Kubernetes 節點 適用於雲端的 Defender 保護概觀
除了保護 Kubernetes 叢集控制平面和工作負載之外,適用於雲端的 Defender 也會延伸客戶多重雲端 Kubernetes 服務中 Kubernetes 節點的安全性與合規性。
Kubernetes 節點的保護
Kubernetes 節點是由雲端環境的 Kubernetes 服務所建立的 VM,用來執行 Kubernetes 叢集的控制平面和工作負載。 叢集的 節點 集區(或 節點群組)是一組相同的 VM 類型和版本受控集。 Kubernetes 服務可讓客戶設定叢集,包括節點集區的設定。 節點集區組態包括設定節點數目,以及相同的 VM 類型和節點版本。 客戶會根據叢集的節點集區需求來判斷叢集節點集區的設定。 客戶也會將每個節點集區當成集合來管理 - 集區中的所有節點都會一起設定及更新。
客戶會升級節點集區 VM 版本,以改善節點安全性,如 適用於雲端的 Defender 建議所示。
保護 Kubernetes 節點的支持詳述於每個雲端環境的弱點評量和運行時間威脅防護區段中,適用於雲端的 Defender 容器的支援矩陣中。
Kubernetes 節點的共同責任
維護 Kubernetes 節點的責任會在 Kubernetes 服務與客戶之間共用。
- Kubernetes 服務 會藉由提供升級的版本來維護和修補其支持的節點 VM 映射的 OS 和軟體。
- 客戶 負責根據叢集中執行的應用程式需求,一開始設定 Kubernetes 節點集區。 客戶也會負責視需要升級節點集區 VM 版本,以改善安全性,並支援在叢集中執行的應用程式。
Kubernetes 節點保護
Kubernetes 節點提供下列保護:
弱點評估 - 已掃描 Kubernetes 節點軟體是否有已知的弱點。 系統會為客戶產生建議,以檢閱和補救。
惡意代碼偵測 - 已掃描 Kubernetes 節點是否有惡意代碼。 系統會為客戶產生安全性警示,以檢閱和補救。
Kubernetes 節點保護是藉由擷取節點集區磁碟的快照集進行掃描來提供。 如需詳細資訊, 請參閱無代理程式掃描架構描述 。
啟用機器的無代理程序掃描
在適用於容器的 Defender、Defender 雲端安全性狀態管理或適用於伺服器的 Defender P2 方案中,切換 無代理程式掃描 來啟用 Kubernetes 節點的保護。
若要在適用於容器的 Defender 方案中啟用無代理程式掃描,請在 Azure 入口網站:
選取相關的訂用帳戶。
從 [適用於雲端的 Defender] 功能選取 [環境設定]。
選取 [適用於容器的 Defender] 方案的 [設定]。
在 [設定] 窗格中,開啟 [ 機器的無代理程序掃描] 切換。
選取儲存。
