Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Microsoft Defender для контейнеров предоставляет расширенные возможности защиты от угроз и безопасности для контейнерных сред на нескольких платформах. Это руководство поможет выбрать правильный путь развертывания для среды Kubernetes.
Поддерживаемые среды
Defender для контейнеров поддерживает следующие среды Kubernetes:
- Azure (AKS) — Служба Azure Kubernetes
- AWS (EKS) — Amazon Elastic Kubernetes Service
- GCP (GKE) — Google Kubernetes Engine
- Kubernetes с поддержкой Arc (предварительная версия) — кластеры Kubernetes на локальных и IaaS платформах
Выбор пути развертывания
Выберите руководство по развертыванию, соответствующее среде Kubernetes:
Azure (AKS)
Для кластеров службы Azure Kubernetes служба Defender для контейнеров предоставляет:
- Встроенная интеграция со службами Azure
- Автоматическое развертывание по всем кластерам в подписке
- Соединитель между облаками не требуется
- Функции оценки уязвимостей (VA), включая сканирование реестра для реестра контейнеров Azure
- Функции управления позиционированием безопасности, включая защиту программного обеспечения контейнеров в цепочке поставок.
- Функции защиты среды выполнения, включая исследование обнаружения и реагирование, интегрированные в Microsoft XDR
- Функции защиты цепочки поставки программного обеспечения контейнеров, включая управляемое развертывание образов контейнеров
AWS (EKS)
Для кластеров Amazon Elastic Kubernetes Service, Defender для контейнеров предоставляет:
- Централизованное управление безопасностью в Defender для облака
- Развертывание с использованием коннектора AWS, включая поддержку шаблона CloudFormation
- Функции оценки уязвимостей (VA), включая сканирование реестра для эластичного реестра контейнеров (ECR)
- Функции управления состоянием безопасности
- Функции защиты среды выполнения, включая исследование обнаружения и реагирование, интегрированные в Microsoft XDR
- Функции защиты цепочки поставки программного обеспечения контейнеров, включая управляемое развертывание образов контейнеров
GCP (GKE)
Для кластеров Google Kubernetes Engine предоставляется Defender для контейнеров:
- Централизованное управление безопасностью в Defender для облака
- Развертывание на основе коннекторов GCP
- Поддержка GKE Autopilot
- Функции оценки уязвимостей (VA), включая сканирование реестра для Реестра контейнеров Google (GCR) и Реестра артефактов Google (GAR)
- Функции управления состоянием безопасности
- Функции защиты среды выполнения, включая исследование обнаружения и реагирование, интегрированные в Microsoft XDR
- Функции защиты цепочки поставки программного обеспечения контейнеров, включая управляемое развертывание образов контейнеров
Kubernetes с поддержкой Arc (предварительная версия)
Для локальных кластеров Kubernetes и кластеров IaaS, подключенных через Azure Arc, Defender для контейнеров предоставляет:
- Гибридное управление безопасностью облака
- Централизованная безопасность через Azure
- Работает с дистрибутивами Kubernetes с сертификацией CNCF
- Функции защиты цепочки поставки программного обеспечения контейнеров, включая управляемое развертывание образов контейнеров
Предпосылки
Перед развертыванием Defender для контейнеров убедитесь, что у вас есть:
- Активная подписка Azure
- Роль владельца или участника в подписке
- Кластер Kubernetes версии 1.19 или более поздней версии
- Сетевое подключение к службам Azure
- Сведения о возможностях на основе датчиков: достаточные ресурсы кластера для компонентов Defender — сведения о компоненте датчика Defender
- Включите издателя OpenId Connect (OIDC) для кластера.
Замечание
Безагентные возможности не требуют использования кластерных ресурсов или установки датчиков. Подробный список поддерживаемых функций, а также их доступность и характеристики, см. в матрице поддержки Defender для контейнеров. Матрица поддержки указывает, является ли каждая функция без агента или датчиком в столбце метода включения .
Параметры активации и развертывания
Defender для контейнеров включает два основных шага:
Включение плана — вы можете включить план с помощью следующих возможностей:
- Портал Azure
- Программно (Azure CLI, REST API, PowerShell)
Развертывание датчика
- Встроенное дополнение AKS: можно развернуть с помощью:
- Портал Azure
- Программно (Azure CLI, REST API, IaC templates)
- Развертывание Helm-чартов
- Встроенное дополнение AKS: можно развернуть с помощью:
Просмотр текущего покрытия
Защитник для облака предоставляет доступ к рабочим тетрадям через рабочие тетради Azure. Рабочие тетради — это настраиваемые отчеты, предоставляющие аналитические сведения о положении дел в безопасности.
Книга покрытия помогает понять текущее покрытие, показывая, какие планы включены в подписках и ресурсах.
Дальнейшие шаги
Выберите среду для начала работы:
- Развертывание в Azure (AKS) — для собственных развертываний Azure
- Развертывание в Kubernetes с поддержкой Arc — для гибридной и локальной среды
- Развертывание в AWS (EKS) — для кластеров Amazon EKS
- Развертывание в GCP (GKE) — для кластеров Google GKE
Сравнение функций в разных средах см. в матрице поддержки Defender for Containers.