Включение Defender для контейнеров в Kubernetes с поддержкой Arc через портал

В этой статье показано, как включить Microsoft Defender для контейнеров в кластерах Kubernetes с поддержкой Arc на портале Azure. Вы можете включить все функции безопасности одновременно для комплексной защиты или выборочно развернуть определенные компоненты на основе ваших требований.

Когда следует использовать это руководство

Используйте это руководство, если вы хотите:

  • Настройте Defender для контейнеров в кластерах с поддержкой Arc впервые
  • Включение всех функций безопасности для комплексной защиты
  • Выборочное развертывание определенных компонентов
  • Исправление или добавление отсутствующих компонентов в существующее развертывание
  • Развертывайте с помощью управляемого выборочного подхода
  • Исключение определенных кластеров из защиты

Предпосылки

Требования к сети

Убедитесь, что для общедоступных облачных развертываний настроены следующие конечные точки для исходящего доступа. Настройка для исходящего доступа помогает убедиться, что датчик Defender может подключаться к Microsoft Defender для облака для отправки данных и событий безопасности.

Замечание

Домены *.ods.opinsights.azure.com Azure и *.oms.opinsights.azure.com больше не требуются для исходящего доступа. Дополнительные сведения см. в объявлении об устаревании.

Домен Azure домен Azure для государственных организаций Azure, управляемый доменом 21Vianet Порт
*.cloud.defender.microsoft.com N/A N/A 443

Кроме того, необходимо проверить требования к сети Kubernetes с поддержкой Azure Arc.

Дополнительные требования, специфичные для Arc:

  • Кластер Kubernetes с сертификатом CNCF (локальный или IaaS)
  • Кластер версии 1.19 или выше
  • Исходящее подключение HTTPS к конечным точкам Azure
  • Локальная установка Azure CLI или Azure Cloud Shell

Подключение кластера к Azure Arc

Если кластер Kubernetes еще не подключен к Azure Arc, выполните следующие действия.

  1. Войдите на портал Azure.

  2. Перейдите к Azure Arc на портале Azure.

  3. Выберите кластеры Kubernetes в меню слева.

  4. Нажмите кнопку "Добавить".

  5. Выберите Добавить кластер Kubernetes с Azure Arc.

  6. Следуйте инструкциям по подключению:

    1. Выбор или создание группы ресурсов
    2. Введите имя кластера
    3. Выберите регион
    4. Добавьте теги (необязательно)

  7. На вкладке сведений о кластере скопируйте и запустите скрипт регистрации в кластере:

    # The portal will generate a script similar to this
az connectedk8s connect --name <cluster-name> \
    --resource-group <resource-group> \
    --location <region>

  8. Дождитесь завершения подключения и убедитесь, что кластер отображается как подключенный.

Включение плана Defender для контейнеров

  1. Перейдите к Microsoft Defender для облака.

  2. Выберите параметры среды в меню слева.

  3. Выберите подписку, содержащую кластер с поддержкой Arc.

  4. Включите план "Контейнеры".

    Снимок экрана: страница планов Defender, на которой показано, где переключаться план контейнеров на расположение.

Настройка компонентов плана

  1. Выберите "Параметры" рядом с планом "Контейнеры".

  2. Выберите подход к развертыванию:

    • Включение всех компонентов (рекомендуется): включение всех функций для комплексной защиты
    • Включение определенных компонентов. Выберите только необходимые компоненты.

    Снимок экрана: включение компонентов.

    Замечание

    Чтобы отключить автоматическую установку компонентов во время процесса подключения, выберите "Изменить конфигурацию " для плана "Контейнеры ". Отображаются дополнительные параметры и вы можете отключить автоматическую установку для каждого компонента.

    Доступные компоненты:

    • Обнаружение без агента для Kubernetes — обнаруживает все кластеры Kubernetes
    • Оценка уязвимостей без агента — сканирует образы контейнеров
    • DaemonSet Defender — обнаружение угроз среды выполнения
    • Политика Azure для Kubernetes — рекомендации по безопасности

  3. Нажмите кнопку "Продолжить " и нажмите кнопку "Сохранить".

