Defender для архитектуры контейнеров

Схема архитектуры Defender для облака и кластеров AKS

Если Defender для облака защищает кластер, размещенный в Служба Azure Kubernetes, сбор данных журнала аудита без агента и автоматически собирается через инфраструктуру Azure без дополнительных затрат или рекомендаций по настройке. Это необходимые компоненты для получения полной защиты, предоставляемой Microsoft Defender для контейнеров:

• Датчик Defender: DaemonSet, развернутый на каждом узле, собирает сигналы от узлов с помощью технологии eBPF и обеспечивает защиту среды выполнения. Датчик регистрируется в рабочей области Log Analytics и используется в качестве конвейера данных. Но данные журнала аудита не хранятся в рабочей области Log Analytics. Датчик Defender развертывается в качестве профиля безопасности AKS.
• Политика Azure для Kubernetes: модуль pod, расширяющий шлюз с открытым исходным кодом версии 3 и регистрируемый в качестве веб-перехватчика в Kubernetes контроль допуска, что позволяет применять масштабируемые принудительное применение и защищать кластеры централизованно, согласованно. Политика Azure для pod Kubernetes развертывается как надстройка AKS. Он установлен только на одном узле в кластере. Дополнительные сведения см. в статье "Защита рабочих нагрузок Kubernetes" и "Общие сведения о Политика Azure для кластеров Kubernetes".

Сведения о компоненте датчика Defender

* Ограничения ресурсов не настраивается; Дополнительные сведения об ограничениях ресурсов Kubernetes.

Как работает обнаружение без агента для Kubernetes в Azure?

Процесс обнаружения основан на моментальных снимках, сделанных через интервалы:

Если включить обнаружение без агента для расширения Kubernetes, происходит следующий процесс:

• Создание.

  • Если расширение включено из CSPM Defender, Defender для облака создает удостоверение в клиентских средахCloudPosture/securityOperator/DefenderCSPMSecurityOperator.
  • Если расширение включено из Defender для контейнеров, Defender для облака создает удостоверение в клиентских средахCloudPosture/securityOperator/DefenderForContainersSecurityOperator.

• Назначение: Defender для облака назначает встроенную роль с именем "Оператор без агента Kubernetes" для этого удостоверения в области подписки. Роль содержит следующие разрешения:

  • AKS read (Microsoft.ContainerService/managedClusters/read)
  • Доверенный доступ AKS со следующими разрешениями:
  • Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/write
  • Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/read
  • Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/delete

  Дополнительные сведения об доверенном доступе AKS.

• Обнаружение. Использование назначаемого системой удостоверения Defender для облака выполняет обнаружение кластеров AKS в вашей среде с помощью вызовов API к серверу API AKS.

• Привязка. При обнаружении кластера AKS Defender для облака выполняет операцию привязки AKS, создав между ClusterRoleBinding созданным удостоверением и kubernetes ClusterRole aks:trustedaccessrole:defender-containers:microsoft-defender-operator. Отображается ClusterRole через API и предоставляет Defender для облака разрешение на чтение плоскости данных внутри кластера.

Схема архитектуры Defender для облака и кластеров Kubernetes с поддержкой Arc

Ниже описаны компоненты, необходимые для получения полной защиты, предлагаемой Microsoft Defender для контейнеров:

• Kubernetes с поддержкой Azure Arc — Kubernetes с поддержкой Azure Arc — решение на основе датчика, установленное на одном узле в кластере, которое подключает кластеры к Defender для облака. Defender для облака затем сможет развернуть следующие два агента как Расширения Arc:

• Датчик Defender: DaemonSet, развернутый на каждом узле, собирает сигналы узла с помощью технологии eBPF и журналов аудита Kubernetes, чтобы обеспечить защиту среды выполнения. Датчик регистрируется в рабочей области Log Analytics и используется в качестве конвейера данных. Но данные журнала аудита не хранятся в рабочей области Log Analytics. Датчик Defender развертывается как расширение Kubernetes с поддержкой Arc.

• Политика Azure для Kubernetes: модуль pod, расширяющий шлюз с открытым исходным кодом версии 3 и регистрируемый в качестве веб-перехватчика в Kubernetes контроль допуска, что позволяет применять масштабируемые принудительное применение и защищать кластеры централизованно, согласованно. Он установлен только на одном узле в кластере. Дополнительные сведения см. в статье "Защита рабочих нагрузок Kubernetes" и "Общие сведения о Политика Azure для кластеров Kubernetes".

