En el caso de los clústeres que no se ejecutan en Azure Kubernetes Service (AKS), Defender for Cloud usa Kubernetes habilitado para Azure Arc para implementar las extensiones necesarias.
Prerequisites
Requisitos de red
El sensor de Defender debe conectarse a Microsoft Defender para la nube para enviar eventos y datos de seguridad. Asegúrese de que los puntos de conexión necesarios están configurados para el acceso saliente.
Requisitos de conexión
El sensor de Defender necesita conectividad para:
- Microsoft Defender para la nube (para enviar eventos y datos de seguridad)
De forma predeterminada, los clústeres de AKS tienen acceso de salida a Internet ilimitado.
En el caso de los clústeres con salida restringida, debe permitir que los FQDN específicos de Microsoft Defender para contenedores funcionen correctamente. Consulte Microsoft Defender para contenedores: reglas de aplicación o FQDN necesarias en la documentación de red de salida de AKS para los puntos de conexión necesarios.
Configuración de vínculo privado
Para obtener instrucciones, consulte Vínculo privado de seguridad de Microsoft para Microsoft Defender para la nube.
Implementa el sensor de Defender
Si el aprovisionamiento automático se ha habilitado al activar el plan de Defender para contenedores, es posible que el sensor de Defender ya esté instalado.
Compruebe la implementación antes de ejecutar este comando.
Para implementar el sensor de Defender en un clúster de AKS específico:
az aks update \
--resource-group <resource-group> \
--name <aks-cluster-name> \
--enable-defender
Implementación del complemento de Azure Policy
Habilite Azure Policy para Que Kubernetes evalúe y aplique los procedimientos recomendados de configuración:
az aks enable-addons \
--addons azure-policy \
--name <aks-cluster-name> \
--resource-group <resource-group>
Prerequisites
Requisitos de red
Compruebe que los siguientes puntos de conexión para las implementaciones en la nube pública estén configurados para el acceso de salida. Configurarlos para el acceso de salida ayuda a garantizar que el sensor de Defender pueda conectarse a Microsoft Defender for Cloud para enviar eventos y datos de seguridad.
Nota:
Los dominios de Azure *.ods.opinsights.azure.com y *.oms.opinsights.azure.com ya no son necesarios para el acceso saliente. Para más información, vea el anuncio de desuso.
| Dominio de Azure |
Dominio de Azure Government |
Azure operado por el dominio 21Vianet |
Port |
| *.cloud.defender.microsoft.com |
No disponible |
No disponible |
443 |
También deberá validar los requisitos de red de Kubernetes habilitados para Azure Arc.
Implementa el sensor de Defender
En el caso de los clústeres de EKS, los componentes de Defender se implementan como extensiones de Kubernetes Azure Arc al implementarlos manualmente mediante CLI de Azure.
Si el aprovisionamiento automático se ha habilitado al activar el plan de Defender para contenedores, es posible que el sensor de Defender ya esté instalado.
Compruebe la implementación antes de ejecutar este comando.
az k8s-extension create \
--name microsoft.azuredefender.kubernetes \
--extension-type microsoft.azuredefender.kubernetes \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group> \
Implementación de la extensión de Azure Policy
az k8s-extension create \
--name azurepolicy \
--extension-type Microsoft.PolicyInsights \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group>
Prerequisites
Requisitos de red
Compruebe que los siguientes puntos de conexión para las implementaciones en la nube pública estén configurados para el acceso de salida. Configurarlos para el acceso de salida ayuda a garantizar que el sensor de Defender pueda conectarse a Microsoft Defender for Cloud para enviar eventos y datos de seguridad.
Nota:
Los dominios de Azure *.ods.opinsights.azure.com y *.oms.opinsights.azure.com ya no son necesarios para el acceso saliente. Para más información, vea el anuncio de desuso.
| Dominio de Azure |
Dominio de Azure Government |
Azure operado por el dominio 21Vianet |
Port |
| *.cloud.defender.microsoft.com |
No disponible |
No disponible |
443 |
También deberá validar los requisitos de red de Kubernetes habilitados para Azure Arc.
Clústeres de GKE privados
Los clústeres de GKE privados deben permitir el acceso HTTPS saliente (TCP 443) a los endpoints de Microsoft Defender para la nube.
Si es necesario, configure reglas de firewall para permitir la salida de los nodos del clúster:
gcloud compute firewall-rules create allow-azure-defender \
--allow tcp:443 \
--source-ranges <cluster-cidr> \
--target-tags <node-tags>
Consideraciones específicas del clúster
Clústeres de GKE estándar
No se requiere ninguna configuración especial. Siga los pasos de implementación predeterminados.
Clústeres de GKE Autopilot
Para los clústeres de Autopilot:
- El sensor de Defender ajusta automáticamente las solicitudes de recursos.
- No se necesita ninguna configuración manual para los límites de recursos.
Importante
En los clústeres de GKE Autopilot, las solicitudes de recursos y los límites del sensor de Defender no se pueden configurar manualmente. La administración de recursos se controla mediante GKE Autopilot y no se puede invalidar.
Implementa el sensor de Defender
En el caso de los clústeres de GKE, los componentes de Defender se implementan como extensiones de Kubernetes Azure Arc al implementarlos manualmente mediante CLI de Azure.
Si el aprovisionamiento automático se ha habilitado al activar el plan de Defender para contenedores, es posible que el sensor de Defender ya esté instalado.
Compruebe la implementación antes de ejecutar este comando.
az k8s-extension create \
--name microsoft.azuredefender.kubernetes \
--extension-type microsoft.azuredefender.kubernetes \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group> \
Implementación de la extensión de Azure Policy
az k8s-extension create \
--name azurepolicy \
--extension-type Microsoft.PolicyInsights \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group>
Prerequisites
Requisitos de red
Compruebe que los siguientes puntos de conexión para las implementaciones en la nube pública estén configurados para el acceso de salida. Configurarlos para el acceso de salida ayuda a garantizar que el sensor de Defender pueda conectarse a Microsoft Defender for Cloud para enviar eventos y datos de seguridad.
Nota:
Los dominios de Azure *.ods.opinsights.azure.com y *.oms.opinsights.azure.com ya no son necesarios para el acceso saliente. Para más información, vea el anuncio de desuso.
| Dominio de Azure |
Dominio de Azure Government |
Azure operado por el dominio 21Vianet |
Port |
| *.cloud.defender.microsoft.com |
No disponible |
No disponible |
443 |
También deberá validar los requisitos de red de Kubernetes habilitados para Azure Arc.
Implementa el sensor de Defender
En el caso de los clústeres de Kubernetes habilitados para Arc, los componentes de Defender se implementan como extensiones de Kubernetes Azure Arc.
Si el aprovisionamiento automático se ha habilitado al activar el plan de Defender para contenedores, es posible que el sensor de Defender ya esté instalado.
Compruebe la implementación antes de ejecutar este comando.
az k8s-extension create \
--name microsoft.azuredefender.kubernetes \
--extension-type microsoft.azuredefender.kubernetes \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group> \
Implementación de la extensión de Azure Policy
az k8s-extension create \
--name azurepolicy \
--extension-type Microsoft.PolicyInsights \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group>