Kapsayıcılar için Microsoft Defender, Microsoft Defender for Cloud aracılığıyla bulut ortamlarında Kubernetes kümeleri için tehdit koruması, güvenlik açığı değerlendirmesi ve güvenlik duruşu yönetimi sağlar.
Kapsayıcılar için Defender, Kubernetes ortamına bağlı olarak farklı şekilde etkinleştirilir ve dağıtılır. Azure Kubernetes Service (AKS) Azure yerel tümleştirmeleri kullanırken Amazon Elastic Kubernetes Service (EKS) ve Google Kubernetes Engine (GKE) çok bulutlu bağlayıcılara, Azure Arc etkin Kubernetes'e ve ortama özgü bileşenlere dayanır.
Kapsayıcılar için Microsoft Defender, güvenlik izleme ve korumayı Microsoft Defender for Cloud aracılığıyla Azure Kubernetes Service (AKS) kümelere genişletir. Güvenlik ve DevOps ekiplerinin Azure ortamlarında kapsayıcı görüntüsü güvenlik açıkları, çalışma zamanı etkinliği ve Kubernetes yapılandırma riskleri hakkında görünürlük kazanmasına yardımcı olur.
Azure ile tümleştirme
Kapsayıcılar için Defender, AKS kümelerini korumak için Azure hizmetleriyle yerel olarak tümleştirilir. Azure aboneliğinde etkinleştirildiğinde çözüm:
- Abonelikteki AKS kümelerini keşfeder
- Azure tarafından yönetilen tümleştirmeleri kullanarak Microsoft Defender for Containers bileşenlerini dağıtır.
- Azure Container Registry(ACR) içinde depolanan kapsayıcı görüntülerini güvenlik açıklarına karşı değerlendirir
- AKS kümelerinden çalışma zamanı güvenlik sinyallerini toplar
- Gözlemlenen yapılandırmaya ve duruşa göre güvenlik önerileri oluşturur
- Microsoft güvenlik araçlarıyla bütünleşen uyarıları görünür hale getirir.
Tümleştirme, yerel Azure özellikleri kullanılarak çalışacak şekilde tasarlanmıştır ve AKS kümelerine gelen bağlantı gerektirmez.
Uyarı
AKS kontrol planı denetim günlükleri, Azure yönetilen kontrol planı entegrasyonu aracılığıyla toplanır. Kapsayıcılar için Defender Kubernetes yerel denetim günlüğü işlem hatlarını kullanmaz veya kümede denetim günlüğünü etkinleştirmenizi gerektirmez.
Önemli özellikler
Kapsayıcılar için Defender AKS ortamları için aşağıdaki özellikleri sağlar:
- Azure Container Registry (ACR) içinde depolanan görüntüler için Container görüntü güvenlik açığı değerlendirmesi
- AKS düğümlerinden, iş yüklerinden ve Kubernetes denetim günlüklerinden toplanan çalışma zamanı sinyallerine göre tehdit algılama ve uyarı oluşturma
-
Kubernetes kümeleri ve iş yükleri için Güvenlik duruşu içgörüleri Kubernetes ve Azure en iyi güvenlik yöntemleriyle uyumlu
Uyarı
Kullanılabilir sinyaller ve algılamalar, küme yapılandırmasına ve etkin bileşenlere bağlıdır.
Kapsayıcılar için Microsoft Defender, Microsoft Defender for Cloud aracılığıyla kapsayıcı görüntüsü güvenlik açıklarına, çalışma zamanı etkinliğine ve küme yapılandırma risklerine görünürlük sağlamak için güvenlik izleme ve korumayı Amazon Elastic Kubernetes Service (EKS) kümelerine genişletir.
AWS ile tümleştirme
Kapsayıcılar için Defender, AWS hesabınızı Microsoft Defender for Cloud bağlayan güvenli bir bağlayıcı aracılığıyla AWS ile tümleşir. Bağlantı kurulduğunda, çözüm şunlardır:
- AWS hesabınızdaKI EKS kümelerini bulur
- Çalışma zamanı sinyallerini toplamak için güvenlik sensörlerini hafif şekilde yerleştirir.
- Kapsayıcı görüntülerini güvenlik açıklarına karşı değerlendirmek için Amazon ECR ile tümleşir
- Gözlemlenen yapılandırmaya ve duruşa göre güvenlik önerileri oluşturur
- EKS iş yükleriyle ilgili şüpheli etkinlikler için uyarıları ortaya çıkarır
Tümleştirme, AWS GuardDuty ve AWS Security Hub gibi mevcut AWS güvenlik hizmetleriyle birlikte çalışacak şekilde tasarlanmıştır.
Önemli özellikler
Kapsayıcılar için Defender, Amazon EKS ortamları için aşağıdaki özellikleri sağlar:
- Amazon ECR'de depolanan görüntüler için kapsayıcı görüntüsü güvenlik açığı değerlendirmesi
-
Çalışma zamanı sinyallerini temel alan tehdit algılama, uyarı ve yanıt
- En iyi güvenlik uygulamalarıyla uyumlu güvenlik duruşu içgörüleri
Uyarı
Kullanılabilir sinyaller ve algılamalar, küme yapılandırmasına ve etkin veri kaynaklarına bağlıdır.