Схема архитектуры Defender для облака и кластеров EKS

Если Defender для облака защищает кластер, размещенный в службе Elastic Kubernetes, сбор данных журнала аудита не является агентом. Это необходимые компоненты для получения полной защиты, предоставляемой Microsoft Defender для контейнеров:

• Журналы аудита Kubernetes. CloudWatch учетной записи AWS обеспечивает запись и сбор данных журнала аудита с помощью безагентного сборщика и отправляет собранные сведения в серверную часть Microsoft Defender для облака для дальнейшего анализа.
• Kubernetes с поддержкой Azure Arc — Kubernetes с поддержкой Azure Arc — решение на основе датчика, установленное на одном узле в кластере, которое подключает кластеры к Defender для облака. Defender для облака затем сможет развернуть следующие два агента как Расширения Arc:
• Датчик Defender: DaemonSet, развернутый на каждом узле, собирает сигналы от узлов с помощью технологии eBPF и обеспечивает защиту среды выполнения. Датчик регистрируется в рабочей области Log Analytics и используется в качестве конвейера данных. Но данные журнала аудита не хранятся в рабочей области Log Analytics. Датчик Defender развертывается как расширение Kubernetes с поддержкой Arc.
• Политика Azure для Kubernetes: модуль pod, расширяющий шлюз с открытым исходным кодом версии 3 и регистрируемый в качестве веб-перехватчика в Kubernetes контроль допуска, что позволяет применять масштабируемые принудительное применение и защищать кластеры централизованно, согласованно. Политика Azure для pod Kubernetes развертывается как расширение Kubernetes с поддержкой Arc. Он установлен только на одном узле в кластере. Дополнительные сведения см. в статье "Защита рабочих нагрузок Kubernetes" и "Общие сведения о Политика Azure для кластеров Kubernetes".

Как работает обнаружение без агента для Kubernetes в AWS?

Процесс обнаружения основан на моментальных снимках, сделанных через интервалы:

Если включить обнаружение без агента для расширения Kubernetes, происходит следующий процесс:

• Создание.

  • Необходимо добавить Defender для облака роль MDCContainersAgentlessDiscoveryK8sRole в конфигурацию aws-auth кластеров EKS. Имя можно настроить.

• Назначение: Defender для облака назначает роль MDCContainersAgentlessDiscoveryK8sRole следующими разрешениями:

  • eks:UpdateClusterConfig
  • eks:DescribeCluster

• Обнаружение. Использование назначенного системой удостоверения Defender для облака выполняет обнаружение кластеров EKS в вашей среде с помощью вызовов API к серверу API EKS.

Схема архитектуры Defender для облака и кластеров GKE

Если Defender для облака защищает кластер, размещенный в подсистеме Google Kubernetes, сбор данных журнала аудита не является агентом. Это необходимые компоненты для получения полной защиты, предоставляемой Microsoft Defender для контейнеров:

• Журналы аудита Kubernetes.GCP Cloud Logging позволяет собирать данные журналов аудита с помощью сборщика без агента и отправлять собранные сведения в защитник Майкрософт для облачной серверной части для дальнейшего анализа.

• Kubernetes с поддержкой Azure Arc — Kubernetes с поддержкой Azure Arc — решение на основе датчиков, установленное на одном узле в кластере, которое позволяет кластерам подключаться к Defender для облака. Defender для облака затем сможет развернуть следующие два агента как Расширения Arc:

• Датчик Defender: DaemonSet, развернутый на каждом узле, собирает сигналы от узлов с помощью технологии eBPF и обеспечивает защиту среды выполнения. Датчик регистрируется в рабочей области Log Analytics и используется в качестве конвейера данных. Но данные журнала аудита не хранятся в рабочей области Log Analytics.

• Политика Azure для Kubernetes: модуль pod, расширяющий шлюз с открытым исходным кодом версии 3 и регистрируемый в качестве веб-перехватчика в Kubernetes контроль допуска, что позволяет применять масштабируемые принудительное применение и защищать кластеры централизованно, согласованно. Политика Azure для pod Kubernetes развертывается как расширение Kubernetes с поддержкой Arc. Его необходимо установить только на одном узле в кластере. Дополнительные сведения см. в статье "Защита рабочих нагрузок Kubernetes" и "Общие сведения о Политика Azure для кластеров Kubernetes".

Как работает обнаружение без агента для Kubernetes в GCP?

Процесс обнаружения основан на моментальных снимках, сделанных через интервалы:

Если включить обнаружение без агента для расширения Kubernetes, происходит следующий процесс:

• Создание.

  • Создается оператор mdc-containers-k8s-operator. Имя можно настроить.

• Назначение: Defender для облака присоединяет следующие роли к учетной записи службы mdc-containers-k8s-operator:

  • Пользовательская роль MDCGkeClusterWriteRole, которая имеет container.clusters.update разрешение
  • Встроенная роль container.viewer

• Обнаружение. Использование назначаемого системой удостоверения Defender для облака выполняет обнаружение кластеров GKE в вашей среде с помощью вызовов API к серверу API GKE.