Поделиться через


Обзор защиты узлов Kubernetes Defender для облака

Помимо защиты плоскости управления кластером Kubernetes и рабочих нагрузок, Defender для облака также расширяет безопасность и соответствие узлам Kubernetes в службах Multicloud Kubernetes клиента.

Защита узлов Kubernetes

Узлы Kubernetes — это виртуальные машины, созданные службой Kubernetes облачной среды для запуска уровня управления и рабочей нагрузки кластера Kubernetes. Пулы узлов кластера (или группы узлов) — это управляемый набор идентичных типов и версий виртуальной машины. Служба Kubernetes позволяет клиенту настраивать кластер, включая конфигурацию пулов узлов. Конфигурация пула узлов включает настройку количества узлов, а также идентичный тип виртуальной машины и версию узлов. Клиент определяет конфигурацию пулов узлов кластера в соответствии с требованиями приложений, работающих в нем. Клиент также управляет каждым пулом узлов в виде набора. Все узлы в пуле настраиваются и обновляются вместе.

Клиент обновляет версию виртуальной машины пула узлов, чтобы повысить безопасность узлов, как указано в Defender для облака рекомендациях.

Поддержка защиты узлов Kubernetes подробно описана в матрице поддержки контейнеров в Defender для облака в разделах оценки уязвимостей и защиты от угроз среды выполнения в каждой облачной среде.

Общая ответственность узлов Kubernetes

Ответственность за обслуживание узлов Kubernetes разделяется между службой Kubernetes и клиентом.

  • Служба Kubernetes поддерживает и исправляет ОС и программное обеспечение поддерживаемых образов виртуальных машин узла, предоставляя обновленные версии.
  • Клиент отвечает за первоначальное настройку пулов узлов Kubernetes на основе требований приложений, работающих в кластере. Клиент также отвечает за обновление версии виртуальной машины пула узлов при необходимости для повышения безопасности и поддержки приложений, работающих в кластере.

Защита узлов Kubernetes

Для узлов Kubernetes предоставляются следующие защиты:

  • Оценка уязвимостей— программное обеспечение узла Kubernetes проверяется на наличие известных уязвимостей. Рекомендации создаются для клиента для проверки и исправления.

  • Обнаружение вредоносных программ — узлы Kubernetes проверяются на наличие вредоносных программ. Для клиента создается оповещение системы безопасности для проверки и исправления.

Защита узлов Kubernetes обеспечивается путем создания моментальных снимков дисков пула узлов для сканирования. Дополнительные сведения см. в описании архитектуры без агента.

Включение проверки без агента для компьютеров

Защита узлов Kubernetes включена путем переключения на проверку без агента компьютеров в плане Defender для контейнеров, Cloud Security Posture Management или Defender для серверов P2.

Чтобы включить бессерверную проверку компьютеров в плане Defender для контейнеров в портал Azure:

  1. Выберите соответствующую подписку.

  2. Выберите параметры среды в меню Defender для облака.

  3. Выберите "Параметры " для плана "Защитник для контейнера ". Снимок экрана: выбор параметра параметров плана Defender для контейнеров.

  4. В области параметров включите проверку без агента для переключения компьютеров . Снимок экрана: включение проверки без агента для переключения компьютеров.

  5. Выберите Сохранить.