Omówienie ochrony węzłów platformy Kubernetes Defender dla Chmury
Oprócz ochrony płaszczyzny sterowania klastra Kubernetes i obciążeń, Defender dla Chmury również rozszerza zabezpieczenia i zgodność węzłów Kubernetes w wielochmurowych usługach Kubernetes klienta.
Ochrona węzłów kubernetes
Węzły kubernetes to maszyny wirtualne tworzone przez usługę Kubernetes środowiska w chmurze do uruchamiania płaszczyzny sterowania i obciążenia klastra Kubernetes. Pule węzłów klastra (lub grupy węzłów) to zarządzany zestaw identycznych typów i wersji maszyn wirtualnych. Usługa Kubernetes umożliwia klientowi skonfigurowanie klastra, w tym konfigurację pul węzłów. Konfiguracja puli węzłów obejmuje ustawienie liczby węzłów oraz identyczny typ i wersję węzłów maszyny wirtualnej. Klient określa konfigurację pul węzłów klastra zgodnie z wymaganiami aplikacji uruchomionych w nim. Klient zarządza również każdą pulą węzłów jako zestaw — wszystkie węzły w puli są konfigurowane i aktualizowane razem.
Klient uaktualnia wersję maszyny wirtualnej puli węzłów, aby zwiększyć bezpieczeństwo węzłów, zgodnie z zaleceniami dotyczącymi Defender dla Chmury.
Obsługa ochrony węzłów Kubernetes jest szczegółowa w macierzy obsługi kontenerów w Defender dla Chmury w sekcjach Oceny luk w zabezpieczeniach i Ochrona przed zagrożeniami środowiska uruchomieniowego w każdym środowisku chmury.
Wspólna odpowiedzialność za węzły kubernetes
Odpowiedzialność za utrzymywanie węzłów Kubernetes jest współdzielona między usługą Kubernetes a klientem.
- Usługa Kubernetes obsługuje i poprawia system operacyjny oraz oprogramowanie obsługiwanych obrazów maszyn wirtualnych węzłów, zapewniając uaktualnione wersje.
- Klient jest odpowiedzialny za początkowe konfigurowanie pul węzłów Kubernetes na podstawie wymagań aplikacji uruchomionych w klastrze. Klient jest również odpowiedzialny za uaktualnienie wersji maszyny wirtualnej puli węzłów zgodnie z wymaganiami w celu zwiększenia bezpieczeństwa i obsługi aplikacji uruchomionych w klastrze.
Ochrona węzłów kubernetes
Dla węzłów Kubernetes są dostępne następujące zabezpieczenia:
Ocena luk w zabezpieczeniach — oprogramowanie węzła Kubernetes jest skanowane pod kątem znanych luk w zabezpieczeniach. Zalecenia są generowane dla klienta w celu przejrzenia i skorygowania.
Wykrywanie złośliwego oprogramowania — węzły kubernetes są skanowane pod kątem złośliwego oprogramowania. Alert zabezpieczeń jest generowany dla klienta w celu przejrzenia i skorygowania.
Zabezpieczenia węzłów platformy Kubernetes są udostępniane przez tworzenie migawek dysków puli węzłów na potrzeby skanowania. Aby uzyskać szczegółowe informacje, zobacz opis architektury skanowania bez agenta.
Włączanie skanowania bez agenta dla maszyn
Ochrona węzłów platformy Kubernetes jest włączona przez przełączanie na skanowanie bez agenta dla maszyn w usłudze Defender for Containers, zarządzanie stanem zabezpieczeń w chmurze usługi Defender lub plan P2 usługi Defender dla serwerów.
Aby włączyć skanowanie bez agenta dla maszyn w planie usługi Defender for Containers w witrynie Azure Portal: