Questo articolo illustra come distribuire il sensore di Microsoft Defender per contenitori e l'Criteri di Azure per Kubernetes nei cluster usando interfaccia della riga di comando di Azure dopo aver abilitato il piano Defender per contenitori in Microsoft Defender per il cloud.
Per i cluster che non sono in esecuzione su Servizio Azure Kubernetes (AKS), Defender per il cloud utilizza Kubernetes abilitato ad Azure Arc per distribuire le estensioni necessarie.
Prerequisiti
Requisiti di rete
Il sensore defender deve connettersi a Microsoft Defender per il cloud per inviare dati ed eventi di sicurezza. Assicurarsi che gli endpoint necessari siano configurati per l'accesso in uscita.
Requisiti di connessione
Il sensore defender deve connettersi a:
- Microsoft Defender per il cloud (per l'invio di dati ed eventi di sicurezza)
Per impostazione predefinita, i cluster del servizio Azure Kubernetes hanno accesso a Internet in uscita senza restrizioni.
Per i cluster con uscita limitata, è necessario consentire il corretto funzionamento di FQDN specifici per Microsoft Defender per contenitori. Vedere Microsoft Defender per contenitori - Regole FQDN/applicazione necessarie nella documentazione sulla rete in uscita di AKS per gli endpoint richiesti.
Configurazione del collegamento privato
Per le istruzioni, consultare collegamento privato di Microsoft Security per Microsoft Defender per il cloud.
Distribuire il sensore Defender
Se il provisioning automatico è stato abilitato quando hai attivato il piano Defender per i Contenitori, il sensore Defender potrebbe essere già installato.
Verificare la distribuzione prima di eseguire questo comando.
Per distribuire il sensore Defender in un cluster AKS specifico:
az aks update \
--resource-group <resource-group> \
--name <aks-cluster-name> \
--enable-defender
Distribuire il componente aggiuntivo Criteri di Azure
Abilitare Criteri di Azure per Kubernetes per valutare e applicare le procedure consigliate per la configurazione:
az aks enable-addons \
--addons azure-policy \
--name <aks-cluster-name> \
--resource-group <resource-group>
Prerequisiti
Requisiti di rete
Verificare che gli endpoint seguenti per le distribuzioni di cloud pubblico siano configurati per l'accesso in uscita. La configurazione per l'accesso in uscita garantisce che il sensore Defender possa connettersi a Microsoft Defender per il cloud per inviare dati ed eventi di sicurezza.
Annotazioni
I domini Azure *.ods.opinsights.azure.com e *.oms.opinsights.azure.com non sono più necessari per l'accesso in uscita. Per altre informazioni, vedere l'annuncio di deprecazione.
| Dominio di Azure |
Dominio di Azure per enti pubblici |
Azure gestito da 21Vianet domain |
Port |
| *.cloud.defender.microsoft.com |
N/A |
N/A |
443 |
È anche necessario convalidare i requisiti di rete Kubernetes abilitati per Azure Arc.
Distribuire il sensore Defender
Per i cluster EKS, i componenti Defender vengono distribuiti come estensioni Kubernetes Azure Arc quando vengono distribuiti manualmente usando interfaccia della riga di comando di Azure.
È possibile che il sensore Defender sia già installato se il provisioning automatico era abilitato quando è stato attivato il piano Defender per i Contenitori.
Verificare la distribuzione prima di eseguire questo comando.
az k8s-extension create \
--name microsoft.azuredefender.kubernetes \
--extension-type microsoft.azuredefender.kubernetes \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group> \
Distribuire l'estensione dei Criteri di Azure
az k8s-extension create \
--name azurepolicy \
--extension-type Microsoft.PolicyInsights \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group>
Prerequisiti
Requisiti di rete
Verificare che gli endpoint seguenti per le distribuzioni di cloud pubblico siano configurati per l'accesso in uscita. La configurazione per l'accesso in uscita garantisce che il sensore Defender possa connettersi a Microsoft Defender per il cloud per inviare dati ed eventi di sicurezza.
Annotazioni
I domini Azure *.ods.opinsights.azure.com e *.oms.opinsights.azure.com non sono più necessari per l'accesso in uscita. Per altre informazioni, vedere l'annuncio di deprecazione.
| Dominio di Azure |
Dominio di Azure per enti pubblici |
Azure gestito da 21Vianet domain |
Port |
| *.cloud.defender.microsoft.com |
N/A |
N/A |
443 |
È anche necessario convalidare i requisiti di rete Kubernetes abilitati per Azure Arc.
Cluster GKE privati
I cluster GKE privati devono consentire l'accesso HTTPS in uscita (TCP 443) agli endpoint Microsoft Defender per il cloud.
Se necessario, configurare le regole del firewall per consentire l'uscita dai nodi del cluster:
gcloud compute firewall-rules create allow-azure-defender \
--allow tcp:443 \
--source-ranges <cluster-cidr> \
--target-tags <node-tags>
Considerazioni specifiche del cluster
Cluster GKE standard
Non è necessaria alcuna configurazione speciale. Seguire la procedura di distribuzione predefinita.
Cluster GKE Autopilot
Per i cluster Autopilot:
- Il sensore Defender regola automaticamente le richieste di risorse.
- Non è necessaria alcuna configurazione manuale per i limiti delle risorse.
Important
Nei cluster GKE Autopilot le richieste di risorse e i limiti per il sensore Defender non possono essere configurati manualmente. La gestione delle risorse è controllata da GKE Autopilot e non può essere sottoposta a override.
Distribuire il sensore Defender
Per i cluster GKE, i componenti Defender vengono distribuiti come estensioni kubernetes Azure Arc quando vengono distribuiti manualmente usando interfaccia della riga di comando di Azure.
Se il provisioning automatico è stato abilitato quando è stato attivato il piano Defender per i Contenitori, è possibile che il sensore Defender sia già installato.
Verificare la distribuzione prima di eseguire questo comando.
az k8s-extension create \
--name microsoft.azuredefender.kubernetes \
--extension-type microsoft.azuredefender.kubernetes \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group> \
Distribuire l'estensione dei Criteri di Azure
az k8s-extension create \
--name azurepolicy \
--extension-type Microsoft.PolicyInsights \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group>
Prerequisiti
Requisiti di rete
Verificare che gli endpoint seguenti per le distribuzioni di cloud pubblico siano configurati per l'accesso in uscita. La configurazione per l'accesso in uscita garantisce che il sensore Defender possa connettersi a Microsoft Defender per il cloud per inviare dati ed eventi di sicurezza.
Annotazioni
I domini Azure *.ods.opinsights.azure.com e *.oms.opinsights.azure.com non sono più necessari per l'accesso in uscita. Per altre informazioni, vedere l'annuncio di deprecazione.
| Dominio di Azure |
Dominio di Azure per enti pubblici |
Azure gestito da 21Vianet domain |
Port |
| *.cloud.defender.microsoft.com |
N/A |
N/A |
443 |
È anche necessario convalidare i requisiti di rete Kubernetes abilitati per Azure Arc.
Distribuire il sensore Defender
Per i cluster Kubernetes abilitati ad Arc, i componenti di Defender vengono distribuiti come estensioni di Kubernetes Azure Arc.
Se il provisioning automatico è stato abilitato quando è stato attivato il piano Defender per Contenitori, è probabile che il sensore Defender sia già installato.
Verificare la distribuzione prima di eseguire questo comando.
az k8s-extension create \
--name microsoft.azuredefender.kubernetes \
--extension-type microsoft.azuredefender.kubernetes \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group> \
Distribuire l'estensione dei Criteri di Azure
az k8s-extension create \
--name azurepolicy \
--extension-type Microsoft.PolicyInsights \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group>