Defender for Containers-Architektur

Architekturdiagramm von Defender für Cloud- und AKS-Cluster

Wenn Defender für Cloud einen cluster schützt, der in Azure Kubernetes Service gehostet wird, sammelt er Überwachungsprotokolldaten agentlos und automatisch über die Azure-Infrastruktur ohne zusätzliche Kosten oder Konfigurationsüberlegungen. Um den vollständigen Schutz von Microsoft Defender für Container zu erhalten, benötigen Sie die folgenden Komponenten:

• Defender-Sensor: Ein einfaches DaemonSet, das auf AKS-Knoten bereitgestellt wird, die Laufzeittelemetrie (Kubernetes-Ereignisse, Prozess- und Netzwerkdaten) mithilfe der eBPF-Technologie sammelt. Diese senden die Telemetrie sicher an Defender für Cloud für den Laufzeit-Bedrohungsschutz. Der Sensor registriert sich bei einem Log Analytics-Arbeitsbereich und dient als Datenpipeline. Die Überwachungsprotokolldaten werden jedoch nicht im Log Analytics-Arbeitsbereich gespeichert. Der Defender-Sensor wird als AKS-Sicherheitsprofil bereitgestellt, das nativ in AKS Resource Provider (RP) integriert ist.

• Azure Policy für Kubernetes: Ein Pod, der die Open-Source-Bibliothek Gatekeeper v3 erweitert und sich als Webhook bei der Kubernetes-Zugangskontrolle registriert. Mit diesem Pod können Sie skalierte Erzwingungen und Sicherheitsvorkehrungen auf Ihre Cluster auf eine zentralisierte, konsistente Weise anwenden. Die Azure Policy für Kubernetes-Pods wird als AKS-Erweiterung bereitgestellt, und Sie müssen sie nur auf einem Knoten im Cluster installieren. Sie bietet die Möglichkeit, Konfigurationsregeln zu erzwingen. Weitere Informationen finden Sie unter Schützen Ihrer Kubernetes-Workloads und Grundlegendes zu Azure Policy für Kubernetes-Cluster.

• ACR-Integration: Pushtriggerte und regelmäßige Imagescans für Azure Container Registry, die Sicherheitsrisikobewertung bereitstellen, ohne dass zusätzliche Komponenten erforderlich sind.

• Agentlose Ermittlung: Bietet Einblicke in Ihre Kubernetes-Cluster, ohne dass Agents erforderlich sind, indem Azure native Funktionen zum Ermitteln und Bewerten von Clusterkonfigurationen verwendet werden.

• Agentloses Scannen von Maschinen: Regelmäßige Festplatten-Snapshots von Kubernetes-Knoten zur Durchführung einer separaten, tiefgreifenden Analyse der Betriebssystemkonfiguration und des Dateisystems. Dieses Feature benötigt keine installierten Agents oder Netzwerkkonnektivität und wirkt sich nicht auf die Computerleistung aus.

• Microsoft XDR-Integration: Nahtlose Integration in die erweiterte Erkennungs- und Reaktionsplattform von Microsoft für einheitliche Sicherheitsvorgänge und Reaktion auf Vorfälle.

Details zur Defender-Sensorkomponente

* Ressourcenbeschränkungen können nicht konfiguriert werden. Erfahren Sie mehr über Kubernetes-Ressourcenbeschränkungen.

Wie funktioniert die Ermittlung ohne Agent für Kubernetes in Azure?

Der Ermittlungsprozess verwendet Momentaufnahmen, die in Intervallen erstellt wurden:

Wenn Sie die Erweiterung Agentlose Ermittlung für Kubernetes aktivieren, wird der folgende Prozess ausgeführt:

• Erstellen:

  • Wenn Sie die Erweiterung von Defender CSPM aktivieren, erstellt Defender for Cloud eine Identität in Ihrer Umgebung mit dem Namen CloudPosture/securityOperator/DefenderCSPMSecurityOperator.
  • Wenn Sie die Erweiterung von Defender for Containers aktivieren, erstellt Defender for Cloud in Ihrer Umgebung eine Identität mit dem Namen CloudPosture/securityOperator/DefenderForContainersSecurityOperator.

• Zuweisen: Defender for Cloud weist dieser Identität im Abonnementbereich eine integrierte Rolle namens Kubernetes-Operator ohne Agent zu. Die Rolle enthält die folgenden Berechtigungen:

  • AKS lesen (Microsoft.ContainerService/managedClusters/read)
  • Vertrauenswürdiger Zugriff auf AKS mit den folgenden Berechtigungen:
  • Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/write
  • Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/read
  • Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/delete

  Erfahren Sie mehr über vertrauenswürdigen Zugriff in AKS.

