Kapsayıcılar için Defender mimarisi

Kapsayıcılar için Defender, her Kubernetes ortamı için farklı şekilde tasarlanmıştır ve bunlar şu ortamlarda çalışır:

• Azure Kubernetes Service (AKS) - Microsoft'un kapsayıcılı uygulamaları geliştirmeye, dağıtmaya ve yönetmeye yönelik yönetilen hizmeti.

• Bağlı bir Amazon Web Services (AWS) hesabında Amazon Elastic Kubernetes Service (EKS) - Amazon'un Kendi Kubernetes denetim düzleminizi veya düğümlerinizi yüklemenize, çalıştırmanıza ve bakımını yapmanıza gerek kalmadan AWS üzerinde Kubernetes çalıştırmaya yönelik yönetilen hizmeti.

• Bağlı bir Google Cloud Platform (GCP) projesinde Google Kubernetes Engine (GKE) - GcP altyapısını kullanarak uygulamaları dağıtmak, yönetmek ve ölçeklendirmek için Google'ın yönetilen ortamı.

• Yönetilmeyen bir Kubernetes dağıtımı (Azure Arc özellikli Kubernetes kullanılarak) - Şirket içinde veya IaaS'de barındırılan Cloud Native Computing Foundation (CNCF) sertifikalı Kubernetes kümeleri.

Not

Arc özellikli Kubernetes kümeleri (AWS EKS ve GCP GKE) için Kapsayıcılar için Defender desteği bir önizleme özelliğidir.

Kubernetes kapsayıcılarınızı korumak için Kapsayıcılar için Defender şunları alır ve analiz eder:

• API sunucusundan denetim günlükleri ve güvenlik olayları
• Denetim düzleminden küme yapılandırma bilgileri
• Azure İlkesi iş yükü yapılandırması
• Düğüm düzeyinden güvenlik sinyalleri ve olayları

Desteklenen işletim sistemleri, özellik kullanılabilirliği, giden ara sunucu gibi uygulama ayrıntıları hakkında daha fazla bilgi edinmek için bkz . Kapsayıcılar için Defender özellik kullanılabilirliği.

Her Kubernetes ortamı için mimari

Azure (AKS)

Bulut için Defender ve AKS kümelerinin mimari diyagramı

Bulut için Defender Azure Kubernetes Service'te barındırılan bir kümeyi koruduğunda, denetim günlüğü verilerinin toplanması aracısızdır ve ek maliyet veya yapılandırma konuları olmadan Azure altyapısı aracılığıyla otomatik olarak toplanır. Kapsayıcılar için Microsoft Defender tarafından sunulan tam korumayı almak için gerekli bileşenler şunlardır:

• Defender algılayıcısı: Her düğümde dağıtılan DaemonSet, eBPF teknolojisini kullanarak konaklardan sinyal toplar ve çalışma zamanı koruması sağlar. Algılayıcı bir Log Analytics çalışma alanına kaydedilir ve veri işlem hattı olarak kullanılır. Ancak denetim günlüğü verileri Log Analytics çalışma alanında depolanmaz. Defender algılayıcısı AKS Güvenlik profili olarak dağıtılır.
• Kubernetes için Azure İlkesi: Açık kaynak Gatekeeper v3'lerini genişleten ve kubernetes erişim denetimine bir web kancası olarak kaydolan bir pod, büyük ölçekte zorlamalar uygulamayı mümkün hale getirir ve kümelerinizde merkezi ve tutarlı bir şekilde koruma sağlar. Kubernetes podunun Azure İlkesi AKS eklentisi olarak dağıtılır. Kümedeki yalnızca bir düğüme yüklenir. Daha fazla bilgi için bkz. Kubernetes iş yüklerinizi koruma ve Kubernetes kümeleri için Azure İlkesi anlama.

