Introducción a la protección de Defender for Cloud de los nodos de Kubernetes
Además de proteger el plano de control y las cargas de trabajo del clúster de Kubernetes, Defender for Cloud también amplía la seguridad y el cumplimiento a través de los nodos de Kubernetes en los servicios de Kubernetes multinube del cliente.
Protección para nodos de Kubernetes
Los nodos de Kubernetes son máquinas virtuales creadas por el servicio Kubernetes del entorno en la nube para ejecutar el plano de control y la carga de trabajo del clúster de Kubernetes. Los grupos de nodos (o grupos de nodos) de un clúster son un conjunto administrado de versiones y tipos de máquina virtual idénticos. El servicio Kubernetes permite al cliente configurar un clúster, incluida la configuración de grupos de nodos. Una configuración del grupo de nodos incluye establecer el número de nodos y el tipo de máquina virtual y la versión idénticos de los nodos. El cliente determina la configuración de los grupos de nodos del clúster según los requisitos de las aplicaciones que se ejecutan en él. El cliente también administra cada grupo de nodos como un conjunto: todos los nodos del grupo se configuran y actualizan juntos.
El cliente actualiza la versión de máquina virtual del grupo de nodos para mejorar la seguridad de los nodos, como se indica en las recomendaciones de Defender for Cloud.
La compatibilidad con la protección de nodos de Kubernetes se detalla en la matriz de soporte de contenedores de Defender for Cloud en las secciones evaluación de Vulnerabilidades y Protección contra amenazas en tiempo de ejecución de cada entorno de nube.
Responsabilidad compartida de los nodos de Kubernetes
La responsabilidad de mantener los nodos de Kubernetes se comparte entre el servicio Kubernetes y el cliente.
- El servicio Kubernetes mantiene y aplica revisiones al sistema operativo y al software de sus imágenes de máquina virtual de nodo compatibles proporcionando versiones actualizadas.
- El cliente es responsable de configurar inicialmente los grupos de nodos de Kubernetes en función de los requisitos de las aplicaciones que se ejecutan en el clúster. El cliente también es responsable de actualizar la versión de máquina virtual del grupo de nodos según sea necesario para mejorar la seguridad y admitir las aplicaciones que se ejecutan en el clúster.
Protecciones de nodos de Kubernetes
Se proporcionan las siguientes protecciones para los nodos de Kubernetes:
Evaluación de vulnerabilidades: el software de nodo de Kubernetes se examina para detectar vulnerabilidades conocidas. Las recomendaciones se generan para que el cliente revise y corrija.
Detección de malware: los nodos de Kubernetes se examinan en busca de malware. Se genera una alerta de seguridad para que el cliente revise y corrija.
Las protecciones de nodos de Kubernetes se proporcionan tomando instantáneas de los discos del grupo de nodos para su examen. Consulte la Descripción de la arquitectura de examen sin agente para obtener más información.
Habilitación del examen sin agente para máquinas
La protección de los nodos de Kubernetes está habilitada alternando en Examen sin agente de máquinas en el plan Defender para contenedores, Administración de posturas de seguridad en la nube de Defender o Defender para servidores P2.
Para habilitar el examen sin agente de las máquinas en el plan de Defender para contenedores en Azure Portal: