你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Microsoft Defender for Containers 通过 Azure Arc 集成将企业级安全性扩展到任何位置(在本地、数据中心、边缘或其他云中)运行的 Kubernetes 群集。 此解决方案为混合和多云 Kubernetes 环境提供相同的全面保护,包括漏洞评估、运行时威胁检测、软件供应链功能和安全态势管理。
什么是 Arc 上的 Defender for Containers?
Arc 上的 Defender for Containers 为不在 Azure 内的 Kubernetes 群集带来云原生安全性。 它利用 Azure Arc 的控制平面,使组织能够从单个玻璃窗格中保护其整个 Kubernetes 资产,而不管群集在何处运行。 这种统一的方法可确保所有 Kubernetes 基础结构中一致的安全策略、集中式威胁检测和合规性报告。
该解决方案解决了保护分布式 Kubernetes 部署的独特挑战,从物理隔离的本地环境到边缘计算场景,同时保持使用任何经 CNCF 认证的 Kubernetes 发行版的灵活性。
它如何与 Arc 配合使用
Defender for Containers 工具与已启用 Azure Arc 的 Kubernetes 集群无缝集成,以在不中断现有操作的情况下提供安全性。 一旦将群集连接到 Azure Arc 后,Defender for Containers:
- 自动发现并列出已启用 Arc 的群集中运行的所有工作负荷
- 部署轻型安全传感器,以最小的性能影响监视运行时行为
- 收集和分析 Kubernetes 审核日志和群集配置
- 连接到容器注册表进行漏洞扫描
- 将安全遥测流式传输到 Azure 进行集中分析和警报
- 根据行业基准和最佳做法提供安全建议
此体系结构可确保在 Azure 中处理安全见解时,敏感工作负荷数据保留在环境中,同时维护安全性和符合性要求。
关键功能
Defender for Containers 跨三个关键领域提供全面的安全性:
| 能力 | Description | 主要功能 |
|---|---|---|
| 运行时威胁防护 | 实时监视群集是否存在恶意活动和异常 | • 与分发无关的监视 • 行为分析 • Kubernetes 感知型检测 • 自定义警报规则 |
| 安全状况管理 | 根据安全基准和符合性标准评估配置 | • CIS Kubernetes 基准 • 自定义策略支持 • 多集群治理 • 自动补救措施 |
| 封闭式部署 | 防止易受攻击或配置错误的工作负荷到达生产环境 | • 基于漏洞严重性阻止部署 • 强制实施配置的安全基线 • 与 Azure Policy 及准入控制器集成 • DevOps 管道入口 |
体系结构概述
Arc 上的 Defender for Containers 体系结构灵活且安全:
Azure Arc 代理:安全地将群集连接到 Azure。 可以在保持本地控制的同时远程管理群集。
Defender 扩展:通过 Arc 的扩展框架进行部署。 它包括安全传感器守护程序集和配置控制器。
安全性传感器:收集运行时遥测数据、监视系统调用和分析网络流量而不需要特权访问的轻量级 Pod。
策略引擎:根据安全策略评估群集配置和工作负荷规范。 它提供实时合规性反馈。
日志收集:用于日志转发的灵活选项。 它支持直接流式处理和本地聚合方案。
这些组件协同工作,在遵守网络边界和合规性要求的同时提供全面的安全性。
部署选项
Arc 上的 Defender for Containers 支持多种部署方式,以满足不同的操作要求的需求。
- Azure 门户部署 - 初始设置和小规模部署的直观指导体验
- Azure CLI 和脚本 - 用于自动化和可重复性的命令行部署
- Helm Chart - 熟悉 Helm 的团队所用的原生 Kubernetes 部署方法
选择符合安全要求、网络约束和作做法的部署方法。
先决条件
在已启用 Arc 的 Kubernetes 群集上部署 Defender for Containers 之前,请确保满足以下先决条件:
- 经NCF 认证的 Kubernetes 群集(版本 1.19 或更高版本)
- 群集已连接到 Azure Arc,并显示为“已连接”
- 与 Azure 终结点的出站 HTTPS 连接(或配置的代理)
- 足够的群集资源用于安全组件
- 用于部署的相应 Azure RBAC 权限
集成优势
- 统一安全管理:为所有 Kubernetes 群集提供单一控制台,无论其位于何处
- 一致的安全策略:跨混合基础结构应用和强制实施策略
- 集中式威胁情报:受益于Microsoft的全球威胁情报
- 简化合规:为审核及合规要求提供统一报告
- 成本优化:仅为使用灵活定价模型保护的内容付费
Pricing
有关当前定价详细信息,请参阅 Microsoft Defender for Cloud 定价。
查看当前覆盖范围
Defender for Cloud 通过 Azure 工作簿提供对工作簿的访问权限。 工作簿是可自定义的报表,可提供对安全状况的见解。
覆盖率工作簿通过显示哪些计划在订阅和资源上启用,帮助你了解当前的覆盖范围。
后续步骤
准备好保护已启用 Arc 的 Kubernetes 群集吗? 选择路径:
- 通过门户启用所有组件 - 建议用于初始设置
- 以编程方式部署 - 用于自动化和缩放
- 验证部署 - 确保组件正常工作