Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo illustra come distribuire Microsoft Defender per contenitori in ambienti Kubernetes. Si concentra sui componenti di Defender per i contenitori distribuiti nei cluster Kubernetes, tra cui il sensore Defender e Criteri di Azure per Kubernetes.
Altre funzionalità, ad esempio l'accesso al Registro di sistema, l'accesso all'API Kubernetes e la protezione dalle minacce senza agente, sono abilitate tramite Defender per le impostazioni del piano o del connettore dei contenitori.
Configurare l'ambiente
Prima di Defender per i contenitori è possibile distribuire i componenti del cluster, l'ambiente Kubernetes deve essere connesso a Microsoft Defender per il cloud.
| Environment | Percorso di integrazione |
|---|---|
| AKS | Non è necessario alcun connettore aggiuntivo. I cluster AKS sono risorse native di Azure. |
| EKS | Integrare AWS con Defender per il cloud. |
| GKE | Integra GCP su Defender per il cloud. |
| In locale e in altri cluster Kubernetes abilitati per Arc | Connettere il cluster Kubernetes esistente a Azure Arc. |
Opzioni di distribuzione
| Approccio alla distribuzione | Descrizione |
|---|---|
| Provisioning automatico | I componenti supportati vengono distribuiti automaticamente dopo che il piano Defender per Contenitori o le impostazioni pertinenti sono state abilitate. |
| Distribuzione manuale | Il provisioning automatico è disattivato e i componenti supportati vengono installati manualmente. |
| Distribuzione mista | Il provisioning automatico è abilitato, ma i cluster specifici di AKS, EKS o GKE vengono esclusi e distribuiti manualmente. La distribuzione mista non è supportata per i cluster Kubernetes locali o altri cluster Kubernetes connessi direttamente a Azure Arc. |
Fornitura automatizzata
Con il provisioning automatico abilitato, Microsoft Defender per il cloud provvede a installare i componenti supportati del cluster dopo che il Piano Defender per i Contenitori e le impostazioni pertinenti sono stati abilitati.
Per i cluster AKS, la distribuzione del sensore Defender utilizza l'add-on Defender AKS add-on. Per i cluster EKS e GKE, la distribuzione utilizza le estensioni Kubernetes di Azure Arc nelle risorse Kubernetes abilitate per Arc create tramite il flusso del connettore di AWS o GCP.
Per i cluster locali e altri cluster Kubernetes connessi direttamente ad Azure Arc, il cluster deve prima essere connesso ad Azure Arc. La distribuzione utilizza quindi le estensioni Kubernetes di Azure Arc dopo l'abilitazione delle impostazioni pertinenti di Defender per i contenitori.
È possibile personalizzare il provisioning automatico dei sensori Defender escludendo cluster specifici usando tag prima di abilitare il piano Defender per contenitori e quindi distribuindolo manualmente.
Annotazioni
I tag di esclusione si applicano alla distribuzione automatica dei sensori Defender. Non si applicano a cluster Kubernetes locali o ad altri cluster Kubernetes connessi direttamente a Azure Arc.
Con il provisioning automatico, il sensore di Defender viene installato dopo che il cluster viene individuato e può richiedere diverse ore per il completamento.
Usare la distribuzione manuale o escludere cluster specifici dal provisioning automatico dei sensori Defender e distribuire il sensore manualmente per installare immediatamente il sensore Defender.
Distribuzione manuale
Se il provisioning automatico è disabilitato, i componenti del cluster supportati non vengono distribuiti automaticamente. È possibile distribuire manualmente i componenti supportati.
La distribuzione manuale può essere usata anche per la distribuzione di sensori Defender nei cluster esclusi dal provisioning automatico dei sensori Defender.
È possibile distribuire manualmente i componenti usando uno dei metodi seguenti:
Passaggi post-distribuzione
Dopo la distribuzione, verificare che i componenti Defender siano in esecuzione correttamente e risolvere eventuali problemi.