In diesem Artikel wird erläutert, wie Sie den Microsoft Defender für Container-Sensor und Azure Policy für Kubernetes in Clustern bereitstellen, indem Sie die Azure CLI verwenden, nachdem Sie den Defender for Containers-Plan in Microsoft Defender for Cloud aktiviert haben.
Bei Clustern, die nicht in Azure Kubernetes Service (AKS) ausgeführt werden, verwendet Defender for Cloud Azure Arc aktivierte Kubernetes, um die erforderlichen Erweiterungen bereitzustellen.
Prerequisites
Netzwerkanforderungen
Der Defender-Sensor muss eine Verbindung mit Microsoft Defender für Cloud herstellen, um Sicherheitsdaten und Ereignisse zu senden. Stellen Sie sicher, dass die erforderlichen Endpunkte für ausgehenden Zugriff konfiguriert sind.
Verbindungsanforderungen
Der Defender-Sensor benötigt Konnektivität zu:
- Microsoft Defender für Cloud (zum Senden von Sicherheitsdaten und Ereignissen)
Standardmäßig haben AKS-Cluster uneingeschränkten ausgehenden Internetzugriff.
Für Cluster mit eingeschränktem Ausgang müssen Sie zulassen, dass bestimmte FQDNs für Microsoft Defender für Container ordnungsgemäß funktionieren. Informationen zu den erforderlichen Endpunkten finden Sie unter Microsoft Defender für Container – Erforderliche FQDN/Anwendungsregeln in der AKS-Dokumentation für ausgehende Netzwerke.
Konfiguration privater Verbindungen
Anweisungen finden Sie unter Microsoft Security Private Link für Microsoft Defender for Cloud.
Bereitstellen des Defender-Sensors
Wenn die automatische Bereitstellung aktiviert wurde, wenn Sie den Defender für den Containerplan aktiviert haben, ist der Defender Sensor möglicherweise bereits installiert.
Überprüfen Sie die Bereitstellung , bevor Sie diesen Befehl ausführen.
So stellen Sie den Defender-Sensor in einem bestimmten AKS-Cluster bereit:
az aks update \
--resource-group <resource-group> \
--name <aks-cluster-name> \
--enable-defender
Bereitstellen des Azure Policy-Add-Ons
Aktivieren Sie Azure Policy für Kubernetes, um bewährte Methoden für die Konfiguration zu bewerten und zu erzwingen:
az aks enable-addons \
--addons azure-policy \
--name <aks-cluster-name> \
--resource-group <resource-group>
Prerequisites
Netzwerkanforderungen
Überprüfen Sie, ob die folgenden Endpunkte für öffentliche Cloudbereitstellungen für ausgehenden Zugriff konfiguriert sind. Wenn Sie diese konfigurieren, können Sie sicherstellen, dass der Defender-Sensor eine Verbindung mit Microsoft Defender for Cloud herstellen kann, um Sicherheitsdaten und -ereignisse zu senden.
Hinweis
Die Azure Domänen *.ods.opinsights.azure.com und *.oms.opinsights.azure.com sind für ausgehenden Zugriff nicht mehr erforderlich. Weitere Informationen finden Sie in der Ankündigung zur Einstellung.
| Azure Domain |
Azure Government Domain |
Domain für das von 21Vianet betriebene Azure |
Port |
| *.cloud.defender.microsoft.com |
N/A |
N/A |
443 |
Sie müssen auch die Netzwerkanforderungen für Kubernetes mit Azure Arc-Unterstützung validieren.
Bereitstellen des Defender-Sensors
Bei EKS-Clustern werden Defender Komponenten als Azure Arc Kubernetes-Erweiterungen bereitgestellt, wenn Sie diese manuell mithilfe von Azure CLI bereitstellen.
Wenn die automatische Bereitstellung aktiviert wurde, wenn Sie den Defender für den Containerplan aktiviert haben, ist der Defender Sensor möglicherweise bereits installiert.
Überprüfen Sie die Bereitstellung , bevor Sie diesen Befehl ausführen.
az k8s-extension create \
--name microsoft.azuredefender.kubernetes \
--extension-type microsoft.azuredefender.kubernetes \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group> \
Bereitstellen der Azure-Richtlinienerweiterung
az k8s-extension create \
--name azurepolicy \
--extension-type Microsoft.PolicyInsights \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group>
Prerequisites
Netzwerkanforderungen
Überprüfen Sie, ob die folgenden Endpunkte für öffentliche Cloudbereitstellungen für ausgehenden Zugriff konfiguriert sind. Wenn Sie diese konfigurieren, können Sie sicherstellen, dass der Defender-Sensor eine Verbindung mit Microsoft Defender for Cloud herstellen kann, um Sicherheitsdaten und -ereignisse zu senden.