Развертывание всех компонентов

Выполните следующие действия, чтобы включить комплексную защиту для всех кластеров с поддержкой Arc.

Развертывание расширений в кластерах с поддержкой Arc

  1. Перейдите к Microsoft Defender для облака> Recommendations.

  2. Найдите "Кластеры Kubernetes с поддержкой Azure Arc должны иметь расширение Defender".

    Снимок экрана: рекомендация Microsoft Defender для облака по развертыванию датчика Defender для кластеров Kubernetes с поддержкой Azure Arc.

  3. Выберите рекомендацию.

  4. Выберите кластеры с поддержкой Arc.

    Это важно

    Установите флажок рядом с именем кластера, а не на самом гиперссылочном имени.

  5. Выберите Исправить, чтобы автоматически развернуть расширения.

    Анимированный снимок экрана, на котором показано развертывание датчика Defender для Azure Arc с помощью исправления в Defender для облака.

Вариант 2. Развертывание вручную

  1. Перейдите в кластер Kubernetes с поддержкой Arc.

  2. В разделе "Параметры" выберите "Расширения".

  3. Выберите + Добавить.

  4. Установите расширение Microsoft Defender для контейнеров :

    1. Найдите "Microsoft Defender"
    2. Выберите расширение
    3. Настройка рабочей области Log Analytics
    4. Завершение установки

  5. Установите заново расширение Политики Azure для Kubernetes при необходимости.

Развертывание датчика Defender

После установки расширения разверните датчик Defender в кластерах с поддержкой Arc:

Вариант 1. Развертывание с помощью рекомендаций

  1. Перейдите к Microsoft Defender для облака> Recommendations.

  2. Найдите "Кластеры Kubernetes с поддержкой Azure Arc должны иметь расширение Defender".

  3. Выберите рекомендацию.

  4. Выберите кластеры с поддержкой Arc, где требуется развернуть датчик.

  5. Выберите элемент Исправить.

  6. Просмотрите конфигурацию развертывания:

    • Назначение рабочей области Log Analytics
    • параметры выделения ресурсов;
    • Конфигурация пространства имен

  7. Выберите "Исправить ресурсы X " для развертывания.

Вариант 2. Развертывание с помощью кластера Arc

  1. Перейдите в кластер Kubernetes с поддержкой Arc.

  2. В разделе "Параметры" выберите "Расширения".

  3. Убедитесь, что расширение Microsoft Defender отображается как успешное.

  4. Если модули датчиков не работают, выберите расширение и выберите команду "Управление".

  5. Настройка параметров развертывания:

    • Включение защиты среды выполнения
    • Установка ограничений ресурсов при необходимости
    • Настройка исключений пространства имен

  6. Нажмите кнопку "Применить".

Проверка развертывания датчика

После развертывания убедитесь, что датчик запущен:

# Check sensor pods
kubectl get pods -n kube-system -l app=microsoft-defender

# Check DaemonSet status
kubectl get ds microsoft-defender-collector-ds -n kube-system

Все узлы должны иметь работающий сенсорный pod в течение 5–10 минут.

Настройка рабочей области Log Analytics

Во время развертывания расширения можно:

  1. Выберите существующую рабочую область Log Analytics или создайте новую.

  2. Используйте рабочую область по умолчанию: DefaultWorkspace-[subscription-id]-[регион].

  3. Или выберите пользовательскую рабочую область в поддерживаемом регионе.

Включение сканирования уязвимостей

Для кластеров с поддержкой Arc настройте проверку реестра:

  1. Если вы используете реестр контейнеров Azure:

    • Автоматическое сканирование уязвимостей включено автоматически
    • Убедитесь, что реестр контейнеров Azure находится в той же подписке или подключен.

  2. Для частных реестров:

    # Create registry credentials
kubectl create secret docker-registry regcred \
    --namespace mdc \
    --docker-server=<registry-url> \
    --docker-username=<username> \
    --docker-password=<password>

  3. Обновите конфигурацию расширения, чтобы использовать учетные данные.

Дальнейшие шаги

  • Last updated on