• Entdecken: Mit der zugewiesenen Systemidentität ermittelt Defender für Cloud die AKS-Cluster in Ihrer Umgebung, indem API-Aufrufe an den API-Server von AKS ausgeführt werden.

• Bind: Nachdem ein AKS-Cluster ermittelt wurde, führt Defender für Cloud einen AKS-Bindungsvorgang durch, indem eine ClusterRoleBinding zwischen der erstellten Identität und der Kubernetes-ClusterRoleaks:trustedaccessrole:defender-containers:microsoft-defender-operator erstellt wird. Das ClusterRole ist über die API sichtbar und gibt der Datenebene von Defender for Cloud Leseberechtigung innerhalb des Clusters.

Architekturdiagramm von Defender für Cloud- und Arc-fähigen Kubernetes-Clustern

Um den vollständigen Schutz von Microsoft Defender für Container zu erhalten, benötigen Sie die folgenden Komponenten:

• Azure Arc-fähige Kubernetes – Verbindet Ihre Cluster mit Azure und ermöglicht Defender für Cloud die Bereitstellung von Sicherheitskomponenten als Arc-Erweiterungen.

• Defender-Sensor: Ein einfaches DaemonSet, das auf jedem Knoten bereitgestellt wird, der Laufzeit-Telemetrie (Kubernetes-Ereignisse, Prozess- und Netzwerkdaten) mithilfe der eBPF-Technologie und Kubernetes-Überwachungsprotokolle für den Laufzeit-Bedrohungsschutz sammelt. Der Sensor registriert sich bei einem Log Analytics-Arbeitsbereich und dient als Datenpipeline. Die Überwachungsprotokolldaten werden jedoch nicht im Log Analytics-Arbeitsbereich gespeichert. Sie stellen den Defender-Sensor als Arc-fähige Kubernetes-Erweiterung bereit.

• Azure Policy für Kubernetes: Ein Pod, der die Open-Source-Bibliothek Gatekeeper v3 erweitert und sich als Webhook bei der Kubernetes-Zugangskontrolle registriert. Mit diesem Pod können Sie skalierte Erzwingungen und Sicherheitsvorkehrungen auf Ihre Cluster auf eine zentralisierte, konsistente Weise anwenden. Sie müssen es nur auf einem Knoten im Cluster installieren. Sie bietet die Möglichkeit, Konfigurationsregeln zu erzwingen. Weitere Informationen finden Sie unter Schützen Ihrer Kubernetes-Workloads und Grundlegendes zu Azure Policy für Kubernetes-Cluster.

Architekturdiagramm von Defender für Cloud- und AKS-Cluster

Wenn Defender für Cloud einen cluster schützt, der in Elastic Kubernetes Service gehostet wird, sammelt er Überwachungsprotokolldaten, ohne einen Agent zu verwenden. Um den vollständigen Schutz von Microsoft Defender für Container zu erhalten, benötigen Sie die folgenden Komponenten:

• Kubernetes-Überwachungsprotokolle – CloudWatch des AWS-Kontos ermöglicht und sammelt Überwachungsprotokolldaten über einen agentlosen Sammler und sendet die gesammelten Informationen zur weiteren Analyse an das Microsoft Defender for Cloud-Back-End.

• Azure Arc-fähige Kubernetes – Verbindet Ihre EKS-Cluster mit Azure und ermöglicht Defender for Cloud die Bereitstellung von Sicherheitskomponenten als Arc-Erweiterungen.

• Defender-Sensor: Ein einfaches DaemonSet, das auf jedem Knoten bereitgestellt wird, der Laufzeit-Telemetrie (Kubernetes-Ereignisse, Prozess- und Netzwerkdaten) mithilfe der eBPF-Technologie für den Laufzeit-Bedrohungsschutz sammelt. Der Sensor registriert sich bei einem Log Analytics-Arbeitsbereich und fungiert als Datenpipeline. Die Überwachungsprotokolldaten werden jedoch nicht im Log Analytics-Arbeitsbereich gespeichert. Der Defender-Sensor wird als Arc-fähige Kubernetes-Erweiterung bereitgestellt.

• Azure Policy für Kubernetes: Damit ist ein Pod gemeint, der den Open-Source-Gatekeeper v3 erweitert und sich als Webhook bei der Kubernetes-Zugangssteuerung registriert sowie das zentrale, konsistente Anwenden von Skalierungs- und Sicherheitsvorkehrungen in Ihren Clustern ermöglicht. Die Azure-Richtlinie für Kubernetes-Pod wird als Arc-fähige Kubernetes-Erweiterung bereitgestellt und muss nur auf einem Node im Cluster installiert werden. Sie bietet die Möglichkeit, Konfigurationsregeln zu erzwingen. Weitere Informationen finden Sie unter Schützen Ihrer Kubernetes-Workloads und Grundlegendes zu Azure Policy für Kubernetes-Cluster.

