Delen via

Overzicht van Defender voor Cloud-beveiliging van Kubernetes-knooppunten

  • Artikel

Naast het beveiligen van het Kubernetes-clusterbesturingsvlak en workloads, Defender voor Cloud ook de beveiliging en naleving van de Kubernetes-knooppunten in de Kubernetes-services met meerdere clouds van de klant uitbreiden.

Beveiliging voor Kubernetes-knooppunten

Kubernetes-knooppunten zijn VM's die zijn gemaakt door de Kubernetes-service van de cloudomgeving om het besturingsvlak en de workload van het Kubernetes-cluster uit te voeren. De knooppuntgroepen van een cluster (of knooppuntgroepen) zijn een beheerde set identieke VM-typen en -versies. Met de Kubernetes-service kan de klant een cluster configureren, inclusief de configuratie van knooppuntgroepen. Een configuratie van een knooppuntgroep omvat het instellen van het aantal knooppunten en het identieke VM-type en de versie van de knooppunten. De klant bepaalt de configuratie van de knooppuntgroepen van het cluster op basis van de vereisten van de toepassingen die erin worden uitgevoerd. De klant beheert ook elke knooppuntgroep als een set. Alle knooppunten in de pool worden samen geconfigureerd en bijgewerkt.

De klant werkt de vm-versie van de knooppuntgroep bij om de beveiliging van knooppunten te verbeteren, zoals wordt aangegeven door Defender voor Cloud aanbevelingen.

De ondersteuning voor het beveiligen van Kubernetes-knooppunten wordt beschreven in de ondersteuningsmatrix van containers in Defender voor Cloud in de secties Beveiligingsproblemen en Runtime-bedreigingsbeveiliging van elke cloudomgeving.

Gedeelde verantwoordelijkheid van Kubernetes-knooppunten

De verantwoordelijkheid voor het onderhouden van de Kubernetes-knooppunten wordt gedeeld tussen de Kubernetes-service en de klant.

  • De Kubernetes-service onderhoudt en patches voor het besturingssysteem en de software van de ondersteunde VM-installatiekopieën van knooppunten door bijgewerkte versies te bieden.
  • De klant is verantwoordelijk voor het configureren van de Kubernetes-knooppuntgroepen op basis van de vereisten van de toepassingen die in het cluster worden uitgevoerd. De klant is ook verantwoordelijk voor het upgraden van de VM-versie van de knooppuntgroep, indien nodig om de beveiliging te verbeteren en de toepassingen te ondersteunen die in het cluster worden uitgevoerd.

Kubernetes-knooppuntbeveiligingen

De volgende beveiligingen zijn beschikbaar voor Kubernetes-knooppunten:

  • Evaluatie van beveiligingsproblemen: Kubernetes-knooppuntsoftware wordt gescand op bekende beveiligingsproblemen. Aanbevelingen worden gegenereerd om de klant te controleren en te herstellen.

  • Malwaredetectie : Kubernetes-knooppunten worden gescand op malware. Er wordt een beveiligingswaarschuwing gegenereerd voor de klant om deze te controleren en te herstellen.

De Kubernetes-knooppuntbeveiligingen worden geboden door momentopnamen te maken van knooppuntgroepschijven voor scannen. Zie de beschrijving van de scanarchitectuur zonder agent voor meer informatie.

Scannen zonder agent inschakelen voor machines

Beveiliging voor Kubernetes-knooppunten wordt ingeschakeld door te schakelen op scannen zonder agent voor machines in het Abonnement Defender for Containers, Defender Cloud Security Posture Management of Defender for Servers P2.

Scannen zonder agent inschakelen voor machines in het Defender for Containers-plan in Azure Portal:

  1. Selecteer het betreffende abonnement.

  2. Selecteer Omgevingsinstellingen in het menu Defender voor Cloud.

  3. Selecteer Instellingen voor het Defender for Container-plan . Schermopname van het selecteren van de optie Instellingen van het Defender for Containers-abonnement.

  4. Schakel in het deelvenster Instellingen het scannen zonder agent in voor machines . Schermopname van het inschakelen van de wisselknop zonder agent voor machines.

  5. Selecteer Opslaan.