Freigeben über


Architektur von Microsoft Defender für Container

Microsoft Defender für Container ist für jede Kubernetes-Umgebung unterschiedlich konzipiert, abhängig davon, in welcher Umgebung sie ausgeführt werden:

  • Azure Kubernetes Service (AKS) - Der verwaltete Dienst von Microsoft für die Entwicklung, Bereitstellung und Verwaltung von containerisierten Anwendungen.

  • Amazon Elastic Kubernetes Service (EKS) in einem verbundenen Amazon Web Services -Konto (AWS) - Der verwaltete Amazon-Dienst zum Ausführen von Kubernetes in AWS, ohne dass Sie Ihre eigene Kubernetes-Steuerungsebene oder -Knoten installieren, betreiben und verwalten müssen.

  • Google Kubernetes Engine (GKE) in einem GCP-Projekt (Connected Google Cloud Platform): Die verwaltete Google-Umgebung zum Bereitstellen, Verwalten und Skalieren von Anwendungen mithilfe der GCP-Infrastruktur.

  • Eine nicht verwaltete Kubernetes-Distribution (mit Azure Arc-fähigen Kubernetes) – CLOUD Native Computing Foundation (CSVF) zertifizierte Kubernetes-Cluster, die lokal oder auf IaaS gehostet werden.

Hinweis

Die Microsoft Defender für Container-Unterstützung für Arc-fähige Kubernetes-Cluster (AWS EKS und GCP GKE) ist eine Previewfunktion.

Um Ihre Kubernetes-Container zu schützen, empfängt und analysiert Microsoft Defender für Container:

  • Überwachungsprotokolle und Sicherheitsereignisse vom API-Server
  • Clusterkonfigurationsinformationen von der Steuerungsebene
  • Workloadkonfiguration von Azure Policy
  • Sicherheitssignale und -ereignisse auf Knotenebene

Weitere Informationen zu den Implementierungsdetails wie z. B. unterstützte Betriebssysteme, Funktionsverfügbarkeit, Proxy für ausgehenden Datenverkehr finden Sie unter Defender for Containers-Featureverfügbarkeit.

Architektur für die einzelnen Kubernetes-Umgebungen

Architekturdiagramm von Defender für Cloud- und AKS-Cluster

Wenn Defender for Cloud einen in Azure Kubernetes Service gehosteten Cluster schützt, erfolgt die Sammlung von Überwachungsprotokolldaten ohne Agent, und die Daten werden automatisch über die Azure-Infrastruktur gesammelt, ohne dass zusätzliche Kosten anfallen oder Konfigurationsüberlegungen erforderlich sind. Diese Komponenten sind erforderlich, um den vollständigen Schutz von Microsoft Defender for Containers zu erhalten:

  • Defender-Sensor: Das DaemonSet, das auf jedem Knoten bereitgestellt wird, sammelt Signale von Hosts mithilfe der eBPF-Technologie und bietet Laufzeitschutz. Der Sensor wird bei einem Log Analytics-Arbeitsbereich registriert und als Datenpipeline verwendet. Die Überwachungsprotokolldaten werden jedoch nicht im Log Analytics-Arbeitsbereich gespeichert. Der Defender-Sensor wird als AKS-Sicherheitsprofil bereitgestellt.
  • Azure Policy für Kubernetes: Damit ist ein Pod gemeint, der den Open-Source-Gatekeeper v3 erweitert und sich als Webhook bei der Kubernetes-Zugangssteuerung registriert sowie das zentrale, konsistente Anwenden von Skalierungs- und Sicherheitsvorkehrungen in Ihren Clustern ermöglicht. Der Azure Policy für Kubernetes-Pod wird als AKS-Add-On bereitgestellt. Sie ist nur auf einem Knoten im Cluster installiert. Weitere Informationen finden Sie unter Schützen Ihrer Kubernetes-Workloads und Grundlegendes zu Azure Policy für Kubernetes-Cluster.

Allgemeine Architektur der Interaktion zwischen Microsoft Defender for Containers, Azure Kubernetes Service und Azure Policy.

Details zur Defender-Sensorkomponente

Podname Namespace Variante Kurze Beschreibung: Funktionen Ressourceneinschränkungen Ausgang erforderlich
microsoft-defender-collector-ds-* kube-system DaemonSet Eine Gruppe von Containern, die sich auf das Sammeln von Inventur- und Sicherheitsereignissen aus der Kubernetes-Umgebung konzentrieren. SYS_ADMIN,
SYS_RESOURCE,
SYS_PTRACE
Arbeitsspeicher: 296 Mi

CPU: 360 m
Nein
microsoft-defender-collector-misc-* kube-system Bereitstellung Eine Gruppe von Containern, die sich auf das Sammeln von Inventur- und Sicherheitsereignissen aus der Kubernetes-Umgebung konzentrieren und nicht an einen bestimmten Knoten gebunden sind. N/V Arbeitsspeicher: 64 Mi

cpu: 60 m
Nein
microsoft-defender-publisher-ds-* kube-system DaemonSet Veröffentlichen Sie die gesammelten Daten im Back-End-Dienst von Microsoft Defender für Container, in dem die Daten verarbeitet und analysiert werden. N/V Arbeitsspeicher: 200Mi

cpu: 60 m
Https: 443

Weitere Informationen zu den Voraussetzungen für ausgehenden Zugriff

* Ressourcengrenzwerte sind nicht konfigurierbar. Weitere Informationen zu Grenzwerten für Kubernetes-Ressourcen finden Sie hier.

Wie funktioniert die Ermittlung ohne Agent für Kubernetes in Azure?

Der Ermittlungsprozess basiert auf Momentaufnahmen, die in Intervallen erstellt werden:

Diagramm der Berechtigungsarchitektur.

Wenn Sie die Erweiterung Agentlose Ermittlung für Kubernetes aktivieren, wird der folgende Prozess ausgeführt:

  • Erstellen:

    • Wenn die Erweiterung über Defender CSPM aktiviert ist, erstellt Defender for Cloud eine Identität in Kundenumgebungen namens CloudPosture/securityOperator/DefenderCSPMSecurityOperator.
    • Wenn die Erweiterung über Defender for Containers aktiviert ist, erstellt Defender for Cloud eine Identität in Kundenumgebungen namens CloudPosture/securityOperator/DefenderForContainersSecurityOperator.
  • Zuweisen: Defender for Cloud weist dieser Identität im Abonnementbereich eine integrierte Rolle namens Kubernetes-Operator ohne Agent zu. Die Rolle enthält die folgenden Berechtigungen:

    • AKS lesen (Microsoft.ContainerService/managedClusters/read)
    • Vertrauenswürdiger Zugriff auf AKS mit den folgenden Berechtigungen:
    • Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/write
    • Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/read
    • Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/delete

    Erfahren Sie mehr über vertrauenswürdigen Zugriff in AKS.

  • Ermitteln: Mithilfe der systemseitig zugewiesenen Identität führt Defender for Cloud eine Ermittlung der AKS-Cluster in Ihrer Umgebung mithilfe von API-Aufrufen an den API-Server von AKS durch.

  • Binden: Sobald ein AKS-Cluster entdeckt wird, führt Defender for Cloud durch Erstellen von ClusterRoleBinding zwischen der erstellten Identität und der Kubernetes-ClusterRole aks:trustedaccessrole:defender-containers:microsoft-defender-operator einen AKS-Bindungsvorgang durch. Die ClusterRole ist über die API sichtbar und gewährt der Datenebene von Defender for Cloud Leseberechtigungen innerhalb des Clusters.

Hinweis

Die kopierte Momentaufnahme verbleibt in derselben Region wie der Cluster.

Nächste Schritte

In dieser Übersicht haben Sie die Architektur der Containersicherheit in Microsoft Defender für Cloud kennengelernt. Informationen zum Aktivieren des Plans finden Sie unter: