Helm kullanarak Kapsayıcılar için Defender algılayıcısını yükleme

Azure Kubernetes Service (AKS), Amazon Elastic Kubernetes Service (EKS) ve Google Kubernetes Engine (GKE) kümelerinizde dağıtım ve yükseltme zamanlamasını denetlemek için Helm kullanarak Kapsayıcılar için Microsoft Defender algılayıcısını yükleyin ve yapılandırın.

Defender for Containers, otomatik sağlama ve Helm tabanlı yükleme dahil olmak üzere birden çok sensör dağıtım modelini destekler. Helm tabanlı dağıtım, sürüm oluşturma ve yükseltme zamanlaması üzerinde daha fazla denetim sağlar, ancak bazı operasyonel işleri siz yönetirsiniz. Helm tabanlı dağıtımı kullanırken şunları göz önünde bulundurun:

• Algılayıcı yükseltmeleri: Helm tabanlı dağıtım ile algılayıcı yükseltmelerini ve zamanlamasını yönetirsiniz. Otomatik sağlama, Microsoft tarafından yönetilen dağıtım zamanlamalarını izler.

• Otomatik yükleme akışları: Helm kullanarak algılayıcıyı dağıtırken, var olan dağıtımla çakışmaları önlemek için Azure portalında otomatik istemleri ve önerileri atlayın.

Önkoşullar

Helm kullanarak algılayıcıyı yüklemeden önce aşağıdaki önkoşulları tamamlayın:

• Defender algılayıcı ağ gereksinimleri bölümünde açıklandığı gibi Kapsayıcılar için Defender algılayıcısı için tüm önkoşul gereksinimlerini uygulayın.

• Hedef abonelikte veya güvenlik bağlayıcısında Kapsayıcılar için Defender'ın etkinleştirilmesi:

  • Azure aboneliği: Portal aracılığıyla AKS'de Kapsayıcılar için Defender'ın etkinleştirilmesi
  • Amazon Web Services (AWS): Portal aracılığıyla AWS'de Kapsayıcılar için Defender'ı (EKS) etkinleştirme
  • Google Cloud Project (GCP): Portal aracılığıyla GCP'de (GKE) Kapsayıcılar için Defender'ı etkinleştirme
  • Arc özellikli Kubernetes: Portal aracılığıyla Arc özellikli Kubernetes'te Kapsayıcılar için Defender etkinleştir

• Kapsayıcılar için Defender planının aşağıdaki bileşenlerini etkinleştirin:

  • Defender algılayıcısı
  • Kubernetes API erişimi

• Amazon Web Services (AWS) ve Google Cloud Platform (GCP) ortamları için:Azure Arc için Defender’ın algılayıcısını otomatik sağla geçişini devre dışı bırakın.

  AWS hesabında veya GCP projesinde diğer Arc özellikli kümeler için otomatik sağlamayı etkin tutmak istiyorsanız, Helm kullanarak algılayıcıyı dağıtmayı planladığınız kümelere ms_defender_e2e_discovery_exclude=true etiketini uygulayın.

• Ortamınızda genel kullanıma sunulan algılayıcı sürümünü dağıtabilecek çakışan ilke atamaları olmadığından emin olun.

  Aşağıdaki ilke tanımı kimliğini kullanan ilke atamalarını gözden geçirin ve çakışan atamaları kaldırın:

  64def556-fbad-4622-930e-72d1d5589bf5

  İlke tanımlarını gözden geçirmek için Azure portalında Policy tanımlarına gidin ve ilke tanımı kimliğini arayın.

Helm grafiğini yükleme

Kapsayıcılar için Defender Helm grafikleri mcr.microsoft.com/azuredefender/microsoft-defender-for-containers'da yayımlanır.

Grafik, altında global.cloudIdentifiersküme tanımlayıcısı değerleri gerektirir. Bu değerleri, aşağıdaki örneklerde gösterildiği gibi ile --setsatır içinde veya bir değer dosyası kullanarak sağlayabilirsiniz.

En son grafik sürümünü yüklemek için temel Helm yükleme komutunu kullanın. Ortama özgü örneklerde gösterildiği gibi, bir değer dosyası veya satır içi global.cloudIdentifiers ile gerekli --set değerlerini sağlayın.

helm install defender-k8s oci://mcr.microsoft.com/azuredefender/microsoft-defender-for-containers

Aşağıdaki komutu çalıştırarak yayımlanan sürümleri listeleyebilirsiniz:

curl https://mcr.microsoft.com/v2/azuredefender/microsoft-defender-for-containers/tags/list

Belirli bir sürümü yüklemek için sürüm etiketini ekleyin:

helm install defender-k8s oci://mcr.microsoft.com/azuredefender/microsoft-defender-for-containers:<tag>

Özellik bayrakları veya pod kaynak sınırları gibi yapılandırılabilir grafik değerlerini incelemek için grafiği çekin ve dosyayı gözden geçirin values.yaml :

helm pull oci://mcr.microsoft.com/azuredefender/microsoft-defender-for-containers

Ortamınız için algılayıcıyı yüklemek için:

AKS

Standart AKS kümeleri için ad alanını mdc kullanın.

AKS Otomatik kümeleri için ad alanını kube-system kullanın.

Eğer AKS kümenizde zaten Kapsayıcılar için bir Defender dağıtımı varsa, Azure için Kapsayıcılar için Defender yapılandırma'da açıklandığı gibi var olan dağıtımı devre dışı bırakın ve aşağıdaki komutları çalıştırarak artık kaynakları kaldırın.

kubectl delete crd/policies.defender.microsoft.com || true
kubectl delete crd/policytemplates.defender.microsoft.com || true
kubectl delete crd/runtimepolicies.defender.microsoft.com || true
kubectl delete crd/securityartifactpolicies.defender.microsoft.com || true
kubectl delete ClusterRole defender-admission-controller-cluster-role || true
kubectl delete ClusterRole defender-admission-controller-resource-cluster-role || true
kubectl delete ClusterRoleBinding defender-admission-controller-cluster-role-binding || true
kubectl delete ClusterRoleBinding defender-admission-controller-cluster-resource-role-binding || true

Algılayıcıyı yükleyin:

helm install defender-k8s oci://mcr.microsoft.com/azuredefender/microsoft-defender-for-containers \
    --create-namespace --namespace <namespace> \
    --set global.cloudIdentifiers.Azure.subscriptionId="<cluster-subscription-id>" \
    --set global.cloudIdentifiers.Azure.resourceGroupName="<cluster-resource-group>" \
    --set global.cloudIdentifiers.Azure.clusterName="<cluster-name>" \
    --set global.cloudIdentifiers.Azure.region="<cluster-region>"

şununla değiştirin <namespace> :

• mdc standart AKS kümeleri için.
• kube-system AKS Otomatik kümeleri için.

EKS

Algılayıcıyı yükleyin:

helm install defender-k8s oci://mcr.microsoft.com/azuredefender/microsoft-defender-for-containers \
    --create-namespace --namespace mdc \
    --set global.cloudIdentifiers.AWS.accountId="<aws-account-id>" \
    --set global.cloudIdentifiers.AWS.region="<cluster-region>" \
    --set global.cloudIdentifiers.AWS.clusterName="<cluster-name>"

GKE

Algılayıcıyı yükleyin:

helm install defender-k8s oci://mcr.microsoft.com/azuredefender/microsoft-defender-for-containers \
    --create-namespace --namespace mdc \
    --set global.cloudIdentifiers.GCP.projectId="<gcp-project-id>" \
    --set global.cloudIdentifiers.GCP.location="<cluster-location>" \
    --set global.cloudIdentifiers.GCP.clusterName="<cluster-name>"

Yüklemeyi doğrulama

Grafiği yüklemek için kullandığınız ad alanını kullanarak yüklemeyi doğrulayın.

Standart AKS, EKS ve GKE

helm list --namespace mdc

AKS Otomatik

helm list --namespace kube-system

STATUS alanında deployed gösteriliyorsa, kurulum başarılı olmuştur.

Geçitli dağıtım için güvenlik kurallarını yapılandırma

Uyarı

Kubernetes geçitli dağıtımı AKS Otomatik kümelerinde yalnızca algılayıcı ad alanında kube-system Helm kullanılarak yüklendiğinde desteklenir. Bu senaryo için eklenti dağıtımı desteklenmez.

Önemli

Kurallar oluşturduğunuzda, seçili abonelik olarak not supported for Gated deploymentgösterilebilir. Bu durum, Kapsayıcılar için Defender bileşenlerini, kontrol panelinin otomatik kurulumundan ziyade Helm kullanarak yüklediğiniz için meydana gelir.

Kubernetes kümelerinize ne dağıtabileceğinizi denetlemek için güvenlik kuralları tanımlayın. Bu kurallar, güvenlik ölçütlerinize uymayen kapsayıcı görüntülerini engelleyebilir veya denetleyebilir.

1. Azure portalınaoturum açın.

2. Defender for Cloud>Environment settings adresine gidin.

3. Güvenlik kuralları'nı seçin.

4. Geçitli dağıtım>Güvenlik açığı değerlendirmesi'ni seçin.

5. Düzenlemek için bir kural seçin veya + Kural ekle'yi seçerek yeni bir kural oluşturun.

Mevcut önerileri işleme

Önemli

Algılayıcıyı Helm kullanarak yüklerseniz, aynı küme için Defender profilini veya Arc uzantısını yüklemek için mevcut Defender for Cloud önerilerini kullanmayın. Bu önerilerin düzeltilmesi çakışan bir dağıtım oluşturabilir.

Dağıtım türünüze bağlı olarak, aşağıdaki öneriler Defender for Cloud'da görünmeye devam edebilir. Bunları, otomatik dağıtım akışlarıyla ilgili olduklarını doğrulamak için gözden geçirin; ardından Helm ile dağıtım yaptığınız kümelerde bunları göz ardı edin.

• Azure: Azure Kubernetes Service kümelerinde Defender profili etkinleştirilmelidir - Microsoft Azure

  

• Arc özellikli Kubernetes kümeleri: Azure Arc etkin Kubernetes kümelerinde Defender uzantısı yüklü olmalıdır - Microsoft Azure

  

Mevcut Helm tabanlı dağıtımı yükseltin

Helm tabanlı dağıtım ile algılayıcı yükseltmelerini yönetirsiniz. Bulut için Defender bunları otomatik olarak uygulamaz.

Mevcut Helm tabanlı dağıtımı güncelleştirmek için aşağıdaki komutu çalıştırın. Yükleme sırasında kullandığınız ad alanını kullanın.

helm upgrade defender-k8s \
    oci://mcr.microsoft.com/azuredefender/microsoft-defender-for-containers \
    --namespace <namespace> \
    --reuse-values

<namespace> öğesini yükleme sırasında kullandığınız ad alanıyla değiştirin.

parametresi yükseltme --reuse-values sırasında mevcut özel değerlerinizi korur.

için <namespace>şunu kullanın:

• mdc standart AKS, EKS ve GKE kümeleri için.
• kube-system AKS Otomatik kümeleri için.

Kaynak çakışmaları nedeniyle yükseltme başarısız olursa, yükseltme komutuna aşağıdaki seçenekleri ekleyin:

--server-side=true --resolve-conflicts

İlgili içerik

• Kapsayıcıları koruma hakkında sık sorulan sorular