Обзор защиты узлов Kubernetes Defender для облака
Помимо защиты плоскости управления кластером Kubernetes и рабочих нагрузок, Defender для облака также расширяет безопасность и соответствие узлам Kubernetes в службах Multicloud Kubernetes клиента.
Защита узлов Kubernetes
Узлы Kubernetes — это виртуальные машины, созданные службой Kubernetes облачной среды для запуска уровня управления и рабочей нагрузки кластера Kubernetes. Пулы узлов кластера (или группы узлов) — это управляемый набор идентичных типов и версий виртуальной машины. Служба Kubernetes позволяет клиенту настраивать кластер, включая конфигурацию пулов узлов. Конфигурация пула узлов включает настройку количества узлов, а также идентичный тип виртуальной машины и версию узлов. Клиент определяет конфигурацию пулов узлов кластера в соответствии с требованиями приложений, работающих в нем. Клиент также управляет каждым пулом узлов в виде набора. Все узлы в пуле настраиваются и обновляются вместе.
Клиент обновляет версию виртуальной машины пула узлов, чтобы повысить безопасность узлов, как указано в Defender для облака рекомендациях.
Поддержка защиты узлов Kubernetes подробно описана в матрице поддержки контейнеров в Defender для облака в разделах оценки уязвимостей и защиты от угроз среды выполнения в каждой облачной среде.
Общая ответственность узлов Kubernetes
Ответственность за обслуживание узлов Kubernetes разделяется между службой Kubernetes и клиентом.
- Служба Kubernetes поддерживает и исправляет ОС и программное обеспечение поддерживаемых образов виртуальных машин узла, предоставляя обновленные версии.
- Клиент отвечает за первоначальное настройку пулов узлов Kubernetes на основе требований приложений, работающих в кластере. Клиент также отвечает за обновление версии виртуальной машины пула узлов при необходимости для повышения безопасности и поддержки приложений, работающих в кластере.
Защита узлов Kubernetes
Для узлов Kubernetes предоставляются следующие защиты:
Оценка уязвимостей— программное обеспечение узла Kubernetes проверяется на наличие известных уязвимостей. Рекомендации создаются для клиента для проверки и исправления.
Обнаружение вредоносных программ — узлы Kubernetes проверяются на наличие вредоносных программ. Для клиента создается оповещение системы безопасности для проверки и исправления.
Защита узлов Kubernetes обеспечивается путем создания моментальных снимков дисков пула узлов для сканирования. Дополнительные сведения см. в описании архитектуры без агента.
Включение проверки без агента для компьютеров
Защита узлов Kubernetes включена путем переключения на проверку без агента компьютеров в плане Defender для контейнеров, Cloud Security Posture Management или Defender для серверов P2.
Чтобы включить бессерверную проверку компьютеров в плане Defender для контейнеров в портал Azure: