Sdílet prostřednictvím


Architektura Defenderu pro kontejnery

Defender for Containers je pro každé prostředí Kubernetes navržený jinak, ať už běží:

  • Azure Kubernetes Service (AKS) – spravovaná služba Microsoftu pro vývoj, nasazování a správu kontejnerizovaných aplikací.

  • Amazon Elastic Kubernetes Service (EKS) v připojeném účtu Amazon Web Services (AWS) – spravovaná služba Amazonu pro spouštění Kubernetes na AWS bez nutnosti instalovat, provozovat a udržovat vlastní řídicí rovinu nebo uzly Kubernetes.

  • Google Kubernetes Engine (GKE) v připojeném projektu Google Cloud Platform (GCP) – spravované prostředí Google pro nasazování, správu a škálování aplikací pomocí infrastruktury GCP.

  • Nespravovaná distribuce Kubernetes (pomocí Kubernetes s podporou Azure Arc) – Cloud Native Computing Foundation (CNCF) certifikovaných clusterů Kubernetes hostovaných místně nebo v IaaS.

Poznámka:

Podpora defenderu for Containers pro clustery Kubernetes s podporou Arc (AWS EKS a GCP GKE) je funkce Preview.

Pokud chcete chránit kontejnery Kubernetes, Defender for Containers přijímá a analyzuje:

  • Protokoly auditu a události zabezpečení ze serveru rozhraní API
  • Informace o konfiguraci clusteru z řídicí roviny
  • Konfigurace úloh ze služby Azure Policy
  • Signály zabezpečení a události na úrovni uzlu

Další informace o podrobnostech implementace, jako jsou podporované operační systémy, dostupnost funkcí, odchozí proxy server, najdete v tématu Dostupnost funkcí Defenderu pro kontejnery.

Architektura pro každé prostředí Kubernetes

Diagram architektury clusterů Defenderu pro cloud a AKS

Když Defender pro cloud chrání cluster hostovaný ve službě Azure Kubernetes Service, shromažďování dat protokolu auditu je bez agentů a shromažďuje se automaticky prostřednictvím infrastruktury Azure bez dalších nákladů ani konfigurace. Jedná se o požadované komponenty pro získání úplné ochrany, kterou nabízí Microsoft Defender for Containers:

  • Senzor defenderu: DaemonSet, který je nasazený na každém uzlu, shromažďuje signály od hostitelů pomocí technologie eBPF a poskytuje ochranu za běhu. Senzor je zaregistrovaný v pracovním prostoru služby Log Analytics a používá se jako datový kanál. Data protokolu auditu ale nejsou uložená v pracovním prostoru služby Log Analytics. Senzor Defenderu se nasadí jako profil zabezpečení AKS.
  • Azure Policy pro Kubernetes: Pod, který rozšiřuje opensourcový Gatekeeper v3 a zaregistruje se jako webový háček na řízení přístupu Kubernetes, který umožňuje použít vynucení ve velkém měřítku a bezpečnostní opatření v clusterech centralizovaným a konzistentním způsobem. Pod Azure Policy pro Kubernetes se nasadí jako doplněk AKS. Je nainstalovaný jenom na jednom uzlu v clusteru. Další informace najdete v tématu Ochrana úloh Kubernetes a vysvětlení azure Policy pro clustery Kubernetes.

Diagram architektury vysoké úrovně interakce mezi Microsoft Defenderem pro kontejnery, službou Azure Kubernetes Service a Službou Azure Policy

Podrobnosti o komponentě senzoru Defenderu

Název podu Obor názvů Kind Short Description Možnosti Omezení prostředků Požadováno výchozí přenos dat
microsoft-defender-collector-ds-* kube-system DaemonSet Sadakontejnerůch SYS_ADMIN,
SYS_RESOURCE,
SYS_PTRACE
paměť: 296Mi

cpu: 360m
No
microsoft-defender-collector-misc-* kube-system Nasazení Sada kontejnerů, které se zaměřují na shromažďování událostí inventáře a zabezpečení z prostředí Kubernetes, které nejsou vázané na konkrétní uzel. paměť: 64Mi

cpu: 60m
No
microsoft-defender-publisher-ds-* kube-system DaemonSet Publikujte shromážděná data do back-endové služby Microsoft Defender for Containers, ve které se budou data zpracovávat a analyzovat. paměť: 200Mi

cpu: 60m
Https 443

Další informace o požadavcích na odchozí přístup

* Limity prostředků nejsou konfigurovatelné; Přečtěte si další informace o omezeních prostředků Kubernetes.

Jak funguje zjišťování bez agentů pro Kubernetes v Azure?

Proces zjišťování vychází ze snímků pořízených v intervalech:

Diagram architektury oprávnění

Když povolíte zjišťování bez agentů pro rozšíření Kubernetes, dojde k následujícímu procesu:

  • Vytvořit:

    • Pokud je rozšíření v programu Defender CSPM povolené, vytvoří Defender pro cloud identitu v prostředích zákazníka.CloudPosture/securityOperator/DefenderCSPMSecurityOperator
    • Pokud je rozšíření povolené z defenderu pro kontejnery, Vytvoří Defender pro cloud identitu v prostředích zákazníka.CloudPosture/securityOperator/DefenderForContainersSecurityOperator
  • Přiřazení: Defender pro cloud přiřadí této identitě v oboru předplatného předdefinované role označované jako operátor Kubernetes Agentless. Role obsahuje následující oprávnění:

    • Čtení AKS (Microsoft.ContainerService/managedClusters/read)
    • Důvěryhodný přístup AKS s následujícími oprávněními:
    • Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/write
    • Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/read
    • Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/delete

    Přečtěte si další informace o důvěryhodném přístupu AKS.

  • Zjišťování: Pomocí identity přiřazené systémem provede Defender for Cloud zjišťování clusterů AKS ve vašem prostředí pomocí volání rozhraní API na server AKS.

  • Vazba: Při zjišťování clusteru AKS provede Defender pro cloud operaci vazby AKS vytvořením ClusterRoleBinding mezi vytvořenou identitou aks ClusterRole :trustedaccessrole:defender-containers:microsoft-defender-operator. Je ClusterRole viditelný prostřednictvím rozhraní API a dává Defenderu pro cloudovou rovinu oprávnění ke čtení v clusteru.

Poznámka:

Zkopírovaný snímek zůstane ve stejné oblasti jako cluster.

Další kroky

V tomto přehledu jste se seznámili s architekturou zabezpečení kontejnerů v programu Microsoft Defender for Cloud. Pokud chcete plán povolit, přečtěte si: