目录
设置Microsoft Defender for Clound
安装Microsoft Defender for Kubernetes Cluster Extension
在这里,我们将介绍Azure安全中心并演示如何将其添加到群集,演示如何通过安全中心启用Azure Defender,介绍Azure Sentinel并演示如何将其添加到群集,并展示Azure Sentinel可以为已启用Arc的Kubernetes群集记录的安全事件类型的示例。
在这个由三部分组成的系列的第一篇文章中,我们探讨了如何将Azure Arc连接到云中托管的Kubernetes群集并应用策略。我们现在可以从一个方便的位置管理我们的Kubernetes集群(以及我们稍后添加的任何其他集群和服务器)。
我们将在上一篇文章的基础上,向现在使用Azure Arc管理的外部群集添加安全性和监视。
Microsoft Defender for Cloud(以前称为Azure Security Center和Azure Defender)是Azure的仪表板,用于与安全相关的所有内容。它与Azure Monitor及其Log Analytics工具协同工作。安全中心使用Azure策略为其已注册的订阅创建默认安全策略。
使用安全中心,我们可以应用策略并启用高级安全功能来保护我们的资源。我们还可以针对可能遇到的任何安全威胁采取行动。有两个定价层:具有基本功能的免费层和具有增强安全性Microsoft Azure Defender(Defender的一部分)。
默认情况下,免费安全层处于启用状态,提供对安全策略、评估和建议的访问权限。但是,它不会应用任何建议或保护我们的资源免受威胁。我们需要Microsoft Defender的高级功能。
Microsoft Defender for Cloud提供法规遵从性、实时(JIT)虚拟机(VM)访问、自适应应用程序控制以及基础结构即服务(IaaS)和平台即服务(PaaS)的威胁防护等功能,帮助我们应对任何威胁。
若要启用Microsoft Defender for Cloud,我们首先登录到Azure门户并转到安全中心。
此选项会将我们带到“Microsoft Defender for Cloud概述”页,以选择所需的Azure订阅。
此操作会将我们定向到“环境设置”页。我们扩展租户根组。
然后,Azure会列出分配给我们帐户的订阅。我们选择要启用Microsoft Defender的订阅。在本例中,它是即用即付订阅。
第一个选项“增强安全性关闭”是默认值。我们选择选项启用所有Microsoft Defender for Cloud计划。
此操作将启用切换列表,我们可以在其中指定Microsoft Defender计划需要保护的资源类型。默认情况下,所有资源类型都为“On”。
选择要启用的资源类型后,我们单击当前页面左上角的保存以保存我们的设置。
然后,我们会收到一条通知,指出我们已成功保存Microsoft Defender计划。
现在我们已经启用了Microsoft Defender,我们可以将这些安全功能扩展到启用了Azure Arc的Kubernetes群集。
在安装Defender之前,我们必须具备一些先决条件Microsoft。
我们需要确保Kubernetes群集和Azure Arc之间的连接。我们还必须安装连接的k8s和k8s扩展。阅读本系列的上一篇文章,了解如何实现此目的。
az extension add --name connectedk8s
az extension add --name k8s-extension我们还必须在以下终结点上配置端口443以进行出站访问。
对于Azure政府云上的群集:
对于其他Azure云部署上的群集:
我们将使用Azure CLI将Microsoft Defender扩展部署到已启用Azure Arc的群集。我们必须登录到Azure,并将帐户设置为要在其中部署Microsoft Defender扩展的订阅。这是链接到Kubernetes集群的订阅。
az login
az account set --subscription <your-subscription-id>
然后,我们运行以下命令,在已启用Azure Arc的Kubernetes群集上部署扩展:
az k8s-extension create --name microsoft.azuredefender.kubernetes --cluster-type connectedClusters --cluster-name k8s-1-21-5-do-0-ams3-azure-arc --resource-group AzureArc --extension-type microsoft.azuredefender.kubernetes
我们的部署成功,但我们可以通过运行以下命令来验证它以确保:
kubectl get pods -n azuredefender我们可以使用此命令确认我们的 azuredefender pod正在运行:
或者,我们可以在Azure门户上确认部署。我们转到Microsoft Defender for Cloud 的建议页面,然后打开“为云安全控制启用Microsoft Defender”。我们选择名为 Azure Arc已启用Kubernetes群集的建议,该群集应安装Microsoft Defender for Cloud的扩展。
我们确保已启用Arc的Kubernetes群集显示在“正常资源”下。
我们现在可以访问Kubernetes集群的安全功能。
在本部分中,我们将使用Azure Monitor(也称为Microsoft Monitor)启用对已启用 Azure Arc的Kubernetes群集进行监视。设置Azure监视器后,我们将能够查看控制器、节点和容器的内存和CPU使用情况指标。我们还可以使用容器见解直接从启用了Azure Arc的群集中检索日志。
若要载入已启用Azure Arc的Kubernetes群集,请登录到Azure门户并直接转到群集。在我们的集群中,我们可以在“监视”部分中选择一个选项。
由于我们尚未将群集载入到Azure监视器,因此Azure会将我们重定向到载入页面。在此处,我们选择“配置Azure监视器”。
“为Kubernetes配置Azure监视器”窗口会提示我们选择要使用的日志分析工作区。我们从列出的所有可用工作区中选择它,然后单击配置。如果没有日志分析工作区,请创建一个。
载入可能需要几秒钟才能完成。Azure会在准备就绪时通知我们。
载入完成后,我们可以在已启用Azure Arc的Kubernetes群集的导航窗格中访问监视选项。例如,见解显示有关群集的所有信息。
或者,我们可以浏览和查询日志。
Azure Monitor的功能:
在本教程中,我们将Microsoft Defender扩展安装到启用了Azure Arc的Kubernetes群集,并讨论了为什么我们应该启用Microsoft Defender。我们还将Azure Monitor添加到群集,并探索了其功能和见解。
注册以亲自试用Azure Arc或在你的组织中试用,或继续阅读本系列的第三篇(也是最后一篇)文章,了解如何使用 Azure Arc 将容器部署到Kubernetes群集。
若要详细了解如何开始使用已启用Azure Arc的Kubernetes,或者启用Azure Arc的Kubernetes如何允许你附加和配置在任何地方运行的Kubernetes群集,请查看有关已启用Azure Arc的Kubernetes的资源页面。
https://www.codeproject.com/Articles/5334363/Azure-Arc-Enabled-Kubernetes-Part-2-Adding-Securit