Pour les clusters qui ne s’exécutent pas dans Azure Kubernetes Service (AKS), Defender for Cloud utilise Kubernetes Azure Arc pour déployer les extensions requises.
Prerequisites
Configuration réseau requise
Le capteur Defender doit se connecter à Microsoft Defender pour cloud pour envoyer des données et des événements de sécurité. Vérifiez que les points de terminaison requis sont configurés pour l’accès sortant.
Configuration requise pour la connexion
Le capteur Defender a besoin d’une connectivité à :
- Microsoft Defender pour Cloud (pour l’envoi de données et d’événements de sécurité)
Par défaut, les clusters AKS ont un accès illimité sortant à Internet.
Pour les clusters avec accès sortant restreint, vous devez autoriser les noms de domaine complets (FQDN) spécifiques pour "Microsoft Defender for Containers" afin d'assurer son bon fonctionnement. Consultez Microsoft Defender pour conteneurs - des règles FQDN/application requises dans la documentation du réseau sortant d'AKS pour les points de terminaison nécessaires.
Configuration d’une liaison privée
Pour obtenir des instructions, consultez Sécurité Microsoft Private Link pour Microsoft Defender pour le Cloud.
Déployer le capteur Defender
Si l’approvisionnement automatique a été activé lorsque vous avez activé le plan Defender pour conteneurs, le capteur Defender peut déjà être installé.
Vérifiez le déploiement avant d’exécuter cette commande.
Pour déployer le capteur Defender sur un cluster AKS spécifique :
az aks update \
--resource-group <resource-group> \
--name <aks-cluster-name> \
--enable-defender
Déployer le module complémentaire Azure Policy
Activez Azure Policy pour Kubernetes afin d’évaluer et d’appliquer les meilleures pratiques de configuration :
az aks enable-addons \
--addons azure-policy \
--name <aks-cluster-name> \
--resource-group <resource-group>
Prerequisites
Configuration réseau requise
Vérifiez que les points de terminaison suivants pour les déploiements de cloud public sont configurés pour l’accès sortant. La configuration de ces derniers pour l’accès sortant permet de s’assurer que le capteur Defender peut se connecter à Microsoft Defender pour le cloud afin d’envoyer des données et des événements de sécurité.
Note
Les domaines Azure *.ods.opinsights.azure.com et *.oms.opinsights.azure.com ne sont plus nécessaires pour l’accès sortant. Pour plus d’informations, consultez Annonce de dépréciation.
| Domaine Azure |
Domaine Azure Government |
Domaine Azure exploité par 21Vianet |
Port |
| *.cloud.defender.microsoft.com |
N/A |
N/A |
443 |
Vous devez également valider la configuration réseau nécessaire pour le réseau Kubernetes avec Azure Arc.
Déployer le capteur Defender
Pour les clusters EKS, les composants Defender sont déployés comme extensions Kubernetes Azure Arc lorsque vous les déployez manuellement à l’aide d’Azure CLI.
Si l’approvisionnement automatique a été activé lorsque vous avez activé le plan Defender pour conteneurs, le capteur Defender peut déjà être installé.
Vérifiez le déploiement avant d’exécuter cette commande.
az k8s-extension create \
--name microsoft.azuredefender.kubernetes \
--extension-type microsoft.azuredefender.kubernetes \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group> \
Déployer l’extension Azure Policy
az k8s-extension create \
--name azurepolicy \
--extension-type Microsoft.PolicyInsights \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group>
Prerequisites
Configuration réseau requise
Vérifiez que les points de terminaison suivants pour les déploiements de cloud public sont configurés pour l’accès sortant. La configuration de ces derniers pour l’accès sortant permet de s’assurer que le capteur Defender peut se connecter à Microsoft Defender pour le cloud afin d’envoyer des données et des événements de sécurité.
Note
Les domaines Azure *.ods.opinsights.azure.com et *.oms.opinsights.azure.com ne sont plus nécessaires pour l’accès sortant. Pour plus d’informations, consultez Annonce de dépréciation.
| Domaine Azure |
Domaine Azure Government |
Domaine Azure exploité par 21Vianet |
Port |
| *.cloud.defender.microsoft.com |
N/A |
N/A |
443 |
Vous devez également valider la configuration réseau nécessaire pour le réseau Kubernetes avec Azure Arc.
Clusters GKE privés
Les clusters GKE privés doivent autoriser l’accès HTTPS sortant (TCP 443) aux points de terminaison de Microsoft Defender for Cloud.
Si nécessaire, configurez des règles de pare-feu pour autoriser la sortie à partir de nœuds de cluster :
gcloud compute firewall-rules create allow-azure-defender \
--allow tcp:443 \
--source-ranges <cluster-cidr> \
--target-tags <node-tags>
Considérations spécifiques au cluster
Clusters GKE standard
Aucune configuration spéciale n’est requise. Suivez les étapes de déploiement par défaut.
Clusters GKE Autopilot
Pour les clusters Autopilot :
- Le capteur Defender ajuste automatiquement les demandes de ressources.
- Aucune configuration manuelle n’est nécessaire pour les limites de ressources.
Important
Dans les clusters GKE Autopilot, les demandes de ressources et les limites du capteur Defender ne peuvent pas être configurées manuellement. La gestion des ressources est contrôlée par GKE Autopilot et ne peut pas être remplacée.
Déployer le capteur Defender
Pour les clusters GKE, les composants Defender sont déployés en tant qu’extensions Azure Arc Kubernetes lorsque vous les déployez manuellement à l’aide d'Azure CLI.
Si l’approvisionnement automatique a été activé lorsque vous avez activé le plan Defender pour conteneurs, le capteur Defender peut déjà être installé.
Vérifiez le déploiement avant d’exécuter cette commande.
az k8s-extension create \
--name microsoft.azuredefender.kubernetes \
--extension-type microsoft.azuredefender.kubernetes \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group> \
Déployer l’extension Azure Policy
az k8s-extension create \
--name azurepolicy \
--extension-type Microsoft.PolicyInsights \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group>
Prerequisites
Configuration réseau requise
Vérifiez que les points de terminaison suivants pour les déploiements de cloud public sont configurés pour l’accès sortant. La configuration de ces derniers pour l’accès sortant permet de s’assurer que le capteur Defender peut se connecter à Microsoft Defender pour le cloud afin d’envoyer des données et des événements de sécurité.
Note
Les domaines Azure *.ods.opinsights.azure.com et *.oms.opinsights.azure.com ne sont plus nécessaires pour l’accès sortant. Pour plus d’informations, consultez Annonce de dépréciation.
| Domaine Azure |
Domaine Azure Government |
Domaine Azure exploité par 21Vianet |
Port |
| *.cloud.defender.microsoft.com |
N/A |
N/A |
443 |
Vous devez également valider la configuration réseau nécessaire pour le réseau Kubernetes avec Azure Arc.
Déployer le capteur Defender
Pour les clusters Kubernetes activés par Arc, les composants de Defender sont déployés en tant que les extensions Kubernetes Azure Arc.
Si l’approvisionnement automatique a été activé lorsque vous avez activé le plan Defender pour conteneurs, le capteur Defender peut déjà être installé.
Vérifiez le déploiement avant d’exécuter cette commande.
az k8s-extension create \
--name microsoft.azuredefender.kubernetes \
--extension-type microsoft.azuredefender.kubernetes \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group> \
Déployer l’extension Azure Policy
az k8s-extension create \
--name azurepolicy \
--extension-type Microsoft.PolicyInsights \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group>