Compartilhar via

Visão geral da proteção do Defender para Nuvem de nós do Kubernetes

  • Artigo

Além de proteger o painel de controle de cluster do Kubernetes e as cargas de trabalho, o Defender para Nuvem também estende a segurança e a conformidade nos nós do Kubernetes nos serviços de Kubernetes multinuvem do cliente.

Proteção para nós do Kubernetes

Os nós do Kubernetes são VMs criadas pelo serviço Kubernetes do ambiente de nuvem para executar o plano de controle e a carga de trabalho do cluster Kubernetes. Os pools de nós (ou grupos de nós) de um cluster são um conjunto gerenciado de versões e tipos de VM idênticos. O serviço Kubernetes permite que o cliente configure um cluster, incluindo a configuração de pools de nós. Uma configuração de pool de nós inclui a configuração do número de nós e a versão dos nós e o tipo de VM idênticos. O cliente determina a configuração dos pools de nós do cluster de acordo com os requisitos dos aplicativos em execução nele. O cliente também gerencia cada pool de nós como um conjunto – todos os nós no pool são configurados e atualizados juntos.

O cliente atualiza a versão da VM do pool de nós para aprimorar a segurança do nó, conforme indicado pelas recomendações do Defender para Nuvem.

O suporte para proteger nós do Kubernetes é detalhado na matriz de suporte de contêineres no Defender para Nuvem nas seções de avaliações de vulnerabilidade e proteção contra ameaças em tempo de execução de cada ambiente de nuvem.

Responsabilidade compartilhada dos nós do Kubernetes

A responsabilidade pela manutenção dos nós do Kubernetes é compartilhada entre o serviço Kubernetes e o cliente.

  • O serviço Kubernetes mantém e corrige o sistema operacional e o software de suas imagens de VM de nó compatíveis fornecendo versões atualizadas.
  • O cliente é responsável por configurar inicialmente os pools de nós do Kubernetes com base nos requisitos dos aplicativos em execução no cluster. O cliente também é responsável por atualizar a versão da VM do pool de nós conforme necessário para aprimorar a segurança e dar suporte aos aplicativos em execução no cluster.

Proteções de nó do Kubernetes

As seguintes proteções são fornecidas para nós do Kubernetes:

  • Avaliação de vulnerabilidade – o software de nó do Kubernetes é verificado quanto a vulnerabilidades conhecidas. Recomendações são geradas para o cliente revisar e corrigir.

  • Detecção de malware – os nós do Kubernetes são verificados em busca de malware. Um alerta de segurança é gerado para o cliente revisar e corrigir.

As proteções de nós do Kubernetes são fornecidas tirando instantâneos de discos do pool de nós para verificação. Confira a Descrição da arquitetura de verificação sem agente para obter detalhes.

Habilitar a verificação sem agente para computadores

A proteção para nós do Kubernetes é habilitada ativando o controle de alternância para verificação sem agente para computadores no Plano P2 do Defender para Contêineres, do Gerenciamento de Postura de Segurança de Nuvem do Defender ou do Defender para Servidores.

Para habilitar a verificação sem agente para computadores no plano do Defender para Contêineres no portal do Azure:

  1. Selecione a assinatura relevante.

  2. Selecione Configurações de Ambiente no menu do Defender para Nuvem.

  3. Selecione Configurações para o plano do Defender para Contêiner. Captura de tela da seleção da opção de configurações do plano do Defender para Contêineres.

  4. No painel de configurações, ative o controle de alternância Verificação sem agente para computadores. Captura de tela do controle de alternância da ativação da verificação sem agente para computadores.

  5. Selecione Salvar.