Voor clusters die niet worden uitgevoerd in Azure Kubernetes Service (AKS), gebruikt Defender voor Cloud Azure Arc-ingeschakelde Kubernetes om de vereiste extensies te implementeren.
Vereiste voorwaarden
Netwerkvereisten
De Defender-sensor moet verbinding maken met Microsoft Defender voor Cloud om beveiligingsgegevens en -gebeurtenissen te verzenden. Zorg ervoor dat de vereiste eindpunten zijn geconfigureerd voor uitgaande toegang.
Connectiviteitsvereisten
De Defender-sensor moet verbinding maken met:
- Microsoft Defender voor Cloud (voor het verzenden van beveiligingsgegevens en gebeurtenissen)
AKS-clusters hebben standaard onbeperkte uitgaande internettoegang.
Voor clusters met beperkte uitgaand verkeer moet u toestaan dat specifieke FQDN's voor Microsoft Defender for Containers goed werken. Zie Microsoft Defender for Containers : vereiste FQDN-/toepassingsregels in de documentatie van het uitgaande AKS-netwerk voor de vereiste eindpunten.
Configuratie van Private Link
Voor instructies, zie Microsoft Beveiliging Private Link voor Microsoft Defender voor Cloud.
De Defender-sensor implementeren
Als automatische inrichting is ingeschakeld toen u het Defender voor Containers-plan hebt ingeschakeld, is de Defender sensor mogelijk al geïnstalleerd.
Controleer de implementatie voordat u deze opdracht uitvoert.
De Defender-sensor implementeren in een specifiek AKS-cluster:
az aks update \
--resource-group <resource-group> \
--name <aks-cluster-name> \
--enable-defender
De Azure Policy-invoegtoepassing implementeren
Schakel Azure Policy voor Kubernetes in om best practices voor configuratie te beoordelen en af te dwingen:
az aks enable-addons \
--addons azure-policy \
--name <aks-cluster-name> \
--resource-group <resource-group>
Vereiste voorwaarden
Netwerkvereisten
Controleer of de volgende eindpunten voor openbare cloudimplementaties zijn geconfigureerd voor uitgaande toegang. Als u deze configureert voor uitgaande toegang, zorgt u ervoor dat de Defender-sensor verbinding kan maken met Microsoft Defender voor Cloud om beveiligingsgegevens en -gebeurtenissen te verzenden.
Opmerking
De Azure-domeinen *.ods.opinsights.azure.com en *.oms.opinsights.azure.com zijn niet meer vereist voor uitgaande toegang. Zie de aankondiging van afschaffing voor meer informatie.
| Azure-domein |
Azure Government-domein |
Azure beheerd door 21Vianet-domein |
Port |
| *.cloud.defender.microsoft.com |
N/A |
N/A |
443 |
U moet ook de kubernetes-netwerkvereisten met Azure Arc valideren.
De Defender-sensor implementeren
Voor EKS-clusters worden Defender onderdelen geïmplementeerd als Azure Arc Kubernetes-extensies wanneer u ze handmatig implementeert met behulp van Azure CLI.
Als automatische voorziening was ingeschakeld toen u het Defender voor Containers-plan bent ingeschakeld, is de Defender sensor mogelijk al geïnstalleerd.
Controleer de implementatie voordat u deze opdracht uitvoert.
az k8s-extension create \
--name microsoft.azuredefender.kubernetes \
--extension-type microsoft.azuredefender.kubernetes \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group> \
De Azure Policy-extensie implementeren
az k8s-extension create \
--name azurepolicy \
--extension-type Microsoft.PolicyInsights \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group>
Vereiste voorwaarden
Netwerkvereisten
Controleer of de volgende eindpunten voor openbare cloudimplementaties zijn geconfigureerd voor uitgaande toegang. Als u deze configureert voor uitgaande toegang, zorgt u ervoor dat de Defender-sensor verbinding kan maken met Microsoft Defender voor Cloud om beveiligingsgegevens en -gebeurtenissen te verzenden.