Defender algılayıcı bileşeni ayrıntıları

Pod Adı	Ad Alanı	Tip	Kısa Açıklama	Özellikler	Kaynak sınırları	Çıkış Gerekli
microsoft-defender-collector-ds-*	kube-system	DaemonSet	Kubernetes ortamından envanter ve güvenlik olaylarını toplamaya odaklanan kapsayıcı kümesi.	SYS_ADMIN, SYS_RESOURCE, SYS_PTRACE	bellek: 296Mi cpu: 360m	Hayır
microsoft-defender-collector-misc-*	kube-system	Dağıtım	Belirli bir düğüme bağlı olmayan Kubernetes ortamından envanter ve güvenlik olaylarını toplamaya odaklanan kapsayıcı kümesi.	Yok	bellek: 64Mi cpu: 60m	Hayır
microsoft-defender-publisher-ds-*	kube-system	DaemonSet	Toplanan verileri, verilerin işlendiği ve çözümlendiği Kapsayıcılar için Microsoft Defender arka uç hizmetinde yayımlayın.	Yok	bellek: 200Mi cpu: 60m	Https 443 Giden erişim önkoşulları hakkında daha fazla bilgi edinin

* Kaynak sınırları yapılandırılamaz; Kubernetes kaynak sınırları hakkında daha fazla bilgi edinin.

Azure'da Kubernetes için aracısız bulma nasıl çalışır?

Bulma işlemi, aralıklarla alınan anlık görüntüleri temel alır:

Kubernetes uzantısı için aracısız bulmayı etkinleştirdiğinizde aşağıdaki işlem gerçekleşir:

• Oluştur:

  • Uzantı Defender CSPM'den etkinleştirildiyse Bulut için Defender adlı CloudPosture/securityOperator/DefenderCSPMSecurityOperatormüşteri ortamlarında bir kimlik oluşturur.
  • Uzantı Kapsayıcılar için Defender'dan etkinleştirildiyse Bulut için Defender adlı CloudPosture/securityOperator/DefenderForContainersSecurityOperatormüşteri ortamlarında bir kimlik oluşturur.

• Ata: Bulut için Defender, abonelik kapsamındaki bu kimliğe Kubernetes Aracısız İşleci adlı yerleşik bir rol atar. Rol aşağıdaki izinleri içerir:

  • AKS okuma (Microsoft.ContainerService/managedClusters/read)
  • Aşağıdaki izinlere sahip AKS Güvenilen Erişimi:
  • Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/write
  • Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/read
  • Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/delete

  AKS Güvenilen Erişimi hakkında daha fazla bilgi edinin.

• Bulma: Sistem tarafından atanan kimliği kullanarak Bulut için Defender AKS'nin API sunucusuna yapılan API çağrılarını kullanarak ortamınızdaki AKS kümelerini bulur.

• Bağlama: AKS kümesi bulunduktan sonra Bulut için Defender oluşturulan kimlik ile Kubernetes ClusterRoleaks:trustedaccessrole:defender-containers:microsoft-defender-operator arasında bir oluşturarak aks ClusterRoleBinding bağlama işlemi gerçekleştirir. ClusterRole API aracılığıyla görünür ve küme içinde Bulut için Defender veri düzlemi okuma izni verir.

Not

Kopyalanan anlık görüntü kümeyle aynı bölgede kalır.

Şirket içi / IaaS (Arc)

Bulut için Defender ve Arc özellikli Kubernetes kümelerinin mimari diyagramı

Kapsayıcılar için Microsoft Defender tarafından sunulan tam korumayı almak için bu bileşenler gereklidir:

• Azure Arc özellikli Kubernetes - Azure Arc özellikli Kubernetes - Kümedeki bir düğüme yüklenen ve kümelerinizi Bulut için Defender bağlayan algılayıcı tabanlı bir çözümdür. Bulut için Defender aşağıdaki iki aracıyı şu şekilde dağıtabilir:Yay uzantıları:

• Defender algılayıcısı: Her düğümde dağıtılan DaemonSet, çalışma zamanı koruması sağlamak için eBPF teknolojisini ve Kubernetes denetim günlüklerini kullanarak konak sinyalleri toplar. Algılayıcı bir Log Analytics çalışma alanına kaydedilir ve veri işlem hattı olarak kullanılır. Ancak denetim günlüğü verileri Log Analytics çalışma alanında depolanmaz. Defender algılayıcısı, Arc özellikli bir Kubernetes uzantısı olarak dağıtılır.

