Este artigo explica como desativar o Microsoft Defender para Containers e remover os seus componentes por ambiente.
Desligar o plano Defender for Containers ou desativar o provisionamento automático impede futuras implementações, mas não desinstala componentes do Defender que já estão implantados em clusters. Esses componentes são removidos separadamente.
O que deixa de funcionar após a remoção
Depois de remover componentes do Defender for Containers de um cluster AKS:
A deteção de ameaças em tempo de execução com base na telemetria dos sensores do Defender é interrompida.
As recomendações de segurança do Kubernetes relacionadas com a Azure Policy para Kubernetes pararam de ser atualizadas.
Alertas baseados em sinais de execução do AKS e dados de auditoria Kubernetes deixam de ser gerados.
Novas descobertas de vulnerabilidade de imagens de contentores para imagens no Azure Container Registry (ACR) já não são geradas para este ambiente.
Desativar o plano Defender para Contentores
Inicie sessão no portal Azure.
Vai a Microsoft Defender para Cloud>Definições de ambiente.
Selecione a subscrição que contém os seus clusters AKS.
Na página de planos do Defender, altere Containers para Desativado.
Selecione Guardar.
Remover extensões do Defender dos clusters AKS
Remover o perfil Defender for Containers do cluster AKS
az aks update \
--name <cluster-name> \
--resource-group <resource-group> \
--disable-defender
Desativar o complemento Azure Policy
az aks disable-addons \
--addons azure-policy \
--name <cluster-name> \
--resource-group <resource-group>
Verificar remoção
Verifique os pods do cluster AKS
kubectl get pods -A | grep defender
Nenhum recurso deve ser devolvido.
Verificar o estado do plano
az security pricing show --name 'Containers'
A saída deve aparecer pricingTier como Free.
O que deixa de funcionar após a remoção
Depois de remover componentes do Defender for Containers de um cluster EKS:
A deteção de ameaças em tempo de execução pelo sensor Defender ativado através do Azure Arc para.
As recomendações de segurança da Kubernetes para esse cluster deixam de atualizar.
Alertas baseados em sinais de execução e auditoria do Kubernetes deixam de ser gerados.
As descobertas de vulnerabilidades em imagens de contentores na Amazon ECR deixam de ser atualizadas para este ambiente.
As descobertas sem agente e as deteções baseadas em plano de controlo param se as permissões e integrações relacionadas do lado AWS forem removidas.
Remover extensões do Defender dos clusters EKS
O Defender for Containers implementa componentes em clusters EKS utilizando Kubernetes com Azure Arc. Os passos seguintes removem essas extensões Arc.
Remover a extensão Defender
az k8s-extension delete \
--name microsoft.azuredefender.kubernetes \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group> \
--yes
Remover a extensão Azure Policy (se estiver instalada)
az k8s-extension delete \
--name azurepolicy \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group> \
--yes
Desconectar clusters do Azure Arc
Note
Desligar um cluster do Azure Arc remove o acesso a todas as extensões do Arc, não apenas ao Defender for Containers.
az connectedk8s delete \
--name <cluster-name> \
--resource-group <resource-group> \
--yes
Desative o plano do Defender for Containers no conector da AWS
Inicie sessão no portal Azure.
Vai a Microsoft Defender para Cloud>Definições de ambiente.
Selecione o conector AWS relevante.
Selecione Definições.
Alterar Contentores para Desativado.
Selecione Guardar.
Eliminar o conector AWS (opcional)
Se já não quiser que o Defender para a Cloud monitorize a sua conta AWS:
Inicie sessão no portal Azure.
Vai a Microsoft Defender para Cloud>Definições de ambiente.
Encontra o teu conector AWS.
Selecione as reticências (...).
Selecione Eliminar.
Confirmar eliminação.
Remover recursos AWS criados para proteção em tempo de execução (opcional)
Remova estes recursos apenas se a proteção contra ameaças em tempo de execução para o EKS estiver ativada e deixar de usar o Defender para Containers nesse cluster.
Note
Estes recursos são criados por cluster. Se os remover enquanto a proteção em tempo de execução ainda está ativada, a recolha de dados pode parar.
Remover funções AWS IAM e fornecedores de identidade (opcional)
Se estiver a desativar completamente a sua conta AWS do Microsoft Defender para a Cloud, pode eliminar manualmente as funções IAM e os provedores de identidade criados durante a integração.
Use a consola AWS ou CLI para eliminar os seguintes papéis, se existirem:
MDCContainersImageAssessmentRoleMDCContainersK8sRoleMDCContainersK8sDataCollectionRoleMDCContainersK8sCloudWatchToKinesisRoleMDCContainersK8sKinesisToS3RoleNameMDCContainersAgentlessDiscoveryK8sRole
Warning
Só elimine o fornecedor de ASCDefendersOIDCIdentityProvider OpenID Connect se estiver a remover todos os componentes Defender para a Cloud desta conta AWS. Eliminar este componente partilhado afetará outros planos do Defender para a Cloud.
Verificar remoção
Verificar extensões do Azure Arc
az k8s-extension list \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group>
Confirme que microsoft.azuredefender.kubernetes não está listado.
