Distribuire Defender per contenitori su Azure (AKS) a livello di codice

Questo articolo descrive i metodi per distribuire a livello di codice Microsoft Defender per contenitori nei cluster del servizio Azure Kubernetes.

Prerequisiti

Requisiti di rete

Il sensore defender deve connettersi a Microsoft Defender for Cloud per inviare dati ed eventi di sicurezza. Assicurarsi che gli endpoint necessari siano configurati per l'accesso in uscita.

Requisiti di connessione

Il sensore defender deve connettersi a:

• Microsoft Defender for Cloud (per l'invio di dati ed eventi di sicurezza)

Per impostazione predefinita, i cluster del servizio Azure Kubernetes hanno accesso a Internet in uscita senza restrizioni.

Per i cluster con uscita limitata, è necessario consentire il corretto funzionamento di FQDN specifici per Microsoft Defender per contenitori. Vedere Microsoft Defender per contenitori - Regole dell'applicazione/FQDN necessarie nella documentazione sulla rete in uscita di AKS per gli endpoint richiesti.

Configurazione del collegamento privato

Per le istruzioni, consultare Private Link di Microsoft Security per Microsoft Defender for Cloud.

Assicurarsi inoltre di disporre di:

• Interfaccia della riga di comando di Azure versione 2.40.0 o successiva
• Autorizzazioni appropriate di Controllo degli accessi in base al ruolo (collaboratore o amministratore della sicurezza)

Abilitare il piano Defender per Container

Per abilitare il piano Defender per contenitori nella sottoscrizione, vedere Abilitare Microsoft Defender for Cloud. È possibile abilitare il piano tramite il portale di Azure, l'API REST o Criteri di Azure.

Distribuire il sensore Defender

Quando abiliti il piano Defender per i contenitori, il sensore Defender viene distribuito automaticamente nei cluster Azure Kubernetes Service (AKS) per impostazione predefinita.

Se il provisioning automatico è disabilitato o se è necessario distribuire manualmente il sensore, usare uno dei metodi seguenti.

az aks update \
    --resource-group myResourceGroup \
    --name myAKSCluster \
    --enable-defender

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "clusterName": {
      "type": "string"
    },
    "location": {
      "type": "string"
    },
    "workspaceResourceId": {
      "type": "string"
    }
  },
  "resources": [
    {
      "type": "Microsoft.ContainerService/managedClusters",
      "apiVersion": "2023-01-01",
      "name": "[parameters('clusterName')]",
      "location": "[parameters('location')]",
      "properties": {
        "securityProfile": {
          "defender": {
            "logAnalyticsWorkspaceResourceId": "[parameters('workspaceResourceId')]",
            "securityMonitoring": {
              "enabled": true
            }
          }
        }
      }
    }
  ]
}

az deployment group create \
    --resource-group myResourceGroup \
    --template-file defender-aks.json \
    --parameters clusterName=myAKSCluster location=eastus workspaceResourceId=/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}

Distribuire il componente aggiuntivo Criteri di Azure

Il componente aggiuntivo Criteri di Azure per AKS consente di applicare tutele e misure di sicurezza su larga scala per i cluster AKS in modo centralizzato e coerente.

Per abilitare il componente aggiuntivo Criteri di Azure:

az aks enable-addons \
    --addons azure-policy \
    --name myAKSCluster \
    --resource-group myResourceGroup

Distribuire i componenti usando le raccomandazioni

È anche possibile distribuire manualmente le funzionalità usando le raccomandazioni di Defender for Cloud:

Passaggi successivi

• Verificare la distribuzione
• Configurare le impostazioni avanzate
• Rimuovere Defender per contenitori