Architecture de Defender pour les conteneurs

Microsoft Defender pour conteneurs utilise plusieurs chemins de connectivité pour collecter des signaux de sécurité et fournir une protection entre les registres de conteneurs et les environnements Kubernetes. La connectivité requise dépend des fonctionnalités activées et de l’environnement dans lequel vos conteneurs s’exécutent.

Les détails de l’implémentation varient entre Azure Kubernetes Service (AKS), Amazon Elastic Kubernetes Service (EKS), Google Kubernetes Engine (GKE) et les clusters Kubernetes avec Arc.

En savoir plus sur la configuration réseau requise, les autorisations et les configurations prises en charge dans Référence d’accès et d’autorisations du réseau pour Defender pour conteneurs.

Vue d’ensemble du modèle de capacité

Le tableau suivant montre comment les fonctionnalités clés de Defender pour conteneurs sont implémentées et si elles nécessitent des composants dans le cluster.

Capacité	Sans agent	Nécessite des composants en cluster
Évaluation des vulnérabilités d’image	Oui	Non
Évaluation de la posture de sécurité Kubernetes	Oui	Non
Détection des menaces à l'exécution	Non	Oui
Détection des menaces du plan de contrôle	Oui	Non

Connexion aux registres de conteneurs

L'évaluation des vulnérabilités des images est déclenchée lorsque les images sont poussées aux registres pris en charge et périodiquement en fonction de la configuration du registre. Defender for Cloud analyse les métadonnées et les couches d’image requises pour l’évaluation des vulnérabilités. Dans les scénarios pris en charge, les résultats de l’évaluation des vulnérabilités peuvent être publiés dans le Registre sans modifier l’image conteneur d’origine. Ces fonctionnalités ne nécessitent aucun composant à déployer dans vos clusters Kubernetes.

Connexion à des clusters Kubernetes

Microsoft Defender for Cloud se connecte au point de terminaison de l’API Kubernetes pour découvrir des clusters, collecter des données de configuration et effectuer une analyse des postures et des risques. Selon les fonctionnalités et l’environnement activés, cette connectivité peut nécessiter un accès en lecture aux métadonnées du cluster et, dans certains scénarios, des opérations d’écriture limitées pour configurer les liaisons d’accès ou les extensions requises.

Données d’exécution envoyées à partir de clusters Kubernetes

Les clusters Kubernetes envoient des données de sécurité d’exécution à partir de nœuds Worker vers le serveur principal Microsoft Defender for Cloud. Ces données sont collectées par les composants de Defender pour conteneurs s'exécutant dans le cluster et envoyées vers l'extérieur pour analyse. Ce chemin de connectivité prend en charge la détection des menaces d’exécution et d’autres fonctionnalités basées sur les capteurs.

Connexion aux API du fournisseur de cloud

Microsoft Defender for Cloud se connecte aux API du fournisseur cloud pour découvrir les ressources et effectuer une analyse de sécurité dans le cadre du processus de connexion de l’environnement cloud. Ce chemin de connectivité est établi lorsque vous connectez votre environnement cloud à Microsoft Defender for Cloud.

Journaux d’audit Kubernetes envoyés à partir de l’infrastructure cloud

L’infrastructure cloud envoie les journaux d’audit Kubernetes à Microsoft Defender for Cloud pour la détection des menaces du plan de contrôle et l’analyse de la sécurité. La méthode utilisée pour collecter et envoyer des journaux d’audit dépend du fournisseur de cloud et de l’environnement dans lequel les clusters Kubernetes s’exécutent.

Prise en charge de la connectivité proxy et privée

Defender pour conteneurs prend en charge la connectivité sortante via des proxys configurés et des configurations de connectivité privée.

