Для кластеров, которые не работают в Azure Kubernetes Service (AKS), Defender для облака использует Kubernetes с поддержкой Azure Arc для развертывания необходимых расширений.
Prerequisites
Требования к сети
Датчик Defender должен подключиться к Microsoft Defender для облака для отправки данных и событий безопасности. Убедитесь, что необходимые конечные точки настроены для исходящего доступа.
Требования к подключению
Для датчика Defender требуется подключение:
- Microsoft Defender для облака (для отправки данных и событий безопасности)
По умолчанию кластеры AKS имеют неограниченный исходящий доступ к Интернету.
Для кластеров с ограниченными исходящими подключениями необходимо разрешить определенные полные доменные имена (FQDN) для Microsoft Defender для контейнеров, чтобы он функционировал правильно. См. Microsoft Defender для контейнеров — обязательные правила для полных доменных имен/приложения в документации по исходящей сети AKS для получения информации о необходимых конечных точках.
Конфигурация приватного канала
инструкции см. в разделе "Microsoft Security Приватный канал для Microsoft Defender для облака".
Развертывание датчика Defender
Если при включении плана Defender для контейнеров была активирована функция автоматического развертывания, сенсор Defender уже может быть установлен.
Проверьте развертывание перед выполнением этой команды.
Чтобы развернуть датчик Defender в определенном кластере AKS, выполните следующие действия.
az aks update \
--resource-group <resource-group> \
--name <aks-cluster-name> \
--enable-defender
Разверните надстройку Политика Azure
Включите Политика Azure для Kubernetes для оценки и применения рекомендаций по настройке:
az aks enable-addons \
--addons azure-policy \
--name <aks-cluster-name> \
--resource-group <resource-group>
Prerequisites
Требования к сети
Убедитесь, что для общедоступных облачных развертываний настроены следующие конечные точки для исходящего доступа. Настройка для исходящего доступа помогает убедиться, что датчик Defender может подключаться к Microsoft Defender для облака для отправки данных и событий безопасности.
Note
Домены Azure *.ods.opinsights.azure.com и *.oms.opinsights.azure.com больше не требуются для исходящего доступа. Дополнительные сведения см. в объявлении об устаревании.
| Домен Azure |
домен Azure для государственных организаций |
Azure, управляемый доменом 21Vianet |
Port |
| *.cloud.defender.microsoft.com |
N/A |
N/A |
443 |
Кроме того, необходимо проверить требования к сети Kubernetes с поддержкой Azure Arc.
Развертывание датчика Defender
Для кластеров EKS компоненты Defender развертываются вручную через Azure CLI в виде расширений Kubernetes для Azure Arc.
Если автоматическая подготовка была включена при активации плана Defender для контейнеров, сенсор Defender уже может быть установлен.
Проверьте развертывание перед выполнением этой команды.
az k8s-extension create \
--name microsoft.azuredefender.kubernetes \
--extension-type microsoft.azuredefender.kubernetes \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group> \
Развертывание расширения политики Azure
az k8s-extension create \
--name azurepolicy \
--extension-type Microsoft.PolicyInsights \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group>
Prerequisites
Требования к сети
Убедитесь, что для общедоступных облачных развертываний настроены следующие конечные точки для исходящего доступа. Настройка для исходящего доступа помогает убедиться, что датчик Defender может подключаться к Microsoft Defender для облака для отправки данных и событий безопасности.
Note
Домены Azure *.ods.opinsights.azure.com и *.oms.opinsights.azure.com больше не требуются для исходящего доступа. Для получения дополнительной информации, обратитесь к объявлению об устаревании.
| Домен Azure |
домен Azure для государственных организаций |
Azure, управляемый доменом 21Vianet |
Port |
| *.cloud.defender.microsoft.com |
N/A |
N/A |
443 |
Кроме того, необходимо проверить требования к сети Kubernetes с поддержкой Azure Arc.
Частные кластеры GKE
Частные кластеры GKE должны разрешать исходящий доступ HTTPS (TCP 443) к конечным точкам Microsoft Defender для облака.
При необходимости настройте правила брандмауэра, чтобы разрешить исходящий трафик с узлов кластера:
gcloud compute firewall-rules create allow-azure-defender \
--allow tcp:443 \
--source-ranges <cluster-cidr> \
--target-tags <node-tags>
Рекомендации, связанные с кластером
Стандартные кластеры GKE
Специальная конфигурация не требуется. Выполните действия по развертыванию по умолчанию.
Кластеры GKE Autopilot
Для кластеров Автопилот:
- Датчик Defender автоматически настраивает запросы ресурсов.
- Настройка вручную не требуется для ограничений ресурсов.
Important
В кластерах GKE Autopilot запросы ресурсов и ограничения для датчика Defender не могут быть настроены вручную. Управление ресурсами осуществляется GKE Autopilot и не может быть отменено.
Развертывание датчика Defender
Компоненты Defender развертываются в виде расширений Kubernetes Azure Arc для кластеров Google GKE при их развертывании вручную с помощью Azure CLI.
Если автоматическое развертывание было включено при включении плана Defender для контейнеров, датчик Defender уже может быть установлен.
Проверьте развертывание перед выполнением этой команды.
az k8s-extension create \
--name microsoft.azuredefender.kubernetes \
--extension-type microsoft.azuredefender.kubernetes \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group> \
Развертывание расширения политики Azure
az k8s-extension create \
--name azurepolicy \
--extension-type Microsoft.PolicyInsights \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group>
Prerequisites
Требования к сети
Убедитесь, что для общедоступных облачных развертываний настроены следующие конечные точки для исходящего доступа. Настройка для исходящего доступа помогает убедиться, что датчик Defender может подключаться к Microsoft Defender для облака для отправки данных и событий безопасности.
Note
Домены Azure *.ods.opinsights.azure.com и *.oms.opinsights.azure.com больше не требуются для исходящего доступа. Дополнительную информацию см. в объявлении о снятии поддержки.
| Домен Azure |
домен Azure для государственных организаций |
Azure, управляемый доменом 21Vianet |
Port |
| *.cloud.defender.microsoft.com |
N/A |
N/A |
443 |
Кроме того, необходимо проверить требования к сети Kubernetes с поддержкой Azure Arc.
Развертывание датчика Defender
Для кластеров Kubernetes, поддерживающих Arc, компоненты Defender развертываются как расширения Kubernetes Azure Arc.
Если при активации плана Defender для контейнеров было включено автоматическое предоставление, то датчик Defender уже может быть установлен.
Проверьте развертывание перед выполнением этой команды.
az k8s-extension create \
--name microsoft.azuredefender.kubernetes \
--extension-type microsoft.azuredefender.kubernetes \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group> \
Развертывание расширения политики Azure
az k8s-extension create \
--name azurepolicy \
--extension-type Microsoft.PolicyInsights \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group>