Kapsayıcılar için Microsoft Defender, güvenlik izleme ve korumayı Microsoft Defender for Cloud tümleştirerek Google Kubernetes Engine (GKE) kümelerine genişletir.
GCP ile tümleştirme
Kapsayıcılar için Defender, GCP projenizi Microsoft Defender for Cloud'a bağlayan güvenli bir GCP bağlayıcısı aracılığıyla Google Cloud ile tümleştirilir. Bağlantı kurulduğunda, çözüm şunlardır:
- Bağlı GCP projelerindeki GKE kümelerini bulur
- Seçili kümeleri Azure Arc bağlar
- Defender algılayıcısını konuşlandırır
- Google Container Registry ve Artifact Registry ile tümleşir
- Güvenlik önerileri oluşturur
- Şüpheli etkinlik için uyarıları görünür hale getirir
Tümleştirme, yerel GCP güvenlik özellikleriyle birlikte çalışacak şekilde tasarlanmıştır ve gelen bağlantı gerektirmez.
Önemli özellikler
Kapsayıcılar için Defender, GKE ortamları için aşağıdaki özellikleri sağlar:
- GCR ve Artifact Registry için kapsayıcı görüntüsü güvenlik açığı değerlendirmesi
-
Çalışma zamanı sinyallerine dayalı tehdit algılama ve uyarı
- Kubernetes ve GKE en iyi yöntemleriyle uyumlu güvenlik duruşu içgörüleri
Uyarı
Kullanılabilir sinyaller ve algılamalar, küme yapılandırmasına ve etkin veri kaynaklarına bağlıdır.
Kapsayıcılar için Microsoft Defender, Azure Arc aracılığıyla Azure bağlanan Kubernetes kümeleri için güvenlik izleme ve koruma sağlar. Bu, şirket içinde, uçta veya diğer Azure olmayan ortamlarda çalışan Kubernetes kümelerini içerir.
Arc özellikli Kubernetes'te Kapsayıcılar için Defender Microsoft Defender for Cloud aracılığıyla yönetilir ve küme bağlantısı ve bileşen dağıtımı için Azure Arc etkin Kubernetes'e dayanır.
Azure Arc ile tümleştirme
Kapsayıcılar için Defender, kontrol düzlemi olarak Azure Arc kullanarak Arc özellikli Kubernetes kümeleriyle tümleşir. Bir küme Azure Arc'a bağlandıktan ve Azure Arc Kapsayıcılar planı etkinleştirildikten sonra Kapsayıcılar için Defender:
- Abonelik kapsamındaki Arc özellikli Kubernetes kümelerini keşfeder
- Azure Arc uzantılarını kullanarak Defender bileşenleri dağıtır
- Kubernetes düğümlerinden ve iş yüklerinden çalışma zamanı güvenlik sinyallerini toplar
- Küme ve iş yükü yapılandırmalarını değerlendirir
- Defender for Cloud'da güvenlik önerileri ve uyarıları oluşturur
Tümleştirme için Kubernetes kümesine gelen bağlantı gerekmez. Azure Arc aracıları aracılığıyla kümeden Azure iletişim başlatılır.
Uyarı
Kapsayıcılar için Defender bileşenlerini Azure'de çalışmayan Kubernetes kümelerine dağıtmak için Arc özellikli Kubernetes gereklidir.
Önemli özellikler
Kapsayıcılar için Defender Arc özellikli Kubernetes ortamları için aşağıdaki özellikleri sağlar:
- Kubernetes düğümlerinden, iş yüklerinden ve denetim günlüklerinden toplanan çalışma zamanı sinyallerine göre tehdit algılama ve uyarı oluşturma
- Kubernetes kümeleri ve iş yükleri için güvenlik duruşu içgörüleri
- Kubernetes için Azure İlkesi aracılığıyla Policy tabanlı yapılandırma değerlendirmesi
Uyarı
Kullanılabilir sinyaller, algılamalar ve duruş değerlendirmeleri, etkin bileşenlere ve küme yapılandırmasına bağlıdır.
Geçerli kapsamınızı görüntüleme
Bulut için Defender, Azure çalışma kitapları aracılığıyla çalışmakitaplarına erişim sağlar. Çalışma kitapları, güvenlik duruşunuzu anlamanıza yardımcı olan özelleştirilebilir raporlardır.
kapsam çalışma kitabı abonelikleriniz ve bağlı ortamlarınızda hangi Defender for Cloud bileşenleri ve planları etkin olduğunu gösterir.
Pricing
Kapsayıcılar için Defender, Microsoft Defender for Cloud'un bir parçası olarak faturalandırılır. Fiyatlandırma, etkinleştirilmiş bileşenlere ve korunan kaynakların sayısına bağlıdır.
Fiyatlandırma ayrıntıları için bkz. Microsoft Defender for Cloud pricing.
İlgili içerik