Dela via

Översikt över Defender för molnet skydd av Kubernetes-noder

  • Artikel

Förutom att skydda Kubernetes-klusterkontrollplanet och arbetsbelastningarna utökar Defender för molnet även säkerhet och efterlevnad över Kubernetes-noderna i kundens Kubernetes-tjänster med flera moln.

Skydd för Kubernetes-noder

Kubernetes-noder är virtuella datorer som skapats av molnmiljöns Kubernetes-tjänst för att köra Kubernetes-klustrets kontrollplan och arbetsbelastning. Ett klusters nodpooler (eller nodgrupper) är en hanterad uppsättning med identisk VM-typ och versioner. Med Kubernetes-tjänsten kan kunden konfigurera ett kluster, inklusive konfigurationen av nodpooler. En konfiguration av nodpoolen omfattar att ange antalet noder och den identiska VM-typen och versionen av noderna. Kunden bestämmer konfigurationen av klustrets nodpooler enligt kraven för de program som körs i den. Kunden hanterar också varje nodpool som en uppsättning – alla noder i poolen konfigureras och uppdateras tillsammans.

Kunden uppgraderar den virtuella nodpoolens VM-version för att förbättra nodsäkerheten, enligt Defender för molnet rekommendationer.

Stödet för att skydda Kubernetes-noder beskrivs i stödmatrisen för containrar i Defender för molnet i avsnitten Sårbarhetsbedömningar och Körningsskydd i varje molnmiljö.

Delat ansvar för Kubernetes-noder

Ansvaret för att underhålla Kubernetes-noderna delas mellan Kubernetes-tjänsten och kunden.

  • Kubernetes-tjänsten underhåller och korrigerar operativsystemet och programvaran för dess vm-avbildningar som stöds genom att tillhandahålla uppgraderade versioner.
  • Kunden ansvarar för att först konfigurera Kubernetes-nodpoolerna baserat på kraven för de program som körs i klustret. Kunden ansvarar också för att uppgradera den virtuella nodpoolens VM-version efter behov för att förbättra säkerheten och stödja de program som körs i klustret.

Kubernetes-nodskydd

Följande skydd tillhandahålls för Kubernetes-noder:

  • Sårbarhetsbedömning – Kubernetes-nodprogramvaran genomsöks efter kända sårbarheter. Rekommendationer genereras för kunden att granska och åtgärda.

  • Identifiering av skadlig kod – Kubernetes-noder genomsöks efter skadlig kod. En säkerhetsavisering genereras för kunden att granska och åtgärda.

Kubernetes-nodskydd tillhandahålls genom att ta ögonblicksbilder av nodpooldiskar för genomsökning. Mer information finns i beskrivningen av agentlös genomsökningsarkitektur.

Aktivera agentlös genomsökning efter datorer

Skydd för Kubernetes-noder aktiveras genom att växla på agentlös genomsökning efter datorer i Defender for Containers, Defender Cloud Security Posture Management eller Defender for Servers P2-plan.

Så här aktiverar du agentlös genomsökning efter datorer i Defender for Containers-planen i Azure Portal:

  1. Välj relevant prenumeration.

  2. Välj Miljöinställningar på menyn Defender för molnet.

  3. Välj Inställningar för Defender for Container-planen . Skärmbild av hur du väljer inställningsalternativet för Defender for Containers-planen.

  4. Aktivera Agentlös genomsökning efter datorer i inställningsfönstret. Skärmbild av hur du aktiverar den agentlösa genomsökningen efter datorer.

  5. Välj Spara.