Opmerking
De Azure-domeinen *.ods.opinsights.azure.com en *.oms.opinsights.azure.com zijn niet meer vereist voor uitgaande toegang. Zie de aankondiging van afschaffing voor meer informatie.
| Azure-domein |
Azure Government-domein |
Azure beheerd door 21Vianet-domein |
Port |
| *.cloud.defender.microsoft.com |
N/A |
N/A |
443 |
U moet ook de kubernetes-netwerkvereisten met Azure Arc valideren.
Privé-GKE-clusters
Privé-GKE-clusters moeten uitgaande HTTPS-toegang (TCP 443) tot Microsoft Defender voor Cloud eindpunten toestaan.
Configureer indien nodig firewallregels om uitgaand verkeer van clusterknooppunten toe te staan:
gcloud compute firewall-rules create allow-azure-defender \
--allow tcp:443 \
--source-ranges <cluster-cidr> \
--target-tags <node-tags>
Clusterspecifieke overwegingen
Standaard GKE-clusters
Er is geen speciale configuratie vereist. Volg de standaardimplementatiestappen.
GKE Autopilot-clusters
Voor Autopilot-clusters:
- De Defender-sensor past automatisch resourceaanvragen aan.
- Er is geen handmatige configuratie nodig voor resourcelimieten.
Important
In GKE Autopilot-clusters kunnen resourceaanvragen en -limieten voor de Defender sensor niet handmatig worden geconfigureerd. Resourcebeheer wordt beheerd door GKE Autopilot en kan niet worden overschreven.
De Defender-sensor implementeren
Voor GKE-clusters worden Defender onderdelen geïmplementeerd als Azure Arc Kubernetes-extensies wanneer u ze handmatig implementeert met behulp van Azure CLI.
Wanneer automatische voorziening werd ingeschakeld bij het activeren van het Defender voor Containers-plan, is de Defender-sensor mogelijk al geïnstalleerd.
Controleer de implementatie voordat u deze opdracht uitvoert.
az k8s-extension create \
--name microsoft.azuredefender.kubernetes \
--extension-type microsoft.azuredefender.kubernetes \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group> \
De Azure Policy-extensie implementeren
az k8s-extension create \
--name azurepolicy \
--extension-type Microsoft.PolicyInsights \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group>
Vereiste voorwaarden
Netwerkvereisten
Controleer of de volgende eindpunten voor openbare cloudimplementaties zijn geconfigureerd voor uitgaande toegang. Als u deze configureert voor uitgaande toegang, zorgt u ervoor dat de Defender-sensor verbinding kan maken met Microsoft Defender voor Cloud om beveiligingsgegevens en -gebeurtenissen te verzenden.
Opmerking
De Azure-domeinen *.ods.opinsights.azure.com en *.oms.opinsights.azure.com zijn niet meer vereist voor uitgaande toegang. Zie de aankondiging van afschaffing voor meer informatie.
| Azure-domein |
Azure Government-domein |
Azure beheerd door 21Vianet-domein |
Port |
| *.cloud.defender.microsoft.com |
N/A |
N/A |
443 |
U moet ook de kubernetes-netwerkvereisten met Azure Arc valideren.
De Defender-sensor implementeren
Voor Kubernetes-clusters met Arc worden Defender onderdelen geïmplementeerd als Azure Arc Kubernetes-extensies.
Wanneer automatische voorziening werd ingeschakeld bij het activeren van het Defender voor Containers-plan, is de Defender-sensor mogelijk al geïnstalleerd.
Controleer de implementatie voordat u deze opdracht uitvoert.
az k8s-extension create \
--name microsoft.azuredefender.kubernetes \
--extension-type microsoft.azuredefender.kubernetes \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group> \
De Azure Policy-extensie implementeren
az k8s-extension create \
--name azurepolicy \
--extension-type Microsoft.PolicyInsights \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group>