适用于 Kubernetes 的 Azure Defender 简介

Azure Defender for Kubernetes 是 Azure Defender 计划,无论 Kubernetes 群集在哪里运行,都可为其提供保护。

可以保护:

  • Azure Kubernetes 服务 (AKS) 中的群集;AKS 是 Microsoft 的托管服务,用于开发、部署和管理容器化应用程序

Azure 安全中心和 AKS 构成了一种云原生 Kubernetes 安全产品/服务,同时提供环境强化功能、工作负载保护和运行时间保护,如安全中心中的容器安全所述。

如果启用适用于服务器的 Azure Defender 及其 Log Analytics 代理,则可以使用适用于 Linux AKS 节点的主机级威胁检测。 但如果在虚拟机规模集上部署群集,则当前不支持 Log Analytics 代理。

可用性

方面 详细信息
发布状态: 正式发布版 (GA)
定价: 用于 Kubernetes 的 Azure Defender 按安全中心定价中显示的定价计费
所需角色和权限: 安全管理员 可以消除警报。
安全读取者 可以查看结果。
云: 是 中国云

适用于 Kubernetes 的 Azure Defender 有哪些优点?

Azure Defender for Kubernetes 通过监视群集日志来提供群集级别的威胁防护。

Azure Defender for Kubernetes 监视的安全事件示例包括公开 Kubernetes 仪表板、创建高特权角色,以及创建敏感的装入点。 如需群集级警报的完整列表,请参阅警报的引用表

提示

可以按照此博客文章中的说明来模拟容器警报。

此外,我们的全球安全研究团队会不断监视威胁态势。 一旦发现威胁,他们就会添加容器特定的警报和漏洞。

备注

Azure Defender 会针对在订阅上启用 Defender for Kubernetes 计划后发生的操作和部署生成安全警报。

常见问题解答 - Azure Defender for Kubernetes

如果没有 Log Analytics 代理,是否仍可以获得群集保护?

Azure Defender for Kubernetes 计划在群集级别提供保护。 如果还部署适用于服务器的 Azure Defender 的 Log Analytics 代理,则将获得该计划随附的用于节点的威胁防护功能。 有关详细信息,请参阅适用于服务器的 Azure Defender 简介

建议两者同时部署,以实现最完整的保护。

如果你选择不在主机上安装代理,则只能收到一部分威胁防护权益和安全警报。 你仍会收到与网络分析以及与恶意服务器通信相关的警报。

AKS 是否允许我在 AKS 节点上安装自定义 VM 扩展?

为使 Azure Defender 能够监视 AKS 节点,它们必须运行 Log Analytics 代理。

AKS 是一项托管服务,由于 Log Analytics 代理是 Microsoft 托管的扩展,因此也受 AKS 群集支持。

如果我的群集已经在运行用于容器的 Azure Monitor 代理,我是否也需要 Log Analytics 代理?

为使 Azure Defender 能够监视节点,它们必须运行 Log Analytics 代理。

如果群集已经在运行用于容器的 Azure Monitor 代理,则也可以安装 Log Analytics 代理,这两个代理可以彼此协同工作,而不会出现任何问题。

详细了解用于容器的 Azure Monitor 代理

后续步骤

本文介绍了安全中心的 Kubernetes 保护,包括适用于 Kubernetes 的 Azure Defender。

如需相关材料,请参阅以下文章: