Partilhar via

Visão geral da proteção do Defender for Cloud dos nós do Kubernetes

  • Artigo

Além de proteger o plano de controle de cluster do Kubernetes e as cargas de trabalho, o Defender for Cloud também estende a segurança e a conformidade sobre os nós do Kubernetes nos serviços Kubernetes multicloud do cliente.

Proteção para nós do Kubernetes

Os nós do Kubernetes são VMs criadas pelo serviço Kubernetes do ambiente de nuvem para executar o plano de controle e a carga de trabalho do cluster Kubernetes. Os pools de nós de um cluster (ou grupos de nós) são um conjunto gerenciado de tipos e versões de VM idênticos. O serviço Kubernetes permite que o cliente configure um cluster, incluindo a configuração de pools de nós. Uma configuração de pool de nós inclui a definição do número de nós e o tipo de VM idêntico e a versão dos nós. O cliente determina a configuração dos pools de nós do cluster de acordo com os requisitos dos aplicativos em execução nele. O cliente também gerencia cada pool de nós como um conjunto - todos os nós no pool são configurados e atualizados juntos.

O cliente atualiza a versão da VM do pool de nós para melhorar a segurança do nó, conforme indicado pelas recomendações do Defender for Cloud.

O suporte para proteger nós do Kubernetes é detalhado na matriz de suporte de contêineres no Defender for Cloud nas seções Avaliações de vulnerabilidade e Proteção contra ameaças de tempo de execução de cada ambiente de nuvem.

Responsabilidade compartilhada dos nós do Kubernetes

A responsabilidade pela manutenção dos nós do Kubernetes é compartilhada entre o serviço Kubernetes e o cliente.

  • O serviço Kubernetes mantém e corrige o sistema operacional e o software de suas imagens VM de nó suportadas fornecendo versões atualizadas.
  • O cliente é responsável por configurar inicialmente os pools de nós do Kubernetes com base nos requisitos dos aplicativos em execução no cluster. O cliente também é responsável por atualizar a versão da VM do pool de nós conforme necessário para melhorar a segurança e dar suporte aos aplicativos em execução no cluster.

Proteções de nó do Kubernetes

As seguintes proteções são fornecidas para nós do Kubernetes:

  • Avaliação de vulnerabilidades - O software do nó Kubernetes é verificado em busca de vulnerabilidades conhecidas. As recomendações são geradas para o cliente revisar e corrigir.

  • Deteção de malware - Os nós do Kubernetes são verificados em busca de malware. Um alerta de segurança é gerado para o cliente revisar e corrigir.

As proteções dos nós do Kubernetes são fornecidas tirando instantâneos dos discos do pool de nós para verificação. Consulte a descrição da arquitetura de varredura sem agente para obter detalhes.

Habilite a verificação sem agente para máquinas

A proteção para nós do Kubernetes é ativada alternando a verificação sem agente para máquinas no plano Defender for Containers, Defender Cloud Security Posture Management ou Defender for Servers P2.

Para habilitar a verificação sem agente para máquinas no plano do Defender for Containers no portal do Azure:

  1. Selecione a subscrição relevante.

  2. Selecione Configurações do ambiente no menu Defender for Cloud .

  3. Selecione Configurações para o plano Defender for Container . Captura de tela mostrando a seleção da opção de configurações do plano Defender for Containers.

  4. No painel de configurações, ative a opção Verificação sem agente para máquinas . Captura de tela mostrando a ativação da verificação sem agente para alternar máquinas.

  5. Selecione Guardar.