Para clusters que não estão em execução no AKS (Serviço de Kubernetes do Azure), Defender para Nuvem usa o Kubernetes habilitado para Azure Arc para implantar as extensões necessárias.
Pré-requisitos
Requisitos de rede
O sensor do Defender deve se conectar ao Microsoft Defender para Nuvem para enviar dados e eventos de segurança. Verifique se os pontos de extremidade necessários estão configurados para acesso de saída.
Requisitos de conexão
O sensor do Defender precisa de conectividade para:
- Microsoft Defender para Nuvem (para enviar dados e eventos de segurança)
Por padrão, os clusters do AKS têm acesso irrestrito de internet de saída.
Para clusters com saída restrita, você deve permitir que FQDNs específicos para o Microsoft Defender para Contêineres funcionem corretamente. Consulte as Regras necessárias de FQDN/aplicação do Microsoft Defender para Contêineres na documentação da rede de saída do AKS para os endpoints requeridos.
Configuração do link privado
Para obter instruções, consulte o Link Privado do Segurança da Microsoft para Microsoft Defender para Nuvem.
Implantar o sensor do Defender
Se o provisionamento automático tiver sido habilitado quando você ativou o plano Defender para Contêineres, o sensor de Defender já poderá estar instalado.
Verifique a implantação antes de executar este comando.
Para implantar o sensor do Defender em um cluster específico do AKS:
az aks update \
--resource-group <resource-group> \
--name <aks-cluster-name> \
--enable-defender
Implantar o complemento Azure Policy
Habilite Azure Policy para o Kubernetes avaliar e impor as práticas recomendadas de configuração:
az aks enable-addons \
--addons azure-policy \
--name <aks-cluster-name> \
--resource-group <resource-group>
Pré-requisitos
Requisitos de rede
Valide se os pontos de extremidade a seguir para implantações de nuvem pública estão configurados para acesso de saída. Configurá-los para acesso de saída ajuda a garantir que o sensor do Defender possa se conectar ao Microsoft Defender para Nuvem para enviar dados e eventos de segurança.
Observação
Os domínios Azure *.ods.opinsights.azure.com e *.oms.opinsights.azure.com não são mais necessários para acesso de saída. Para obter mais informações, consulte o anúncio de preterição.
| Domínio do Azure |
Domínio do Azure Governamental |
Domínio do Azure operado pelo 21Vianet |
Port |
| *.cloud.defender.microsoft.com |
Não aplicável |
Não aplicável |
443 |
Você também precisa validar os requisitos de rede do Kubernetes habilitado para Azure Arc.
Implantar o sensor do Defender
Para clusters EKS, os componentes do Defender são implantados como extensões do Azure Arc para Kubernetes quando implantados manualmente usando o CLI do Azure.
Se o provisionamento automático tiver sido habilitado quando você ativou o plano Defender para Contêineres, o sensor de Defender já poderá estar instalado.
Verifique a implantação antes de executar este comando.
az k8s-extension create \
--name microsoft.azuredefender.kubernetes \
--extension-type microsoft.azuredefender.kubernetes \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group> \
Implantar a extensão do Azure Policy
az k8s-extension create \
--name azurepolicy \
--extension-type Microsoft.PolicyInsights \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group>
Pré-requisitos
Requisitos de rede
Valide se os pontos de extremidade a seguir para implantações de nuvem pública estão configurados para acesso de saída. Configurá-los para acesso de saída ajuda a garantir que o sensor do Defender possa se conectar ao Microsoft Defender para Nuvem para enviar dados e eventos de segurança.
Observação
Os domínios Azure *.ods.opinsights.azure.com e *.oms.opinsights.azure.com não são mais necessários para acesso de saída. Para obter mais informações, consulte o anúncio de preterição.
| Domínio do Azure |
Domínio do Azure Governamental |
Domínio do Azure operado pelo 21Vianet |
Port |
| *.cloud.defender.microsoft.com |
Não aplicável |
Não aplicável |
443 |
Você também precisa validar os requisitos de rede do Kubernetes habilitado para Azure Arc.
Clusters GKE privados
Os clusters GKE privados devem permitir acesso HTTPS de saída (TCP 443) aos pontos de extremidade do Microsoft Defender para Nuvem.
Se necessário, configure as regras de firewall para permitir a saída dos nós do cluster.
gcloud compute firewall-rules create allow-azure-defender \
--allow tcp:443 \
--source-ranges <cluster-cidr> \
--target-tags <node-tags>
Considerações específicas do cluster
Clusters GKE padrão
Nenhuma configuração especial é necessária. Siga as etapas de implantação padrão.
Clusters do GKE Autopilot
Para clusters de Autopilot:
- O sensor do Defender ajusta automaticamente as solicitações de recurso.
- Nenhuma configuração manual é necessária para limites de recursos.
Importante
Em clusters do GKE Autopilot, solicitações de recursos e limites para o sensor Defender não podem ser configurados manualmente. O gerenciamento de recursos é controlado pelo GKE Autopilot e não pode ser substituído.
Implantar o sensor do Defender
Para os clusters GKE, os componentes do Defender são implantados como extensões do Azure Arc Kubernetes ao implantá-los manualmente usando o CLI do Azure.
Se o provisionamento automático tiver sido habilitado quando você ativou o plano Defender para Contêineres, o sensor de Defender já poderá estar instalado.
Verifique a implantação antes de executar este comando.
az k8s-extension create \
--name microsoft.azuredefender.kubernetes \
--extension-type microsoft.azuredefender.kubernetes \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group> \
Implantar a extensão do Azure Policy
az k8s-extension create \
--name azurepolicy \
--extension-type Microsoft.PolicyInsights \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group>
Pré-requisitos
Requisitos de rede
Valide se os pontos de extremidade a seguir para implantações de nuvem pública estão configurados para acesso de saída. Configurá-los para acesso de saída ajuda a garantir que o sensor do Defender possa se conectar ao Microsoft Defender para Nuvem para enviar dados e eventos de segurança.
Observação
Os domínios Azure *.ods.opinsights.azure.com e *.oms.opinsights.azure.com não são mais necessários para acesso de saída. Para obter mais informações, consulte o anúncio de preterição.
| Domínio do Azure |
Domínio do Azure Governamental |
Domínio do Azure operado pelo 21Vianet |
Port |
| *.cloud.defender.microsoft.com |
Não aplicável |
Não aplicável |
443 |
Você também precisa validar os requisitos de rede do Kubernetes habilitado para Azure Arc.
Implantar o sensor do Defender
Para clusters do Kubernetes habilitados para Arc, os componentes do Defender são implantados como extensões do Kubernetes pelo Azure Arc.
Se o provisionamento automático tiver sido habilitado quando você ativou o plano Defender para Contêineres, o sensor de Defender já poderá estar instalado.
Verifique a implantação antes de executar este comando.
az k8s-extension create \
--name microsoft.azuredefender.kubernetes \
--extension-type microsoft.azuredefender.kubernetes \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group> \
Implantar a extensão do Azure Policy
az k8s-extension create \
--name azurepolicy \
--extension-type Microsoft.PolicyInsights \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group>