Übersicht über den Defender for Cloud-Schutz für Kubernetes-Knoten

Neben der Steuerungsebene und den Workloads des Kubernetes-Clusters schützt Defender for Cloud auch die Sicherheit und Compliance der Kubernetes-Knoten in Kubernetes-Multiclouddiensten von Kunden.

Schutz für Kubernetes-Knoten

Kubernetes-Knoten sind VMs, die vom Kubernetes-Dienst der Cloudumgebung erstellt werden, um die Steuerungsebene und Workloads des Kubernetes-Clusters auszuführen. Die Knotenpools (oder Knotengruppen) eines Clusters sind eine gemeinsam verwaltete Gruppe identischer VM-Typen und -Versionen. Der Kubernetes-Dienst ermöglicht Kunden, einen Cluster zu konfigurieren. Dies schließt auch die Konfiguration von Knotenpools ein. Die Konfiguration eines Knotenpools umfasst das Festlegen der Anzahl von Knoten und von identischen VM-Typen und die Versionen der Knoten. Der Kunde legt die Konfiguration der Knotenpools des Clusters entsprechend den Anforderungen der darin auszuführenden Anwendungen fest. Außerdem verwaltet der Kunde jeden Knotenpool als eine Gruppe, d. h., alle Knoten im Pool werden zusammen konfiguriert und aktualisiert.

Der Kunde aktualisiert die VM-Version des Knotenpools, um die Sicherheit von Knoten zu verbessern, wie in den Defender for Cloud-Empfehlungen angegeben.

Die Unterstützung für den Schutz von Kubernetes-Knoten ist in der Unterstützungsmatrix von Containern in Defender for Cloud wird in den Abschnitten zu Sicherheitsrisikobewertungen und zum Bedrohungsschutz zur Laufzeit jeder Cloudumgebung detailliert beschrieben.

Gemeinsame Verantwortung für Kubernetes-Knoten

Die Aufrechterhaltung der Kubernetes-Knoten liegt in der gemeinsamen Verantwortung von Kubernetes-Dienst und Kunden.

• Der Kubernetes-Dienst ist für die Verwaltung und das Patchen von Betriebssystem und Software seiner unterstützten Knoten-VM-Images verantwortlich und stellt dafür aktualisierte Versionen bereit.
• Der Kunde ist für die anfängliche Konfiguration der Kubernetes-Knotenpools basierend auf den Anforderungen der im Cluster auszuführenden Anwendungen verantwortlich. Außerdem ist der Kunde für das Upgraden der VM-Version des Knotenpools verantwortlich, um die Sicherheit zu verbessern und die im Cluster ausgeführten Anwendungen zu unterstützen.

Schutz für Kubernetes-Knoten

Die folgenden Schutzmaßnahmen werden für Kubernetes-Knoten bereitgestellt:

• Sicherheitsrisikobewertung: Die Kubernetes-Knotensoftware wird auf bekannte Sicherheitsrisiken überprüft. Es werden Empfehlungen für den Kunden generiert, die dieser überprüfen und umsetzen muss.

• Schadsoftwareerkennung: Die Kubernetes-Knoten werden auf Schadsoftware überprüft. Es werden Sicherheitswarnungen an den Kunden generiert, die dieser überprüfen und umsetzen muss.

Der Kubernetes-Knotenschutz wird bereitgestellt, indem Momentaufnahmen der Datenträger im Knotenpool für die Überprüfung erstellt werden. Weitere Informationen finden Sie unter Überprüfen der Architektur ohne Agent.

Aktivieren der Überprüfung ohne Agent für Computer

Der Schutz für Kubernetes-Knoten wird im Plan Defender for Containers, Defender Cloud Security Posture Management oder Defender for Servers P2 über die Option Überprüfung ohne Agent für Computer aktiviert.

So aktivieren Sie die Überprüfung ohne Agent für Computer im Defender for Containers-Plan im Azure-Portal

1. Wählen Sie das relevante Abonnement aus.

2. Wählen Sie im Menü Defender for Cloud die Option Umgebungseinstellungen aus.

3. Wählen Sie Einstellungen für den Plan Defender for Containers aus.

4. Aktivieren Sie im Einstellungsbereich die Option Überprüfung ohne Agent für Computer.

5. Wählen Sie Speichern.