Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Este artigo ajuda-o a planear como implementar o Microsoft Defender for Containers em ambientes Kubernetes. Foca-se nos componentes Defender for Containers que são implementados em clusters Kubernetes, incluindo o sensor Defender e o Azure Policy for Kubernetes.
Outras funcionalidades, como acesso ao Registo, acesso à API Kubernetes e proteção contra ameaças sem agente, são ativadas através das definições do plano ou do conector do Defender for Containers.
A bordo do ambiente
Antes de o Defender for Containers poder implementar componentes de cluster, o ambiente Kubernetes deve estar ligado ao Microsoft Defender para a Cloud.
| Meio Ambiente | Percurso de integração |
|---|---|
| AKS | Não é necessário nenhum conector adicional. Os clusters AKS são recursos nativos do Azure. |
| EKS | Onboard AWS para Defender para a Cloud. |
| GKE | Onboard GCP para Defender para a Cloud. |
| Clusters Kubernetes on-premises e outros clusters habilitados para Arc | Ligue o seu cluster Kubernetes existente ao Azure Arc. |
Opções de implantação
| Abordagem de implantação | Descrição |
|---|---|
| Provisionamento automático | Os componentes suportados são implementados automaticamente após o plano Defender for Containers ou as definições relevantes estarem ativadas. |
| Implementação manual | O provisionamento automático é desligado e os componentes suportados são instalados manualmente. |
| Implantação mista | O provisionamento automático está ativado, mas clusters específicos de AKS, EKS ou GKE são excluídos e implementados manualmente. A implementação mista não é suportada para clusters on-premises ou outros Kubernetes ligados diretamente ao Azure Arc. |
Aprovisionamento automático
Com o provisionamento automático ativado, o Microsoft Defender para a Cloud instala os componentes de cluster suportados após o plano Defender for Containers e as definições relevantes estarem ativadas.
Para os clusters AKS, a implementação do sensor do Defender utiliza o add-on Defender AKS. Para os clusters EKS e GKE, a implementação utiliza Azure Arc Kubernetes Extensions nos recursos Kubernetes com suporte Arc criados através do fluxo de conectores AWS ou GCP.
Para clusters on-premises e outros Kubernetes ligados diretamente ao Azure Arc, o cluster deve primeiro estar ligado ao Azure Arc. A implementação utiliza então as extensões Azure Arc Kubernetes depois de ativadas as definições relevantes do Defender para Containers.
Pode personalizar o provisionamento automático de sensores Defender excluindo clusters específicos usando etiquetas antes de ativar o plano Defender para Containers, e depois implantar o sensor manualmente.
Note
As etiquetas de exclusão aplicam-se à implementação automática dos sensores Defender. Não se aplicam a clusters on-premises ou outros Kubernetes ligados diretamente ao Azure Arc.
Com o provisionamento automático, o sensor Defender é instalado após a descoberta do cluster e pode demorar várias horas a ser concluído.
Use a implementação manual ou exclua clusters específicos do provisionamento automático de sensores Defender e implemente manualmente o sensor para instalar imediatamente o sensor Defender.
Implementação manual
Se o provisionamento automático estiver desativado, os componentes do cluster suportados não são implementados automaticamente. Podes implementar manualmente os componentes suportados.
A implementação manual também pode ser usada para a implementação de sensores Defender em clusters excluídos do fornecimento automático de sensores Defender.
Pode implementar componentes manualmente usando um dos seguintes métodos:
Passos pós-implementação
Após a implementação, verifique se os componentes do Defender estão a funcionar corretamente e resolva quaisquer problemas.
Solução de problemas na implementação do Defender para Contentores