Este artigo explica como implementar o sensor do Microsoft Defender para Containers e a Azure Policy para Kubernetes em clusters, utilizando o CLI do Azure após ativar o plano Defender para Containers no Microsoft Defender para a Cloud.
Para clusters que não estão a correr no Azure Kubernetes Service (AKS), o Defender para a Cloud utiliza Kubernetes com Azure Arc para implementar as extensões necessárias.
Prerequisites
Requisitos de rede
O sensor Defender deve ligar-se ao Microsoft Defender para a Cloud para enviar dados e eventos de segurança. Certifique-se de que os endpoints necessários estão configurados para acesso de saída.
Requisitos de conexão
O sensor Defender precisa de conectividade para:
- Microsoft Defender para a Cloud (para enviar dados e eventos de segurança)
Por predefinição, os clusters do AKS têm acesso à Internet de saída sem restrições.
Para clusters com saída restrita, deve permitir que FQDNs específicos para o Microsoft Defender for Containers funcionem corretamente. Consulte Microsoft Defender for Containers - Regras FQDN/aplicações obrigatórias na documentação de rede de saída do AKS para os endpoints necessários.
Configuração de link privado
Para instruções, consulte o Microsoft Security Private Link for Microsoft Defender para a Cloud.
Implantar o sensor Defender
Se o provisionamento automático estava ativado quando ativaste o plano Defender para Containers, o sensor Defender pode já estar instalado.
Verifique a implementação antes de executar este comando.
Para implantar o sensor Defender num cluster AKS específico:
az aks update \
--resource-group <resource-group> \
--name <aks-cluster-name> \
--enable-defender
Implementar o complemento Azure Policy
Ative o Azure Policy for Kubernetes para avaliar e aplicar as melhores práticas de configuração:
az aks enable-addons \
--addons azure-policy \
--name <aks-cluster-name> \
--resource-group <resource-group>
Prerequisites
Requisitos de rede
Valide se os seguintes pontos de extremidade para implantações de nuvem pública estão configurados para acesso de saída. Configurá-los para acesso de saída ajuda a garantir que o sensor do Defender possa se conectar ao Microsoft Defender para a Cloud para enviar dados e eventos de segurança.
Note
Os domínios Azure *.ods.opinsights.azure.com e *.oms.opinsights.azure.com já não são necessários para o acesso de saída. Para obter mais informações, consulte o anúncio de descontinuação.
| Domínio do Azure |
Domínio do Azure Government |
Azure operado pela 21Vianet Domain |
Port |
| *.cloud.defender.microsoft.com |
N/A |
N/A |
443 |
Você também precisa validar os requisitos de rede do Kubernetes habilitado para Azure Arc.
Implantar o sensor Defender
Para clusters EKS, os componentes Defender são implementados como extensões Azure Arc Kubernetes quando os implementas manualmente usando CLI do Azure.
Se o provisionamento automático estava ativado quando ativaste o plano Defender para Containers, o sensor Defender pode já estar instalado.
Verifique a implementação antes de executar este comando.
az k8s-extension create \
--name microsoft.azuredefender.kubernetes \
--extension-type microsoft.azuredefender.kubernetes \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group> \
Implementar a extensão Azure Policy
az k8s-extension create \
--name azurepolicy \
--extension-type Microsoft.PolicyInsights \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group>
Prerequisites
Requisitos de rede
Valide se os seguintes pontos de extremidade para implementações em nuvem pública estão configurados para acesso externo. Configurá-los para acesso de saída ajuda a garantir que o sensor do Defender possa se conectar ao Microsoft Defender para a Cloud para enviar dados e eventos de segurança.
Note
Os domínios Azure *.ods.opinsights.azure.com e *.oms.opinsights.azure.com já não são necessários para o acesso de saída. Para obter mais informações, consulte o anúncio de descontinuação.
| Domínio do Azure |
Domínio do Azure Government |
Azure operado pelo domínio 21Vianet |
Port |
| *.cloud.defender.microsoft.com |
N/A |
N/A |
443 |
Você também precisa validar os requisitos de rede habilitados com o Azure Arc para Kubernetes.
Clusters GKE privados
Os clusters privados GKE devem permitir o acesso HTTPS de saída (TCP 443) aos endpoints do Microsoft Defender para a Cloud.
Se necessário, configure regras de firewall para permitir a saída dos nós do cluster:
gcloud compute firewall-rules create allow-azure-defender \
--allow tcp:443 \
--source-ranges <cluster-cidr> \
--target-tags <node-tags>
Considerações específicas do cluster
Clusters padrão do GKE
Não é necessária nenhuma configuração especial. Siga os passos padrão de implementação.
Clusters de piloto automático GKE
Para os clusters Autopilot:
- O sensor Defender ajusta automaticamente os pedidos de recursos.
- Não é necessária configuração manual para limites de recursos.
Importante
Nos clusters do Autopilot GKE, os pedidos de recursos e os limites para o sensor Defender não podem ser configurados manualmente. A gestão de recursos é controlada pelo piloto automático GKE e não pode ser anulada.
Implantar o sensor Defender
Para clusters GKE, os componentes do Defender são implementados como extensões Azure Arc Kubernetes quando os implementas manualmente usando o CLI do Azure.
Se o provisionamento automático estava ativado quando ativaste o plano Defender para Containers, o sensor Defender pode já estar instalado.
Verifique a implementação antes de executar este comando.
az k8s-extension create \
--name microsoft.azuredefender.kubernetes \
--extension-type microsoft.azuredefender.kubernetes \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group> \
Implementar a extensão Azure Policy
az k8s-extension create \
--name azurepolicy \
--extension-type Microsoft.PolicyInsights \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group>
Prerequisites
Requisitos de rede
Valide se os seguintes endereços finais para implementações de nuvem pública estão configurados para acesso externo. Configurá-los para acesso de saída ajuda a garantir que o sensor do Defender possa se conectar ao Microsoft Defender para a Cloud para enviar dados e eventos de segurança.
Note
Os domínios Azure *.ods.opinsights.azure.com e *.oms.opinsights.azure.com já não são necessários para o acesso de saída. Para obter mais informações, consulte o anúncio de descontinuação.
| Domínio do Azure |
Domínio do Azure Government |
Azure operado pelo domínio 21Vianet |
Port |
| *.cloud.defender.microsoft.com |
N/A |
N/A |
443 |
Você também precisa validar os requisitos de rede do Kubernetes habilitados para Azure Arc.
Implantar o sensor Defender
Para clusters Kubernetes com funcionalidades do Arc, os componentes do Defender são implementados como extensões do Azure Arc Kubernetes.
Se o provisionamento automático estava ativado quando ativaste o plano Defender para Containers, o sensor Defender pode já estar instalado.
Verifique a implementação antes de executar este comando.
az k8s-extension create \
--name microsoft.azuredefender.kubernetes \
--extension-type microsoft.azuredefender.kubernetes \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group> \
Implementar a extensão Azure Policy
az k8s-extension create \
--name azurepolicy \
--extension-type Microsoft.PolicyInsights \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group>