En este artículo se explica cómo deshabilitar Microsoft Defender para contenedores y quitar sus componentes por entorno.
Desactivar el Defender para el plan de contenedores o deshabilitar el aprovisionamiento automático detiene las implementaciones futuras, pero no desinstala Defender componentes que ya están implementados en clústeres. Esos componentes se quitan por separado.
Lo que deja de funcionar después de la eliminación
Después de quitar los componentes de Defender for Containers de un clúster de AKS:
La detección de amenazas en tiempo real basada en la telemetría de sensores de Defender se detiene.
Las recomendaciones de seguridad de Kubernetes relacionadas con Azure Policy para Kubernetes dejan de actualizarse.
Las alertas basadas en señales en tiempo de ejecución de AKS y los datos de auditoría de Kubernetes dejan de generarse.
Las detecciones de nuevas vulnerabilidades de imágenes de contenedores para imágenes en Azure Container Registry (ACR) ya no se generan en este entorno.
Deshabilitar el plan Defender for Containers
Inicie sesión en Azure Portal.
Vaya a Microsoft Defender para la nube>Configuración del entorno.
Seleccione la suscripción que contiene los clústeres de AKS.
En la página Planes de Defender, configure Contenedores en Desactivado.
Haga clic en Guardar.
Eliminación de extensiones de Defender de clústeres de AKS
Eliminación del perfil de Defender para contenedores del clúster de AKS
az aks update \
--name <cluster-name> \
--resource-group <resource-group> \
--disable-defender
Deshabilitación del complemento de Azure Policy
az aks disable-addons \
--addons azure-policy \
--name <cluster-name> \
--resource-group <resource-group>
Comprobación de la eliminación
Revisar pods de clúster de AKS
kubectl get pods -A | grep defender
No se debe devolver ningún recurso.
Comprobación del estado del plan
az security pricing show --name 'Containers'
La salida debe mostrarse pricingTier como Free.
Lo que deja de funcionar después de la eliminación
Después de quitar los componentes de Defender para Contenedores de un clúster de EKS:
La detección de amenazas en tiempo de ejecución por el sensor de Defender desplegado a través de Azure Arc se detiene.
Las recomendaciones de seguridad de Kubernetes para ese clúster dejan de actualizarse.
Las alertas basadas en el tiempo de ejecución de Kubernetes y las señales de auditoría dejan de generarse.
Los resultados de las vulnerabilidades de imágenes de contenedor en Amazon ECR ya no se actualizan en este entorno.
Las detecciones basadas en planos de control y la detección sin agentes se interrumpen si se eliminan los permisos y integraciones correspondientes a AWS.
Eliminar extensiones de Defender de clústeres EKS
Defender for Containers despliega componentes en clústeres EKS utilizando Kubernetes habilitado para Azure Arc. En los pasos siguientes se quitan esas extensiones de Arc.
Quitar la extensión de Defender
az k8s-extension delete \
--name microsoft.azuredefender.kubernetes \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group> \
--yes
Quite la extensión Azure Policy (si está instalada)
az k8s-extension delete \
--name azurepolicy \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group> \
--yes
Desconectar clústeres de Azure Arc
Nota
Al desconectar un clúster de Azure Arc se quita el acceso a todas las extensiones de Arc, no solo Defender para contenedores.
az connectedk8s delete \
--name <cluster-name> \
--resource-group <resource-group> \
--yes
Desactivar el plan Defender para Contenedores en el conector de AWS
Inicie sesión en Azure Portal.
Vaya a Microsoft Defender para la nube>Configuración del entorno.
Seleccione el conector de AWS correspondiente.
Seleccione Configuración.
Cambie Contenedores a Desactivado.
Haga clic en Guardar.
Eliminación del conector de AWS (opcional)
Si ya no desea Defender for Cloud supervisar su cuenta de AWS:
Inicie sesión en Azure Portal.
Vaya a Microsoft Defender para la nube>Configuración del entorno.
Busque el conector de AWS.
Seleccione los puntos suspensivos (...).
Seleccione Eliminar.
Confirme la eliminación.
Eliminación de recursos de AWS creados para la protección en tiempo de ejecución (opcional)
Quite estos recursos solo si se ha habilitado la protección contra amenazas en tiempo de ejecución para EKS y ya no usa Defender para contenedores para ese clúster.
Nota
Estos recursos se crean por clúster. Si los quita mientras la protección en tiempo de ejecución todavía está habilitada, la recopilación de datos se puede detener.
Eliminar roles de AWS IAM y proveedores de identidad (opcional)
Si va a desvincular completamente su cuenta de AWS de Microsoft Defender para la nube, puede eliminar manualmente los roles de IAM y los proveedores de identidades que se crearon durante la incorporación.
Use la consola de AWS o la CLI para eliminar los siguientes roles si existen:
MDCContainersImageAssessmentRoleMDCContainersK8sRoleMDCContainersK8sDataCollectionRoleMDCContainersK8sCloudWatchToKinesisRoleMDCContainersK8sKinesisToS3RoleNameMDCContainersAgentlessDiscoveryK8sRole
Warning
Elimine solo el proveedor ASCDefendersOIDCIdentityProvider OpenID Connect si va a quitar todos los componentes de Defender for Cloud de esta cuenta de AWS. La eliminación de este componente compartido afectará a otros planes de Defender for Cloud.
Comprobación de la eliminación
Comprobar las extensiones de Azure Arc
az k8s-extension list \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group>
Confirme que microsoft.azuredefender.kubernetes no aparece en la lista.
