Este artigo explica como desabilitar Microsoft Defender para contêineres e remover seus componentes por ambiente.
Desativar o plano Defender para Contêineres ou desabilitar o provisionamento automático interrompe implantações futuras, mas não desinstala Defender componentes que já estão implantados em clusters. Esses componentes são removidos separadamente.
O que para de funcionar após a remoção
Depois de remover os componentes do Defender para Contêineres de um cluster AKS:
A detecção de ameaças em tempo de execução baseada na telemetria do sensor do Defender é interrompida.
Recomendações de segurança do Kubernetes relacionadas ao Azure Policy para Kubernetes deixarão de ser atualizadas.
Alertas baseados em sinais de runtime do AKS e dados de auditoria do Kubernetes param de ser gerados.
Novas descobertas de vulnerabilidades de imagens de contêiner não serão mais geradas para imagens no ACR (Registro de Contêiner do Azure) neste ambiente.
Desabilitar o plano do Defender para Contêineres
Entre no portal do Azure.
Vá para Microsoft Defender para Nuvem>Environment settings.
Selecione a assinatura que contém os clusters do AKS.
Na página de planos do Defender, alterne Contêineres para Desativar.
Clique em Salvar.
Remover extensões de Defender de clusters do AKS
Remover o perfil Defender para Contêineres do cluster AKS
az aks update \
--name <cluster-name> \
--resource-group <resource-group> \
--disable-defender
Desativar o complemento do Azure Policy
az aks disable-addons \
--addons azure-policy \
--name <cluster-name> \
--resource-group <resource-group>
Verificar a remoção
Verificar pods do cluster AKS
kubectl get pods -A | grep defender
Nenhum recurso deve ser retornado.
Verificar o status do plano
az security pricing show --name 'Containers'
A saída deve ser mostrada pricingTier como Free.
O que para de funcionar após a remoção
Depois de remover o Defender para Contêineres de um cluster EKS:
A detecção de ameaças em tempo de execução pelo sensor do Defender implantado por meio do Azure Arc é interrompida.
Recomendações de segurança do Kubernetes para esse cluster pararão de atualizar.
Os alertas com base no runtime do Kubernetes e nos sinais de auditoria param de ser gerados.
As descobertas de vulnerabilidade de imagem de contêiner para imagens no Amazon ECR param de atualizar para esse ambiente.
As detecções baseadas em plano de controle e descoberta sem agente param se as permissões e integrações relacionadas do lado do AWS forem removidas.
Remover extensões de Defender de clusters EKS
Defender para Contêineres implanta componentes em clusters EKS usando o Kubernetes habilitado pelo Azure Arc. As etapas a seguir removem essas extensões do Arc.
Remover a extensão do Defender
az k8s-extension delete \
--name microsoft.azuredefender.kubernetes \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group> \
--yes
Remover a extensão Azure Policy (se instalada)
az k8s-extension delete \
--name azurepolicy \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group> \
--yes
Desconectar clusters do Azure Arc
Observação
Desconectar um cluster do Azure Arc remove o acesso a todas as extensões do Arc, não apenas ao Defender para Contêineres.
az connectedk8s delete \
--name <cluster-name> \
--resource-group <resource-group> \
--yes
Desabilitar o plano Defender para Contêineres no conector da AWS
Entre no portal do Azure.
Vá para Microsoft Defender para Nuvem>Environment settings.
Selecione o conector AWS relevante.
Selecione Configurações.
Altere Contêineres para Desativado.
Clique em Salvar.
Excluir o conector do AWS (opcional)
Se você não quiser mais Defender para Nuvem monitorar sua conta do AWS:
Entre no portal do Azure.
Vá para Microsoft Defender para Nuvem>Environment settings.
Localize o conector do AWS.
Selecione as reticências (...).
Selecione Excluir.
Confirmar exclusão.
Remover recursos do AWS criados para proteção de runtime (opcional)
Remova esses recursos somente se a proteção contra ameaças de runtime para EKS estiver habilitada e você não usar Defender para contêineres para esse cluster.
Observação
Esses recursos são criados por cluster. Se você removê-los enquanto a proteção de runtime ainda estiver habilitada, a coleta de dados poderá parar.
Remover funções do IAM do AWS e provedores de identidade (opcional)
Se você estiver removendo completamente sua conta do AWS do Microsoft Defender para Nuvem, poderá excluir manualmente as funções de IAM e os provedores de identidade que foram criados durante o onboarding.
Use o console ou a CLI do AWS para excluir as seguintes funções se elas existirem:
MDCContainersImageAssessmentRoleMDCContainersK8sRoleMDCContainersK8sDataCollectionRoleMDCContainersK8sCloudWatchToKinesisRoleMDCContainersK8sKinesisToS3RoleNameMDCContainersAgentlessDiscoveryK8sRole
Warning
Exclua apenas o provedor ASCDefendersOIDCIdentityProvider OpenID Connect se você estiver removendo todos os componentes do Defender para Nuvem dessa conta da AWS. A exclusão desse componente compartilhado afetará outros planos de Defender para Nuvem.
Verificar a remoção
Verificar extensões do Azure Arc
az k8s-extension list \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group>
Confirme que microsoft.azuredefender.kubernetes não está listado.
