanece na mesma região do cluster.
Próximos passos
Nesta visão geral, você aprendeu sobre a arquitetura de segurança de contêiner no Microsoft Defender for Cloud. Para habilitar o plano, consulte:
