Defender for Containers-Architektur

Architekturkomponenten

Wenn Defender for Cloud einen in Azure Kubernetes Service gehosteten Cluster schützt, sammelt er Kubernetes Überwachungsprotokolldaten nativ über Azure Infrastruktur, ohne dass zusätzliche Agents oder Konfiguration erforderlich sind. Um den vollständigen Schutz von Microsoft Defender für Container zu erhalten, benötigen Sie die folgenden Komponenten:

• Defender sensor: Ein einfaches DaemonSet, das auf AKS-Knoten bereitgestellt wird, die Laufzeittelemetrie (Kubernetes-Ereignisse, Prozess- und Netzwerkdaten) mithilfe eBPF-Technologie sammelt. Diese senden die Telemetrie sicher an Defender für Cloud für den Laufzeit-Bedrohungsschutz. Der Sensor registriert sich bei einem Log Analytics-Arbeitsbereich und dient als Datenpipeline. Die Überwachungsprotokolldaten werden jedoch nicht im Log Analytics-Arbeitsbereich gespeichert. Der Defender Sensor wird als AKS-Sicherheitsprofil bereitgestellt, das nativ in AKS Resource Provider (RP) integriert ist.

• Azure Policy für Kubernetes: Ein Pod, der die Open-Source-Bibliothek Gatekeeper v3 erweitert und sich als Webhook bei der Kubernetes-Zugangskontrolle registriert. Mit diesem Pod können Sie skalierte Erzwingungen und Sicherheitsvorkehrungen auf Ihre Cluster auf eine zentralisierte, konsistente Weise anwenden. Die Azure Policy für Kubernetes-Pods wird als AKS-Erweiterung bereitgestellt, und Sie müssen sie nur auf einem Knoten im Cluster installieren. Sie bietet die Möglichkeit, Konfigurationsregeln zu erzwingen. Erfahren Sie mehr über Kubernetes Workload Protection und Azure Policy für Kubernetes.
• ACR-Integration: Push-gestartete und regelmäßige Bildscans für Azure Container Registry ermöglichen eine Sicherheitsbewertung von Schwachstellen, ohne dass zusätzliche Komponenten erforderlich sind.
• Agentless discovery: Bietet Einblicke in Ihre Kubernetes-Cluster, ohne dass Agents erforderlich sind, indem Azure systemeigenen Funktionen zum Ermitteln und Bewerten von Clusterkonfigurationen verwendet werden.
• Agentloses Scannen von Maschinen: Regelmäßige Disk-Snapshots von Kubernetes-Knoten für eine out-of-band, tiefgehende Analyse der Betriebssystemkonfiguration und des Dateisystems. Dieses Feature benötigt keine installierten Agents oder Netzwerkkonnektivität und wirkt sich nicht auf die Computerleistung aus.
• Microsoft XDR integration: Integriert in die erweiterte Erkennungs- und Reaktionsplattform von Microsoft für einheitliche Sicherheitsvorgänge und Die Reaktion auf Vorfälle.

Details zur Defender-Sensorkomponente

* Ressourcenbeschränkungen können nicht konfiguriert werden. Erfahren Sie mehr über Kubernetes-Ressourcenbeschränkungen.

Wie funktioniert die Ermittlung ohne Agent für Kubernetes in Azure?

Der Ermittlungsprozess verwendet Momentaufnahmen, die in Intervallen erstellt wurden:

Wenn Sie die Erweiterung Agentlose Ermittlung für Kubernetes aktivieren, wird der folgende Prozess ausgeführt:

• Erstellen:
  • Wenn Sie die Erweiterung von Defender CSPM aktivieren, erstellt Defender for Cloud eine Identität in Ihrer Umgebung mit dem Namen CloudPosture/securityOperator/DefenderCSPMSecurityOperator.
  • Wenn Sie die Erweiterung von Defender for Containers aktivieren, erstellt Defender for Cloud in Ihrer Umgebung eine Identität mit dem Namen CloudPosture/securityOperator/DefenderForContainersSecurityOperator.
• Assign: Defender for Cloud weist dieser Identität im Abonnementbereich eine integrierte Rolle namens Kubernetes Agentless Operator zu. Die Rolle enthält die folgenden Berechtigungen:
  • AKS lesen (Microsoft.ContainerService/managedClusters/read)
  • AKS Trusted Access mit den folgenden Berechtigungen:
    • Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/write
    • Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/read
    • Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/delete Erfahren Sie mehr über AKS Trusted Access.
• Discover: Mithilfe der vom System zugewiesenen Identität ermittelt Defender for Cloud die AKS-Cluster in Ihrer Umgebung durch API-Aufrufe an den API-Server von AKS.
• Bind: Nach dem Ermitteln eines AKS-Clusters führt Defender for Cloud einen AKS-Bindungsvorgang durch, indem es eine ClusterRoleBinding zwischen der erstellten Identität und der Kubernetes-ClusterRoleaks:trustedaccessrole:defender-containers:microsoft-defender-operator erstellt. Das ClusterRole ist über die API sichtbar und gibt der Datenebene von Defender for Cloud Leseberechtigung innerhalb des Clusters.

Architekturkomponenten

Wenn Defender für Cloud einen cluster schützt, der in Elastic Kubernetes Service gehostet wird, sammelt er Überwachungsprotokolldaten, ohne einen Agent zu verwenden. Um den vollständigen Schutz von Microsoft Defender für Container zu erhalten, benötigen Sie die folgenden Komponenten:

• Kubernetes Prüfprotokolle:AWS-Kontos CloudWatch erfasst und sammelt Prüfprotokolldaten ohne Agenten und sendet die gesammelten Informationen zur weiteren Analyse an das Microsoft Defender for Cloud Backend.
• Azure Arc-enabled Kubernetes: Verbindet Ihre EKS-Cluster mit Azure und ermöglicht Defender for Cloud die Bereitstellung von Sicherheitskomponenten als Arc-Erweiterungen.
• Defender sensor: Ein einfaches DaemonSet, das auf jedem Knoten bereitgestellt wird, der Laufzeittelemetrie (Kubernetes-Ereignisse, Prozess- und Netzwerkdaten) mithilfe eBPF-Technologie für den Laufzeitbedrohungsschutz sammelt. Der Sensor registriert sich bei einem Log Analytics-Arbeitsbereich und dient als Datenpipeline. Die Überwachungsprotokolldaten werden jedoch nicht im Log Analytics-Arbeitsbereich gespeichert. Der Defender-Sensor wird als Arc-fähige Kubernetes-Erweiterung bereitgestellt.
• Azure Policy für Kubernetes: Ein Pod, der den Open-Source-Gatekeeper v3 erweitert und sich als Web-Hook bei Kubernetes-Zulassungskontrolle registriert, wodurch es möglich ist, skalierte Erzwingungen und Schutzmaßnahmen auf Ihre Cluster zentral und einheitlich anzuwenden. Die Azure-Richtlinie für Kubernetes-Pod wird als Arc-fähige Kubernetes-Erweiterung bereitgestellt und muss nur auf einem Node im Cluster installiert werden. Sie bietet die Möglichkeit, Konfigurationsregeln zu erzwingen.
• Amazon ECR-Integration: Agentless-Sicherheitsrisikobewertung für Containerimages, die in Amazon Elastic Container Registry (ECR) gespeichert sind. Bilder werden automatisch gescannt, wenn sie an die Registrierung übertragen werden, wodurch Sicherheitsergebnisse in Defender for Cloud integriert werden.

Wie funktioniert die Ermittlung ohne Agent für Kubernetes in AWS?

Der Ermittlungsprozess verwendet Momentaufnahmen, die in Intervallen erstellt wurden:

Wenn Sie die Erweiterung Agentlose Ermittlung für Kubernetes aktivieren, wird der folgende Prozess ausgeführt:

• Erstellen:
  • Fügen Sie die Defender für Cloud-Rolle MDCContainersAgentlessDiscoveryK8sRole zur aws-auth ConfigMap der EKS-Cluster hinzu. Sie können den Namen anpassen.
• Assign: Defender for Cloud weist der Rolle MDCContainersAgentlessDiscoveryK8sRole die folgenden Berechtigungen zu:
  • eks:UpdateClusterConfig
  • eks:DescribeCluster
• Discover: Mithilfe der vom System zugewiesenen Identität ermittelt Defender for Cloud die EKS-Cluster in Ihrer Umgebung durch API-Aufrufe an den API-Server von EKS.

