Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Este artículo le ayuda a planear cómo implementar Microsoft Defender para contenedores en entornos de Kubernetes. Se centra en Defender para Contenedores que se implementa en los clústeres de Kubernetes, incluido el sensor de Defender y Azure Policy para Kubernetes.
Otras funcionalidades, como el acceso al Registro, el acceso a la API de Kubernetes y la protección contra amenazas sin agente, se habilitan a través de Defender para la configuración del plan o del conector de Contenedores.
Incorporación del entorno
Antes de que Defender para Contenedores pueda implementar componentes de clúster, el entorno de Kubernetes debe estar conectado a Microsoft Defender para la nube.
| Environment | Ruta de incorporación |
|---|---|
| AKS | No se requiere ningún conector adicional. Los clústeres de AKS son recursos de Azure nativos. |
| EKS | Incorporar AWS en Defender for Cloud. |
| GKE | Integrar GCP en Defender for Cloud. |
| Clústeres de Kubernetes locales y habilitados para Arc | Conecte el clúster de Kubernetes existente a Azure Arc. |
Opciones de implementación
| Enfoque de implementación | Descripción |
|---|---|
| Aprovisionamiento automático | Los componentes admitidos se implementan automáticamente después de habilitar el plan de Defender para contenedores o las configuraciones pertinentes. |
| Implementación manual | El aprovisionamiento automático está desactivado y los componentes admitidos se instalan manualmente. |
| Implementación mixta | El aprovisionamiento automático está habilitado, pero se excluyen e implementan manualmente clústeres específicos de AKS, EKS o GKE. La implementación mixta no se admite para clústeres locales u otros clústeres de Kubernetes conectados directamente a Azure Arc. |
Aprovisionamiento automático
Con el aprovisionamiento automático habilitado, Microsoft Defender para la nube instala componentes de clúster compatibles después del plan de Defender para contenedores y se habilitan las opciones de configuración pertinentes.
En el caso de los clústeres de AKS, la implementación del sensor de Defender utiliza el complemento Defender AKS add-on. En el caso de los clústeres de EKS y GKE, la implementación usa las extensiones de Kubernetes de Azure Arc en los recursos de Kubernetes compatibles con Arc creados a través del flujo del conector de AWS o GCP.
En el caso de los clústeres locales y de otros clústeres de Kubernetes conectados directamente a Azure Arc, el clúster primero debe estar conectado a Azure Arc. A continuación, la implementación usa Azure Arc extensiones de Kubernetes después de habilitar los Defender pertinentes para la configuración de contenedores.
Puede personalizar el aprovisionamiento automático de sensores de Defender excluyendo clústeres específicos mediante etiquetas antes de habilitar el plan de Defender para contenedores y, a continuación, implementar el sensor manualmente.
Nota:
Las etiquetas de exclusión se aplican a la implementación automática del sensor de Defender. No se aplican a clústeres locales u otros clústeres de Kubernetes conectados directamente a Azure Arc.
Con el aprovisionamiento automático, el sensor Defender se instala una vez detectado el clúster y puede tardar varias horas en completarse.
Use la implementación manual o excluya clústeres específicos del aprovisionamiento automático de sensores Defender e implemente el sensor manualmente para instalar el sensor Defender inmediatamente.
Implementación manual
Si el aprovisionamiento automático está deshabilitado, los componentes de clúster admitidos no se implementan automáticamente. Puede implementar los componentes admitidos manualmente.
La implementación manual también se puede utilizar para el despliegue del sensor Defender en clústeres que están excluidos del aprovisionamiento automático de sensores Defender.
Puede implementar componentes manualmente mediante uno de los métodos siguientes:
Pasos posteriores a la implementación
Después de la implementación, compruebe que los componentes de Defender se ejecutan correctamente y solucionan los problemas.