Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Dit artikel helpt u bij het plannen van het implementeren van Microsoft Defender voor containers in Kubernetes-omgevingen. Het richt zich op de Defender voor containers-onderdelen die zijn geïmplementeerd in Kubernetes-clusters, met inbegrip van de Defender sensor en Azure Policy voor Kubernetes.
Andere mogelijkheden, zoals registertoegang, Kubernetes-API-toegang en beveiliging tegen bedreigingen zonder agent, worden ingeschakeld via Defender voor containerplan- of connectorinstellingen.
Het onboarden van de omgeving
Voordat Defender voor containers clusteronderdelen kan implementeren, moet de Kubernetes-omgeving zijn verbonden met Microsoft Defender voor Cloud.
| Environment | Inwerktraject |
|---|---|
| AKS | Er is geen extra connector vereist. AKS-clusters zijn systeemeigen Azure resources. |
| EKS | AWS integreren met Defender voor Cloud. |
| GKE | GCP inschakelen in Defender voor Cloud. |
| On-premises en andere Arc-ingeschakelde Kubernetes-clusters | Connecteer uw bestaande Kubernetes-cluster met Azure Arc. |
Implementatieopties
| Implementatiebenadering | Description |
|---|---|
| Automatische inrichting | Ondersteunde onderdelen worden automatisch geïmplementeerd nadat het Defender voor containers-abonnement of relevante instellingen zijn ingeschakeld. |
| Handmatige implementatie | Automatisch inrichten is uitgeschakeld en ondersteunde onderdelen worden handmatig geïnstalleerd. |
| Gemengde implementatie | Automatische inrichting is ingeschakeld, maar specifieke AKS-, EKS- of GKE-clusters worden uitgesloten en handmatig geïmplementeerd. Gemengde implementatie wordt niet ondersteund voor on-premises of andere Kubernetes-clusters die rechtstreeks zijn verbonden met Azure Arc. |
Automatische voorziening
Als automatische inrichting is ingeschakeld, installeert Microsoft Defender voor Cloud ondersteunde clusteronderdelen nadat het Defender voor containers-plan en de relevante instellingen zijn ingeschakeld.
Voor AKS-clusters gebruikt Defender sensorimplementatie de Defender AKS-invoegtoepassing. Voor EKS- en GKE-clusters gebruikt de implementatie Azure Arc Kubernetes-extensies op de Kubernetes-resources met Arc die zijn gemaakt via de AWS- of GCP-connectorstroom.
Voor on-premises en andere Kubernetes-clusters die rechtstreeks zijn verbonden met Azure Arc, moet het cluster eerst zijn verbonden met Azure Arc. Implementatie gebruikt vervolgens Azure Arc Kubernetes-extensies nadat de relevante Defender voor containers-instellingen zijn ingeschakeld.
U kunt automatische inrichting van Defender sensor aanpassen door specifieke clusters met behulp van tags uit te sluiten voordat u het Defender voor Containers-plan inschakelt en vervolgens de sensor handmatig implementeert.
Opmerking
Uitsluitingstags zijn van toepassing op automatische Defender sensorimplementatie. Ze zijn niet van toepassing op on-premises of andere Kubernetes-clusters die rechtstreeks zijn verbonden met Azure Arc.
Met automatische inrichting wordt de Defender sensor geïnstalleerd nadat het cluster is gedetecteerd en kan het enkele uren duren voordat het is voltooid.
Gebruik handmatige implementatie of sluit specifieke clusters uit van automatische Defender sensorinrichting en implementeer de sensor handmatig om de Defender sensor onmiddellijk te installeren.
Handmatige implementatie
Als automatische voorziening niet ingeschakeld is, worden ondersteunde clusteronderdelen niet automatisch geïmplementeerd. U kunt ondersteunde onderdelen handmatig implementeren.
Handmatige implementatie kan ook worden gebruikt voor Defender sensorimplementatie op clusters die zijn uitgesloten van automatische Defender sensorinrichting.
U kunt onderdelen handmatig implementeren met behulp van een van de volgende methoden:
Deploy Defender sensor en Azure Policy naar clusters met behulp van Azure CLI
Installeer de Defender for Containers-sensor met behulp van Helm
Stappen na implementatie
Controleer na de implementatie of Defender onderdelen correct worden uitgevoerd en los eventuele problemen op.