Verifique os pods do cluster EKS
kubectl get pods -n mdc
Nenhum recurso deve ser devolvido.
O que deixa de funcionar após a remoção
Depois de remover componentes do Defender for Containers de um cluster GKE:
A deteção de ameaças em tempo de execução pelo sensor Defender ativado através do Azure Arc para.
As recomendações de segurança da Kubernetes para esse cluster deixam de atualizar.
Alertas baseados em sinais de execução e auditoria do Kubernetes deixam de ser gerados.
As descobertas de vulnerabilidades de imagens de contentores para imagens no Google Container Registry ou no Artifact Registry deixam de ser atualizadas neste ambiente.
Remover extensões do Defender dos clusters GKE
Remover a extensão Defender
az k8s-extension delete \
--name microsoft.azuredefender.kubernetes \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group> \
--yes
Remover a extensão Azure Policy (se estiver instalada)
az k8s-extension delete \
--name azurepolicy \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group> \
--yes
Desconectar clusters GKE do Azure Arc
Note
Desligar um cluster do Azure Arc remove o acesso a todas as extensões do Arc, não apenas ao Defender for Containers.
az connectedk8s delete \
--name <cluster-name> \
--resource-group <resource-group> \
--yes
Desativar o plano Defender for Containers no conector GCP
Inicie sessão no portal Azure.
Vai a Microsoft Defender para Cloud>Definições de ambiente.
Selecione o conector GCP relevante.
Selecione Definições.
Alterar Contentores para Desativado.
Selecione Guardar.
Eliminar o conector GCP (opcional)
Vai a Microsoft Defender para Cloud>Definições de ambiente.
Encontra o teu conector GCP.
Seleciona o ... (mais opções) menu.
Selecione Eliminar.
Confirmar eliminação.
Remover recursos GCP criados para proteção em tempo de execução (opcional)
Remova estes recursos apenas se a proteção contra ameaças em tempo de execução para GKE estiver ativada e deixar de usar o Defender para Containers nesse projeto.
Remover contas e funções de serviço GCP (opcional)
Se estiveres a desligar completamente o teu projeto GCP do Microsoft Defender para a Cloud, podes eliminar manualmente as contas de serviço e os papéis criados durante a integração.
Use a consola Google Cloud ou a CLI gcloud para eliminar as seguintes contas de serviço:
ms-defender-containersms-defender-containers-streammdc-containers-k8s-operatormdc-containers-artifact-assess
Elimine os seguintes papéis personalizados:
MicrosoftDefenderContainersDataCollectionRoleMicrosoftDefenderContainersRoleMDCGkeClusterWriteRole
Warning
Só elimine os fornecedores de pool de identidade de carga de trabalho OIDC containers e containers-streams se estiver a remover todos os componentes do Defender para a Cloud. São componentes partilhados. Além disso, certifique-se de que nenhum outro serviço não Defender está a usar a API logging.googleapis.com antes de a desativar.
Verificar remoção
Verificar extensões do Azure Arc
az k8s-extension list \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group>
Confirme que microsoft.azuredefender.kubernetes não está listado.
Verifique os pods do cluster GKE
kubectl get pods -n mdc
Nenhum recurso deve ser devolvido.
Consulte o portal do Azure
Inicie sessão no portal Azure.
Vai a Microsoft Defender para Cloud>Definições de ambiente.
Verifica se o conector GCP está removido ou mostra os Contentores como desativados.
Verifique se não aparecem recomendações relacionadas com a GKE.
O que deixa de funcionar após a remoção
Depois de remover componentes do Defender for Containers de um cluster Kubernetes com Arc:
A deteção de ameaças em tempo de execução pelo sensor do Defender é interrompida.
As recomendações de segurança da Kubernetes para esse cluster deixam de atualizar.
Alertas baseados em sinais de execução e auditoria do Kubernetes deixam de ser gerados.
As avaliações de configuração baseadas no Azure Policy para cargas de trabalho do Kubernetes são interrompidas se a extensão Azure Policy for removida.
Desativar o plano Defender para Contentores
Inicie sessão no portal Azure.
Vai a Microsoft Defender para Cloud>Definições de ambiente.
Selecione a subscrição que contém os seus clusters Kubernetes habilitados para Arc.
Na página de planos do Defender, altere Containers para Desativado.
Selecione Guardar.
Remover extensões do Defender de clusters ativados com Arc
Remover a extensão Defender
az k8s-extension delete \
--name microsoft.azuredefender.kubernetes \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group> \
--yes
Remover a extensão Azure Policy (se estiver instalada)
az k8s-extension delete \
--name azurepolicy \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group> \
--yes
Desconectar o cluster do Azure Arc (opcional)
Note
Desligar um cluster do Azure Arc remove o acesso a todas as extensões do Arc, não apenas ao Defender for Containers.
az connectedk8s delete \
--name <cluster-name> \
--resource-group <resource-group> \
--yes
Verificar remoção
Verificar extensões do Azure Arc
az k8s-extension list \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group>
Confirme que microsoft.azuredefender.kubernetes não está listado.
Verifique os pods de cluster com suporte Arc
kubectl get pods -n mdc
Nenhum recurso deve ser devolvido.