Architecture pour chaque environnement Kubernetes

Composants d’architecture

Quand Defender for Cloud protège un cluster hébergé dans Azure Kubernetes Service, il collecte en mode natif les données du journal d’audit Kubernetes via Azure infrastructure sans nécessiter d’agents ou de configuration supplémentaires. Pour bénéficier de la protection complète offerte par Microsoft Defender pour conteneurs, vous avez besoin de ces composants :

Defender sensor : Un DaemonSet léger déployé sur des nœuds AKS qui collecte les données de télémétrie d’exécution (événements, processus et données réseau Kubernetes) à l’aide de la technologie eBPF. Il envoie les données de télémétrie en toute sécurité à Defender pour cloud pour la protection contre les menaces d’exécution. Le capteur s’inscrit auprès d’un espace de travail Log Analytics et agit comme un pipeline de données. Toutefois, les données du journal d’audit ne sont pas stockées dans l’espace de travail Log Analytics. Le capteur Defender est déployé en tant que profil de sécurité AKS, intégré en mode natif à AKS Resource Provider (RP).

Remarque

Lorsque vous configurez le capteur Defender sur un cluster AKS, il déclenche un processus de rapprochement. Ce processus se produit dans le cadre du plan Defender pour conteneurs et est attendu.

Azure Policy for Kubernetes : un pod qui étend le Gatekeeper v3 open source et s’enregistre en tant que webhook auprès du contrôle d’admission Kubernetes. Avec ce pod, vous pouvez appliquer des mesures coercitives à grande échelle et des mesures de protection sur vos clusters de manière centralisée et cohérente. Le pod Azure Policy pour Kubernetes est déployé en tant que module complémentaire AKS et vous devez uniquement l’installer sur un nœud du cluster. Elle offre la possibilité d’appliquer des règles de configuration. En savoir plus sur la protection des charges de travail Kubernetes et Azure Policy pour Kubernetes.
intégration ACR : analyse d’images déclenchées par push et périodiques pour Azure Container Registry, ce qui fournit une évaluation des vulnérabilités sans nécessiter de composants supplémentaires.
Détection sans agent : Fournit une visibilité sur vos clusters Kubernetes sans nécessiter d’agents, en utilisant les fonctionnalités natives d'Azure pour découvrir et évaluer les configurations de cluster.
Analyse sans agent des machines : Captures instantanées de disque périodiques de nœuds Kubernetes pour une analyse approfondie de la configuration du système d’exploitation et du système de fichiers. Cette fonctionnalité n’a pas besoin d’agents installés ou de connectivité réseau et n’affecte pas les performances de l’ordinateur.
Microsoft intégration XDR : s’intègre à la plateforme étendue de détection et de réponse de Microsoft pour les opérations de sécurité unifiées et la réponse aux incidents.

Remarque

Ces composants ne nécessitent aucune connexion entrante à vos clusters et utilisent l'infrastructure de sécurité native de Azure. Tous les composants utilisent la connectivité sortante uniquement (aucun accès entrant requis).

Détails du composant capteur Defender

Nom du pod	Namespace	Genre	Brève description	Capacités	Limites des ressources	Sortie requise
microsoft-defender-collector-ds-*	kube-system	DaemonSet	Collecte les données de télémétrie du runtime (événements Kubernetes, processus et données réseau) à partir de nœuds à l’aide de la technologie eBPF et les envoie en toute sécurité à Defender pour cloud.	SYS_ADMIN, SYS_RESOURCE, SYS_PTRACE	mémoire : 296Mi processeur : 360m	Non
microsoft-defender-collector-misc-*	kube-system	Déploiement	Collecte les événements d’inventaire et de sécurité au niveau du cluster qui ne sont pas liés à des nœuds spécifiques.	N/A	mémoire : 64Mi PROCESSEUR : 60 m	Non
microsoft-defender-publisher-ds-*	kube-system	DaemonSet	Publie les données de télémétrie collectées sur le service principal Microsoft Defender pour conteneurs pour le traitement et l’analyse.	N/A	mémoire : 200Mi PROCESSEUR : 60 m	Https 443 Apprenez-en davantage sur les conditions préalables pour l’accès sortant

* Vous ne pouvez pas configurer les limites de ressources. En savoir plus sur les limites des ressources Kubernetes.

Comment fonctionne la détection sans agent pour Kubernetes dans Azure ?

Le processus de découverte utilise des instantanés pris à intervalles :

Lorsque vous activez l’extension Détection sans agent pour Kubernetes, le processus suivant se produit :

Créer:
- Si vous activez l’extension à partir de CSPM Defender, Defender pour Cloud crée une identité dans votre environnement appelé CloudPosture/securityOperator/DefenderCSPMSecurityOperator.
- Si vous activez l’extension à partir de Defender pour conteneurs, Defender pour Cloud crée une identité dans votre environnement appelé CloudPosture/securityOperator/DefenderForContainersSecurityOperator.
Assign : Defender for Cloud attribue un rôle intégré appelé Kubernetes Agentless Operator à cette identité sur l’étendue de l’abonnement. Le rôle contient les autorisations suivantes :
- Lecture AKS (Microsoft.ContainerService/managedClusters/read)
- Accès approuvé AKS avec les autorisations suivantes :
  - Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/write
  - Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/read
  - Microsoft. ContainerService/managedClusters/trustedAccessRoleBindings/delete En savoir plus sur AKS Trusted Access.
Discover : À l’aide de l’identité affectée par le système, Defender for Cloud découvre les clusters AKS dans votre environnement en effectuant des appels d’API au serveur d’API d’AKS.
Bind : Après la découverte d’un cluster AKS, Defender for Cloud effectue une opération de liaison AKS en créant une ClusterRoleBinding entre l’identité créée et l'ClusterRoleaks :trustedaccessrole :defender-containers :microsoft-defender-operator. Le ClusterRole est visible via l’API et accorde à Defender for Cloud une permission de lecture du plan de données à l’intérieur du cluster.

Remarque

L’instantané copié reste dans la même région que le cluster.

Composants d’architecture

Lorsque Defender pour Cloud protège un cluster hébergé dans Elastic Kubernetes Service, il collecte les données du journal d’audit sans utiliser d’agent. Pour bénéficier de la protection complète offerte par Microsoft Defender pour conteneurs, vous avez besoin de ces composants :

Kubernetes audit logs :le service CloudWatch du compte AWS active et collecte les données du journal d'audit via un collecteur sans agent et envoie les informations collectées à l'infrastructure de backend de Microsoft Defender for Cloud pour une analyse plus approfondie.
Azure Arc Kubernetes : Connecte vos clusters EKS à Azure et permet Defender for Cloud de déployer des composants de sécurité en tant qu’extensions Arc.
Defender sensor : Un DaemonSet léger déployé sur chaque nœud qui collecte les données de télémétrie d'exécution (événements Kubernetes, processus et données réseau) à l'aide de la technologie eBPF pour la protection contre les menaces d'exécution. Le capteur s’inscrit auprès d’un espace de travail Log Analytics et agit comme un pipeline de données. Toutefois, les données du journal d’audit ne sont pas stockées dans l’espace de travail Log Analytics. Le capteur Defender est déployé en tant qu’extension Kubernetes avec Arc.
Azure Policy pour Kubernetes : Un pod qui étend le Gatekeeper v3 et s’inscrit en tant que webhook au contrôle d’admission de Kubernetes, ce qui permet d’appliquer des règles et des protections à grande échelle sur vos clusters de manière centralisée et cohérente. Le pod Azure Policy pour Kubernetes est déployé en tant qu’extension Kubernetes avec Arc et doit uniquement être installé sur un nœud du cluster. Elle offre la possibilité d’appliquer des règles de configuration.
Intégration d’Amazon ERC : Évaluation des vulnérabilités sans agent pour les images conteneur stockées dans AMAZON Elastic Container Registry (ERC). Les images sont analysées automatiquement lorsqu’elles sont envoyées au Registre, ce qui fournit des résultats de sécurité intégrés à Defender for Cloud.

Comment fonctionne la détection sans agent pour Kubernetes dans AWS ?