Hinweis
Die Azure Domänen *.ods.opinsights.azure.com und *.oms.opinsights.azure.com sind für ausgehenden Zugriff nicht mehr erforderlich. Weitere Informationen finden Sie in der Ankündigung zur Einstellung.
| Azure Domain |
Azure Government Domain |
Domain für das von 21Vianet betriebene Azure |
Port |
| *.cloud.defender.microsoft.com |
N/A |
N/A |
443 |
Sie müssen auch die Netzwerkanforderungen für Kubernetes mit Azure Arc-Unterstützung validieren.
Private GKE-Cluster
Private GKE-Cluster müssen ausgehenden HTTPS-Zugriff (TCP 443) auf Microsoft Defender for Cloud Endpunkte zulassen.
Konfigurieren Sie bei Bedarf Firewallregeln, um den Ausgang von Clusterknoten zuzulassen:
gcloud compute firewall-rules create allow-azure-defender \
--allow tcp:443 \
--source-ranges <cluster-cidr> \
--target-tags <node-tags>
Clusterspezifische Überlegungen
GKE-Standardcluster
Es ist keine spezielle Konfiguration erforderlich. Führen Sie die standardmäßigen Bereitstellungsschritte aus.
GKE Autopilot-Cluster
Für Autopilot-Cluster:
- Der Defender-Sensor passt Ressourcenanforderungen automatisch an.
- Für Ressourcenbeschränkungen ist keine manuelle Konfiguration erforderlich.
Von Bedeutung
In GKE Autopilot-Clustern können Ressourcenanforderungen und Grenzwerte für den Defender Sensor nicht manuell konfiguriert werden. Die Ressourcenverwaltung wird von GKE Autopilot gesteuert und kann nicht überschrieben werden.
Bereitstellen des Defender-Sensors
Bei GKE-Clustern werden Defender Komponenten als Azure Arc Kubernetes-Erweiterungen bereitgestellt, wenn Sie sie manuell mithilfe von Azure CLI bereitstellen.
Wenn die automatische Bereitstellung aktiviert wurde, wenn Sie den Defender für den Containerplan aktiviert haben, ist der Defender Sensor möglicherweise bereits installiert.
Überprüfen Sie die Bereitstellung , bevor Sie diesen Befehl ausführen.
az k8s-extension create \
--name microsoft.azuredefender.kubernetes \
--extension-type microsoft.azuredefender.kubernetes \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group> \
Bereitstellen der Azure-Richtlinienerweiterung
az k8s-extension create \
--name azurepolicy \
--extension-type Microsoft.PolicyInsights \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group>
Prerequisites
Netzwerkanforderungen
Überprüfen Sie, ob die folgenden Endpunkte für öffentliche Cloudbereitstellungen für ausgehenden Zugriff konfiguriert sind. Wenn Sie diese konfigurieren, können Sie sicherstellen, dass der Defender-Sensor eine Verbindung mit Microsoft Defender for Cloud herstellen kann, um Sicherheitsdaten und -ereignisse zu senden.
Hinweis
Die Azure Domänen *.ods.opinsights.azure.com und *.oms.opinsights.azure.com sind für ausgehenden Zugriff nicht mehr erforderlich. Weitere Informationen finden Sie in der Ankündigung zur Einstellung.
| Azure Domain |
Azure Government Domain |
Domain für das von 21Vianet betriebene Azure |
Port |
| *.cloud.defender.microsoft.com |
N/A |
N/A |
443 |
Sie müssen auch die Netzwerkanforderungen für Kubernetes mit Azure Arc-Unterstützung validieren.
Bereitstellen des Defender-Sensors
Für Arc-fähige Kubernetes-Cluster werden Defender Komponenten als Azure Arc Kubernetes-Erweiterungen bereitgestellt.
Wenn die automatische Bereitstellung aktiviert wurde, wenn Sie den Defender für den Containerplan aktiviert haben, ist der Defender Sensor möglicherweise bereits installiert.
Überprüfen Sie die Bereitstellung , bevor Sie diesen Befehl ausführen.
az k8s-extension create \
--name microsoft.azuredefender.kubernetes \
--extension-type microsoft.azuredefender.kubernetes \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group> \
Bereitstellen der Azure-Richtlinienerweiterung
az k8s-extension create \
--name azurepolicy \
--extension-type Microsoft.PolicyInsights \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group>