Architekturkomponenten

Wenn Defender für Cloud einen Cluster schützt, der im Google Kubernetes-Modul gehostet wird, sammelt er Überwachungsprotokolldaten, ohne einen Agent zu verwenden. Um den vollständigen Schutz von Microsoft Defender für Container zu erhalten, benötigen Sie die folgenden Komponenten:

• Kubernetes Überwachungsprotokolle:GCP Cloud Logging ermöglicht und sammelt Überwachungsprotokolldaten über einen agentlosen Sammler und sendet die gesammelten Informationen zur weiteren Analyse an das Microsoft Defender for Cloud Back-End.
• Azure Arc-enabled Kubernetes: Verbindet Ihre GKE-Cluster mit Azure und ermöglicht Defender for Cloud die Bereitstellung von Sicherheitskomponenten als Arc-Erweiterungen.
• Defender sensor: Ein einfaches DaemonSet, das auf jedem Knoten bereitgestellt wird, der Laufzeittelemetrie (Kubernetes-Ereignisse, Prozess- und Netzwerkdaten) mithilfe eBPF-Technologie für den Laufzeitbedrohungsschutz sammelt. Der Sensor registriert sich bei einem Log Analytics-Arbeitsbereich und dient als Datenpipeline. Die Überwachungsprotokolldaten werden jedoch nicht im Log Analytics-Arbeitsbereich gespeichert. Der Defender-Sensor wird als Arc-fähige Kubernetes-Erweiterung bereitgestellt.
• Azure Policy für Kubernetes: Ein Pod, der den Open-Source-Gatekeeper v3 erweitert und sich als Web-Hook bei Kubernetes-Zulassungskontrolle registriert, wodurch es möglich ist, skalierte Erzwingungen und Schutzmaßnahmen auf Ihre Cluster zentral und einheitlich anzuwenden. Die Azure-Richtlinie für Kubernetes-Pod wird als Arc-fähige Kubernetes-Erweiterung bereitgestellt und muss nur auf einem Node im Cluster installiert werden. Sie bietet die Möglichkeit, Konfigurationsregeln zu erzwingen.
• Google Registry-Integration: Agentlose Schwachstellenbewertung für Container-Images, die im Google Container Registry (GCR) und Google Artifact Registry (GAR) gespeichert sind. Bilder werden automatisch gescannt, wenn sie in die Registries hochgeladen werden, wobei Sicherheitsrisiken nativ in Defender for Cloud erkannt werden.

Wie funktioniert die Ermittlung ohne Agent für Kubernetes in GCP?

Der Ermittlungsprozess verwendet Momentaufnahmen, die in Intervallen erstellt wurden:

Wenn Sie die Erweiterung Agentlose Ermittlung für Kubernetes aktivieren, wird der folgende Prozess ausgeführt:

• Erstellen:
  • Das Dienstkonto mdc-containers-k8s-operator wird erstellt. Sie können den Namen anpassen.
• Assign: Defender for Cloud fügt die folgenden Rollen an das Dienstkonto mdc-containers-k8s-operator an:
  • Die benutzerdefinierte Rolle MDCGkeClusterWriteRole, die über die container.clusters.update-Berechtigung verfügt
  • Die integrierte Rolle container.viewer
• Discover: Mithilfe der vom System zugewiesenen Identität ermittelt Defender for Cloud die GKE-Cluster in Ihrer Umgebung durch API-Aufrufe an den API-Server von GKE.

Architekturkomponenten

Um den vollständigen Schutz von Microsoft Defender für Container zu erhalten, benötigen Sie die folgenden Komponenten:

• Azure Arc-enabled Kubernetes: Verbindet Ihre Cluster mit Azure und ermöglicht Defender for Cloud die Bereitstellung von Sicherheitskomponenten als Arc-Erweiterungen.
• Defender sensor: Ein einfaches DaemonSet, das auf jedem Knoten bereitgestellt wird, der Laufzeit-Telemetrie (Kubernetes-Ereignisse, Prozess- und Netzwerkdaten) mithilfe eBPF-Technologie und Kubernetes Überwachungsprotokolle für den Laufzeitbedrohungsschutz sammelt. Der Sensor registriert sich bei einem Log Analytics-Arbeitsbereich und dient als Datenpipeline. Die Überwachungsprotokolldaten werden jedoch nicht im Log Analytics-Arbeitsbereich gespeichert. Sie stellen den Defender-Sensor als Arc-fähige Kubernetes-Erweiterung bereit.
• Azure Policy für Kubernetes: Ein Pod, der das Open-Source-Gatekeeper v3 erweitert und als Webhook beim Kubernetes Admission Controller registriert wird. Mit diesem Pod können Sie skalierte Erzwingungen und Sicherheitsvorkehrungen auf Ihre Cluster auf eine zentralisierte, konsistente Weise anwenden. Sie müssen es nur auf einem Knoten im Cluster installieren. Sie bietet die Möglichkeit, Konfigurationsregeln zu erzwingen. Erfahren Sie mehr über Kubernetes Workload Protection und Azure Policy für Kubernetes.