Wie funktioniert die Ermittlung ohne Agent für Kubernetes in AWS?

Der Ermittlungsprozess verwendet Momentaufnahmen, die in Intervallen erstellt wurden:

Wenn Sie die Erweiterung Agentlose Ermittlung für Kubernetes aktivieren, wird der folgende Prozess ausgeführt:

• Erstellen:

  • Fügen Sie die Defender für Cloud-Rolle MDCContainersAgentlessDiscoveryK8sRole zur aws-auth ConfigMap der EKS-Cluster hinzu. Sie können den Namen anpassen.

• Zuweisen: Defender für Cloud weist der Rolle MDCContainersAgentlessDiscoveryK8sRole die folgenden Berechtigungen zu:

  • eks:UpdateClusterConfig
  • eks:DescribeCluster

• Entdecken: Mit der zugewiesenen Systemidentität ermittelt Defender für Cloud die EKS-Cluster in Ihrer Umgebung, indem API-Aufrufe an den API-Server von EKS ausgeführt werden.

Architekturdiagramm von Defender für Cloud und GKE-Clustern

Wenn Defender für Cloud einen Cluster schützt, der im Google Kubernetes-Modul gehostet wird, sammelt er Überwachungsprotokolldaten, ohne einen Agent zu verwenden. Um den vollständigen Schutz von Microsoft Defender für Container zu erhalten, benötigen Sie die folgenden Komponenten:

• Kubernetes-Überwachungsprotokolle – GCP Cloud Logging ermöglicht und sammelt Überwachungsprotokolldaten über einen agentlosen Sammler und sendet die gesammelten Informationen zur weiteren Analyse an das Microsoft Defender für Cloud-Back-End.

• Azure Arc-fähige Kubernetes – Verbindet Ihre GKE-Cluster mit Azure und ermöglicht Defender for Cloud die Bereitstellung von Sicherheitskomponenten als Arc-Erweiterungen.

• Defender-Sensor: Ein einfaches DaemonSet, das auf jedem Knoten bereitgestellt wird, der Laufzeit-Telemetrie (Kubernetes-Ereignisse, Prozess- und Netzwerkdaten) mithilfe der eBPF-Technologie für den Laufzeit-Bedrohungsschutz sammelt. Der Sensor registriert sich bei einem Log Analytics-Arbeitsbereich und dient als Datenpipeline. Die Überwachungsprotokolldaten werden jedoch nicht im Log Analytics-Arbeitsbereich gespeichert. Der Defender-Sensor wird als Arc-fähige Kubernetes-Erweiterung bereitgestellt.

• Azure Policy für Kubernetes: Damit ist ein Pod gemeint, der den Open-Source-Gatekeeper v3 erweitert und sich als Webhook bei der Kubernetes-Zugangssteuerung registriert sowie das zentrale, konsistente Anwenden von Skalierungs- und Sicherheitsvorkehrungen in Ihren Clustern ermöglicht. Der Azure Policy for Kubernetes-Pod wird als Arc-fähige Kubernetes-Erweiterung bereitgestellt und muss nur auf einem Knoten im Cluster installiert werden. Sie bietet die Möglichkeit, Konfigurationsregeln zu erzwingen. Weitere Informationen finden Sie unter Schützen Ihrer Kubernetes-Workloads und Grundlegendes zu Azure Policy für Kubernetes-Cluster.

Wie funktioniert die Ermittlung ohne Agent für Kubernetes in GCP?

Der Ermittlungsprozess verwendet Momentaufnahmen, die in Intervallen erstellt wurden:

Wenn Sie die Erweiterung Agentlose Ermittlung für Kubernetes aktivieren, wird der folgende Prozess ausgeführt:

• Erstellen:

  • Das Dienstkonto mdc-containers-k8s-operator wird erstellt. Sie können den Namen anpassen.

• Zuweisen: Defender für Cloud fügt die folgenden Rollen an das Dienstkonto mdc-containers-k8s-operator an:

  • Die benutzerdefinierte Rolle MDCGkeClusterWriteRole, die über die container.clusters.update-Berechtigung verfügt
  • Die integrierte Rolle container.viewer

• Entdecken: Mit der zugewiesenen Systemidentität ermittelt Defender für Cloud die GKE-Cluster in Ihrer Umgebung, indem API-Aufrufe an den API-Server von GKE ausgeführt werden.