Le processus de découverte utilise des instantanés pris à intervalles :

Lorsque vous activez l’extension Détection sans agent pour Kubernetes, le processus suivant se produit :

Créer:
- Ajoutez le rôle Defender pour le cloud MDCContainersAgentlessDiscoveryK8sRole à la ConfigMap aws-auth des clusters EKS. Vous pouvez personnaliser le nom.
Assign : Defender for Cloud attribue le rôle MDCContainersAgentlessDiscoveryK8sRole les autorisations suivantes :
- eks:UpdateClusterConfig
- eks:DescribeCluster
Discover : À l’aide de l’identité affectée par le système, Defender for Cloud découvre les clusters EKS dans votre environnement en effectuant des appels d’API au serveur d’API d’EKS.

Remarque

L’instantané copié reste dans la même région que le cluster.

Composants d’architecture

Quand Defender pour Cloud protège un cluster hébergé dans Google Kubernetes Engine, il collecte les données du journal d’audit sans utiliser d’agent. Pour bénéficier d’une protection complète de Microsoft Defender pour conteneurs, vous avez besoin de ces composants :

Kubernetes audit logs :GCP Cloud Logging active et collecte les données du journal d’audit via un collecteur sans agent et envoie les informations collectées au serveur principal Microsoft Defender for Cloud pour une analyse plus approfondie.
Azure Arc Kubernetes : Connecte vos clusters GKE à Azure et permet Defender for Cloud de déployer des composants de sécurité en tant qu’extensions Arc.
Defender sensor : Un DaemonSet léger déployé sur chaque nœud qui collecte les données de télémétrie d'exécution (événements Kubernetes, processus et données réseau) à l’aide de la technologie eBPF pour la protection contre les menaces d'exécution. Le capteur s’inscrit auprès d’un espace de travail Log Analytics et agit comme un pipeline de données. Toutefois, les données du journal d’audit ne sont pas stockées dans l’espace de travail Log Analytics. Le capteur Defender est déployé en tant qu’extension Kubernetes avec Arc.
Azure Policy pour Kubernetes : Un pod qui étend Gatekeeper v3 et s’inscrit en tant que webhook au contrôle d’admission Kubernetes, ce qui permet d’appliquer des règles et des protections à grande échelle sur vos clusters de manière centralisée et cohérente. Le pod Azure Policy pour Kubernetes est déployé en tant qu’extension Kubernetes avec Arc et doit uniquement être installé sur un nœud du cluster. Elle offre la possibilité d’appliquer des règles de configuration.
Intégration de Google Registry : Évaluation des vulnérabilités sans agent pour les images conteneur stockées dans Google Container Registry (GCR) et Google Artifact Registry (GAR). Les images sont analysées automatiquement lorsqu’elles sont envoyées aux registres, en exposant les vulnérabilités en mode natif dans Defender for Cloud.

Comment fonctionne la détection sans agent pour Kubernetes dans GCP ?

Le processus de découverte utilise des instantanés pris à intervalles :

Lorsque vous activez l’extension Détection sans agent pour Kubernetes, le processus suivant se produit :

Créer:
- Le compte de service mdc-containers-k8s-operator est créé. Vous pouvez personnaliser le nom.
Assign : Defender for Cloud attache les rôles suivants au compte de service mdc-containers-k8s-operator :
- Le rôle personnalisé MDCGkeClusterWriteRole, qui dispose de l’autorisation container.clusters.update
- Le rôle intégré container.viewer
Discover : À l’aide de l’identité affectée par le système, Defender for Cloud découvre les clusters GKE dans votre environnement en effectuant des appels d’API au serveur d’API de GKE.

Remarque

L’instantané copié reste dans la même région que le cluster.

Commentaires

Cette page a-t-elle été utile ?

Last updated on 2026-05-06

Architecture de Defender pour les conteneurs

Vue d’ensemble du modèle de capacité

Connexion aux registres de conteneurs

Connexion à des clusters Kubernetes

Données d’exécution envoyées à partir de clusters Kubernetes

Connexion aux API du fournisseur de cloud

Journaux d’audit Kubernetes envoyés à partir de l’infrastructure cloud

Prise en charge de la connectivité proxy et privée

Architecture pour chaque environnement Kubernetes

Composants d’architecture

Détails du composant capteur Defender

Comment fonctionne la détection sans agent pour Kubernetes dans Azure ?

Contenu connexe

Commentaires

Ressources supplémentaires