• Kubernetes için Azure İlkesi: Açık kaynak Gatekeeper v3'lerini genişleten ve kubernetes erişim denetimine bir web kancası olarak kaydolan bir pod, büyük ölçekte zorlamalar uygulamayı mümkün hale getirir ve kümelerinizde merkezi ve tutarlı bir şekilde koruma sağlar. Kümedeki yalnızca bir düğüme yüklenir. Daha fazla bilgi için bkz. Kubernetes iş yüklerinizi koruma ve Kubernetes kümeleri için Azure İlkesi anlama.

Not

Arc özellikli Kubernetes kümeleri için Kapsayıcılar için Defender desteği bir önizleme özelliğidir.

AWS (EKS)

Bulut için Defender ve EKS kümelerinin mimari diyagramı

Bulut için Defender Elastic Kubernetes Service'te barındırılan bir kümeyi koruduğunda, denetim günlüğü verilerinin toplanması aracısızdır. Kapsayıcılar için Microsoft Defender tarafından sunulan tam korumayı almak için gerekli bileşenler şunlardır:

• Kubernetes denetim günlükleri: AWS hesabının CloudWatch'ı, aracısız bir toplayıcı aracılığıyla denetim günlüğü verilerini etkinleştirir ve toplar ve toplanan bilgileri daha fazla analiz için Bulut için Microsoft Defender arka ucuna gönderir.
• Azure Arc özellikli Kubernetes - Azure Arc özellikli Kubernetes - Kümedeki bir düğüme yüklenen ve kümelerinizi Bulut için Defender bağlayan algılayıcı tabanlı bir çözümdür. Bulut için Defender aşağıdaki iki aracıyı şu şekilde dağıtabilir:Yay uzantıları:
• Defender algılayıcısı: Her düğümde dağıtılan DaemonSet, eBPF teknolojisini kullanarak konaklardan sinyal toplar ve çalışma zamanı koruması sağlar. Algılayıcı bir Log Analytics çalışma alanına kaydedilir ve veri işlem hattı olarak kullanılır. Ancak denetim günlüğü verileri Log Analytics çalışma alanında depolanmaz. Defender algılayıcısı, Arc özellikli bir Kubernetes uzantısı olarak dağıtılır.
• Kubernetes için Azure İlkesi: Açık kaynak Gatekeeper v3'lerini genişleten ve kubernetes erişim denetimine bir web kancası olarak kaydolan bir pod, büyük ölçekte zorlamalar uygulamayı mümkün hale getirir ve kümelerinizde merkezi ve tutarlı bir şekilde koruma sağlar. Kubernetes podunun Azure İlkesi, Arc özellikli kubernetes uzantısı olarak dağıtılır. Kümedeki yalnızca bir düğüme yüklenir. Daha fazla bilgi için bkz. Kubernetes iş yüklerinizi koruma ve Kubernetes kümeleri için Azure İlkesi anlama.

AWS'de Kubernetes için aracısız bulma nasıl çalışır?

Bulma işlemi, aralıklarla alınan anlık görüntüleri temel alır:

Kubernetes uzantısı için aracısız bulmayı etkinleştirdiğinizde aşağıdaki işlem gerçekleşir:

• Oluştur:

  • MDCContainersAgentlessDiscoveryK8sRole Bulut için Defender rolü EKS kümelerinin aws-auth ConfigMap'ine eklenmelidir. Ad özelleştirilebilir.