Verificar pods do cluster EKS
kubectl get pods -n mdc
Nenhum recurso deve ser retornado.
O que para de funcionar após a remoção
Depois de remover os componentes do Defender para Contêineres de um cluster GKE:
Detecção de ameaças em tempo de execução pelo sensor do Defender implantado por meio do Azure Arc é interrompida.
As recomendações de segurança do Kubernetes para esse cluster pararam de ser atualizadas.
Os alertas com base no runtime do Kubernetes e nos sinais de auditoria param de ser gerados.
As descobertas de vulnerabilidade de imagem de contêiner para imagens no Registro de Contêiner do Google ou no Registro de Artefatos param de ser atualizadas neste ambiente.
Remover extensões de Defender de clusters GKE
Remover a extensão do Defender
az k8s-extension delete \
--name microsoft.azuredefender.kubernetes \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group> \
--yes
Remover a extensão Azure Policy (se instalada)
az k8s-extension delete \
--name azurepolicy \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group> \
--yes
Desconectar os clusters GKE do Azure Arc
Observação
Desconectar um cluster do Azure Arc remove o acesso a todas as extensões do Arc, não apenas ao Defender for Containers.
az connectedk8s delete \
--name <cluster-name> \
--resource-group <resource-group> \
--yes
Desabilitar o plano do Defender para Contêineres no conector GCP
Entre no portal do Azure.
Vá para Microsoft Defender para Nuvem>Environment settings.
Selecione o conector GCP relevante.
Selecione Configurações.
Altere Contêineres para Desativado.
Clique em Salvar.
Excluir o conector GCP (opcional)
Vá para Microsoft Defender para Nuvem>Environment settings.
Localize o conector do GCP.
Selecione o menu ... (mais opções).
Selecione Excluir.
Confirmar exclusão.
Remover recursos do GCP criados para proteção de runtime (opcional)
Remova esses recursos somente se a proteção contra ameaças de runtime para GKE estiver habilitada e você não usar Defender para contêineres para esse projeto.
Remover funções e contas de serviço GCP (opcional)
Se você estiver removendo completamente seu projeto GCP do Microsoft Defender para Nuvem, poderá excluir manualmente as contas de serviço e as funções criadas durante a integração.
Use o console do Google Cloud ou a CLI do gcloud para excluir as seguintes contas de serviço:
ms-defender-containersms-defender-containers-streammdc-containers-k8s-operatormdc-containers-artifact-assess
Exclua as seguintes funções personalizadas:
MicrosoftDefenderContainersDataCollectionRoleMicrosoftDefenderContainersRoleMDCGkeClusterWriteRole
Warning
Exclua apenas os provedores de pool de identidade de carga de trabalho OIDC containers e containers-streams se você estiver removendo todos os componentes Defender para Nuvem. Esses são componentes compartilhados. Além disso, verifique se nenhum outro serviço não Defender está usando a API logging.googleapis.com antes de desabilitá-la.
Verificar a remoção
Verificar extensões do Azure Arc
az k8s-extension list \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group>
Confirme que microsoft.azuredefender.kubernetes não está listado.
Verificar os pods do cluster do GKE
kubectl get pods -n mdc
Nenhum recurso deve ser retornado.
Verificar o portal do Azure
Entre no portal do Azure.
Vá para Microsoft Defender para Nuvem>Environment settings.
Verifique se o conector GCP foi removido ou se mostra contêineres como desabilitados .
Verifique se nenhuma recomendação relacionada ao GKE é exibida.
O que para de funcionar após a remoção
Depois de remover os componentes do Defender para Contêineres de um cluster do Kubernetes habilitado para Arc:
A detecção de ameaças em tempo de execução pelo sensor Defender é interrompida.
Recomendações de segurança do Kubernetes para esse cluster deixam de ser atualizadas.
Os alertas com base no runtime do Kubernetes e nos sinais de auditoria param de ser gerados.
As avaliações de configuração baseadas em Azure Policy para cargas de trabalho do Kubernetes param se a extensão do Azure Policy for removida.
Desabilitar o plano do Defender para Contêineres
Entre no portal do Azure.
Vá para Microsoft Defender para Nuvem>Environment settings.
Selecione a assinatura que contém os clusters do Kubernetes habilitados para Arc.
Na página de planos do Defender, alterne Contêineres para Desativar.
Clique em Salvar.
Remover extensões de Defender de clusters habilitados para Arc
Remover a extensão do Defender
az k8s-extension delete \
--name microsoft.azuredefender.kubernetes \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group> \
--yes
Remover a extensão Azure Policy (se instalada)
az k8s-extension delete \
--name azurepolicy \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group> \
--yes
Desconectar o cluster de Azure Arc (opcional)
Observação
Desconectar um cluster do Azure Arc remove o acesso a todas as extensões do Arc, e não apenas ao Defender para Contêineres.
az connectedk8s delete \
--name <cluster-name> \
--resource-group <resource-group> \
--yes
Verificar a remoção
Verificar extensões do Azure Arc
az k8s-extension list \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group>
Confirme que microsoft.azuredefender.kubernetes não está listado.
Verificar pods de cluster habilitados para Arc
kubectl get pods -n mdc
Nenhum recurso deve ser retornado.