Revisar pods de clúster de EKS
kubectl get pods -n mdc
No se debe devolver ningún recurso.
Lo que deja de funcionar después de la eliminación
Después de quitar los componentes de Defender para contenedores de un clúster de GKE:
La detección de amenazas en tiempo de ejecución por el sensor de Defender desplegado a través de Azure Arc se detiene.
Las recomendaciones de seguridad de Kubernetes para ese clúster dejan de actualizarse.
Las alertas basadas en el tiempo de ejecución de Kubernetes y las señales de auditoría dejan de generarse.
Los resultados de las vulnerabilidades de imágenes de contenedor para imágenes en Google Container Registry o Artifact Registry ya no se actualizan en este entorno.
Eliminar extensiones de Defender de clústeres de GKE
Quitar la extensión de Defender
az k8s-extension delete \
--name microsoft.azuredefender.kubernetes \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group> \
--yes
Quite la extensión Azure Policy (si está instalada)
az k8s-extension delete \
--name azurepolicy \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group> \
--yes
Desconectar clústeres de GKE de Azure Arc
Nota
Al desconectar un clúster de Azure Arc se quita el acceso a todas las extensiones de Arc, no solo Defender para contenedores.
az connectedk8s delete \
--name <cluster-name> \
--resource-group <resource-group> \
--yes
Deshabilitar el plan de Defender para contenedores en el conector de GCP
Inicie sesión en Azure Portal.
Vaya a Microsoft Defender para la nube>Configuración del entorno.
Seleccione el conector de GCP pertinente.
Seleccione Configuración.
Cambie Contenedores a Desactivado.
Haga clic en Guardar.
Eliminación del conector GCP (opcional)
Vaya a Microsoft Defender para la nube>Configuración del entorno.
Busque el conector GCP.
Seleccione el menú ... (más opciones).
Seleccione Eliminar.
Confirme la eliminación.
Eliminación de recursos de GCP creados para la protección en tiempo de ejecución (opcional)
Quite estos recursos solo si se ha habilitado la protección contra amenazas en tiempo de ejecución para GKE y ya no usa Defender para contenedores para ese proyecto.
Quitar roles y cuentas de servicio de GCP (opcional)
Si está desincorporando completamente su proyecto de GCP de Microsoft Defender para la nube, puede eliminar manualmente las cuentas de servicio y los roles creados durante la incorporación.
Use la consola de Google Cloud o la CLI de gcloud para eliminar las siguientes cuentas de servicio:
ms-defender-containersms-defender-containers-streammdc-containers-k8s-operatormdc-containers-artifact-assess
Elimine los siguientes roles personalizados:
MicrosoftDefenderContainersDataCollectionRoleMicrosoftDefenderContainersRoleMDCGkeClusterWriteRole
Warning
Elimine solo los proveedores de grupos de identidades de carga de trabajo basada en OIDC de containers y containers-streams si va a quitar todos los componentes de Defender for Cloud. Estos son componentes compartidos. Además, asegúrese de que ningún otro servicio que no sea de Defender use la API logging.googleapis.com antes de deshabilitarlo.
Comprobación de la eliminación
Comprobar las extensiones de Azure Arc
az k8s-extension list \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group>
Confirme que microsoft.azuredefender.kubernetes no aparece en la lista.
Revisar pods de clúster de GKE
kubectl get pods -n mdc
No se debe devolver ningún recurso.
Consulta el portal de Azure
Inicie sesión en Azure Portal.
Vaya a Microsoft Defender para la nube>Configuración del entorno.
Compruebe que el conector de GCP se ha eliminado o que en él aparece la opción Contenedores deshabilitada.
Compruebe que no aparezcan recomendaciones relacionadas con GKE.
Lo que deja de funcionar después de la eliminación
Después de quitar los componentes de Defender para contenedores de un clúster de Kubernetes habilitado para Arc:
La detección de amenazas en tiempo de ejecución desde el sensor de Defender se detiene.
Las recomendaciones de seguridad de Kubernetes para ese clúster dejan de actualizarse.
Las alertas basadas en el tiempo de ejecución de Kubernetes y las señales de auditoría dejan de generarse.
las evaluaciones de configuración basadas en Azure Policy para las cargas de trabajo de Kubernetes se detienen si se quita la extensión Azure Policy.
Deshabilitar el plan Defender for Containers
Inicie sesión en Azure Portal.
Vaya a Microsoft Defender para la nube>Configuración del entorno.
Seleccione la suscripción que contiene los clústeres de Kubernetes habilitados para Arc.
En la página Planes de Defender, configure Contenedores en Desactivado.
Haga clic en Guardar.
Eliminación de extensiones de Defender de clústeres habilitados para Arc
Quitar la extensión de Defender
az k8s-extension delete \
--name microsoft.azuredefender.kubernetes \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group> \
--yes
Quite la extensión Azure Policy (si está instalada)
az k8s-extension delete \
--name azurepolicy \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group> \
--yes
Desconecte el clúster de Azure Arc (opcional)
Nota
Al desconectar un clúster de Azure Arc se quita el acceso a todas las extensiones de Arc, no solo Defender para contenedores.
az connectedk8s delete \
--name <cluster-name> \
--resource-group <resource-group> \
--yes
Comprobación de la eliminación
Comprobar las extensiones de Azure Arc
az k8s-extension list \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group>
Confirme que microsoft.azuredefender.kubernetes no aparece en la lista.
Revisar pods de clúster habilitados para Arc
kubectl get pods -n mdc
No se debe devolver ningún recurso.