• Ata: Bulut için Defender MDCContainersAgentlessDiscoveryK8sRole rolünü aşağıdaki izinleri atar:

  • eks:UpdateClusterConfig
  • eks:DescribeCluster

• Bulma: Sistem tarafından atanan kimliği kullanarak Bulut için Defender EKS'nin API sunucusuna yapılan API çağrılarını kullanarak ortamınızdaki EKS kümelerini bulur.

Not

Kopyalanan anlık görüntü kümeyle aynı bölgede kalır.

GCP (GKE)

Bulut için Defender ve GKE kümelerinin mimari diyagramı

Bulut için Defender Google Kubernetes Engine'de barındırılan bir kümeyi koruduğunda, denetim günlüğü verilerinin toplanması aracısızdır. Kapsayıcılar için Microsoft Defender tarafından sunulan tam korumayı almak için gerekli bileşenler şunlardır:

• Kubernetes denetim günlükleri – GCP Bulut Günlüğü aracısız bir toplayıcı aracılığıyla denetim günlüğü verilerini etkinleştirir ve toplar ve toplanan bilgileri daha fazla analiz için Bulut için Microsoft Defender arka ucuna gönderir.

• Azure Arc özellikli Kubernetes - Azure Arc özellikli Kubernetes - Kümedeki bir düğüme yüklenen ve kümelerinizin Bulut için Defender bağlanmasına olanak tanıyan algılayıcı tabanlı bir çözüm. Bulut için Defender aşağıdaki iki aracıyı şu şekilde dağıtabilir:Yay uzantıları:

• Defender algılayıcısı: Her düğümde dağıtılan DaemonSet, eBPF teknolojisini kullanarak konaklardan sinyal toplar ve çalışma zamanı koruması sağlar. Algılayıcı bir Log Analytics çalışma alanına kaydedilir ve veri işlem hattı olarak kullanılır. Ancak denetim günlüğü verileri Log Analytics çalışma alanında depolanmaz.

• Kubernetes için Azure İlkesi: Açık kaynak Gatekeeper v3'lerini genişleten ve kubernetes erişim denetimine bir web kancası olarak kaydolan bir pod, büyük ölçekte zorlamalar uygulamayı mümkün hale getirir ve kümelerinizde merkezi ve tutarlı bir şekilde koruma sağlar. Kubernetes podunun Azure İlkesi, Arc özellikli kubernetes uzantısı olarak dağıtılır. Kümedeki yalnızca bir düğüme yüklenmesi gerekir. Daha fazla bilgi için bkz. Kubernetes iş yüklerinizi koruma ve Kubernetes kümeleri için Azure İlkesi anlama.

GCP'de Kubernetes için aracısız bulma nasıl çalışır?

Bulma işlemi, aralıklarla alınan anlık görüntüleri temel alır:

Kubernetes uzantısı için aracısız bulmayı etkinleştirdiğinizde aşağıdaki işlem gerçekleşir:

• Oluştur:

  • mdc-containers-k8s-operator hizmet hesabı oluşturulur. Ad özelleştirilebilir.

• Atama: Bulut için Defender mdc-containers-k8s-operator hizmet hesabına aşağıdaki rolleri ekler:

  • İzni olan container.clusters.update özel rolMDCGkeClusterWriteRole.
  • Yerleşik rol container.viewer

• Bulma: Sistem tarafından atanan kimliği kullanarak Bulut için Defender, GKE'nin API sunucusuna yapılan API çağrılarını kullanarak ortamınızdaki GKE kümelerini bulur.

Not

Kopyalanan anlık görüntü kümeyle aynı bölgede kalır.

Sonraki adımlar

Bu genel bakışta, Bulut için Microsoft Defender kapsayıcı güvenliği mimarisi hakkında bilgi edindiyseniz. Planı etkinleştirmek için bkz:

Kapsayıcılar için Defender'ın etkinleştirilmesi