컨테이너용 Defender 아키텍처

아키텍처 구성 요소

클라우드용 Defender Azure Kubernetes Service 호스트되는 클러스터를 보호하는 경우 추가 에이전트 또는 구성 없이 Azure 인프라를 통해 Kubernetes 감사 로그 데이터를 기본적으로 수집합니다. 컨테이너용 Microsoft Defender에서 제공하는 전체 보호를 받으려면 다음 구성 요소가 필요합니다.

• Defender sensor:eBPF 기술 사용하여 런타임 원격 분석(Kubernetes 이벤트, 프로세스 및 네트워크 데이터)을 수집하는 AKS 노드에 배포된 간단한 DaemonSet입니다. 원격 분석 정보를 런타임 위협 방지를 위해 클라우드용 Defender에 안전하게 전송합니다. 센서는 Log Analytics 작업 영역에 등록되고 데이터 파이프라인 역할을 합니다. 그러나 감사 로그 데이터는 Log Analytics 작업 영역에 저장되지 않습니다. Defender 센서는 AKS 보안 프로필로 배포되며, 기본적으로 AKS RP(리소스 공급자)에 통합됩니다.

• Kubernetes용 Azure Policy: 오픈 소스 Gatekeeper v3를 확장하고 Kubernetes 승인 컨트롤에 웹 훅으로 등록하는 파드입니다. 이 Pod를 사용하면 중앙 집중식으로 일관된 방식으로 클러스터에 대규모 적용 및 보호 기능을 적용할 수 있습니다. Kubernetes Pod용 Azure Policy는 AKS 추가 기능으로 배포되며 클러스터의 한 노드에만 설치하면 됩니다. 구성 규칙을 적용하는 옵션을 제공합니다. Kubernetes용 Kubernetes 워크로드 보호 및 kubernetes용 Azure Policy 대해 자세히 알아봅니다.
• ACR 통합: Azure Container Registry에 대해 푸시 트리거 및 주기적 이미지 스캔을 수행하여 추가 구성 요소 없이 취약성 평가를 제공합니다.
• Agentless 검색: 에이전트 설치 없이 Azure의 기본 기능을 활용하여 Kubernetes 클러스터의 구성을 탐색하고 평가하여 클러스터에 대한 가시성을 제공합니다.
• 컴퓨터에 대한 에이전트 없는 검사: 운영 체제 구성 및 파일 시스템의 대역 외 심층 분석을 위한 Kubernetes 노드의 정기적인 디스크 스냅샷입니다. 이 기능은 설치된 에이전트 또는 네트워크 연결이 필요하지 않으며 컴퓨터 성능에 영향을 주지 않습니다.
• Microsoft XDR 통합: 통합 보안 작업 및 인시던트 대응을 위해 Microsoft 확장 검색 및 대응 플랫폼과 통합됩니다.

Defender 센서 구성 요소 세부 정보

* 리소스 제한을 구성할 수 없습니다. Kubernetes 리소스 제한에 대해 자세히 알아봅니다.

Azure에서 Kubernetes에 대한 에이전트 없는 검색은 어떻게 작동하나요?

검색 프로세스는 간격으로 수행된 스냅샷을 사용합니다.

Kubernetes에 대한 에이전트 없는 검색 확장을 사용하도록 설정하면 다음 프로세스가 발생합니다.

• 만들:
  • Defender CSPM에서 확장을 사용하도록 설정하면 클라우드용 Defender는 사용자 환경에서 라는 CloudPosture/securityOperator/DefenderCSPMSecurityOperatorID를 만듭니다.
  • Defender for Containers에서 확장을 사용하도록 설정하면 클라우드용 Defender는 사용자 환경에서 라는 CloudPosture/securityOperator/DefenderForContainersSecurityOperatorID를 만듭니다.
• Assign: 클라우드용 Defender 구독 범위의 해당 ID에 Kubernetes 에이전트 없는 연산자라는 기본 제공 역할을 할당합니다. 역할에는 다음 권한이 포함됩니다.
  • AKS 읽기(Microsoft.ContainerService/managedClusters/read)
  • AKS 신뢰할 수 있는 액세스 권한은 다음과 같습니다.
    • Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/write (신뢰할 수 있는 액세스 역할 바인딩 쓰기)
    • Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/read
    • Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/delete AKS 신뢰할 수 있는 액세스에 대해 자세히 알아보세요.
• 디스커버: 시스템 할당 ID를 사용하여 DEFENDER FOR CLOUD AKS의 API 서버에 대한 API 호출을 수행하여 사용자 환경에서 AKS 클러스터를 검색합니다.
• Bind: AKS 클러스터를 발견한 후, 클라우드용 Defender는 생성된 ID와 Kubernetes ClusterRoleBindingClusterRole 사이에 연결을 생성하여 AKS 바인딩 작업을 수행합니다. API ClusterRole 를 통해 표시되며 클러스터 내에서 클라우드용 Defender 데이터 평면 읽기 권한을 부여합니다.

아키텍처 구성 요소

클라우드용 Defender가 Elastic Kubernetes Service에서 호스트되는 클러스터를 보호하는 경우 에이전트를 사용하지 않고 감사 로그 데이터를 수집합니다. 컨테이너용 Microsoft Defender에서 제공하는 전체 보호를 받으려면 다음 구성 요소가 필요합니다.

• Kubernetes 감사 로그:AWS 계정의 CloudWatch 에이전트 없는 수집기를 통해 감사 로그 데이터를 사용하도록 설정하고 수집한 정보를 클라우드용 Microsoft Defender 백 엔드로 보내 추가 분석을 수행합니다.
• Azure Arc 지원 Kubernetes: EKS 클러스터를 Azure에 연결하고 클라우드용 Defender가 보안 구성 요소를 Arc 확장으로 배포할 수 있도록 합니다.
• Defender sensor: 런타임 위협 방지를 위해 eBPF 기술을 사용하여 런타임 원격 분석(Kubernetes 이벤트, 프로세스 및 네트워크 데이터)을 수집하는 각 노드에 배포된 간단한 DaemonSet입니다. 센서는 Log Analytics 작업 영역에 등록되고 데이터 파이프라인 역할을 합니다. 그러나 감사 로그 데이터는 Log Analytics 작업 영역에 저장되지 않습니다. Defender 센서는 Arc 지원 Kubernetes 확장 프로그램으로 배포됩니다.
• Azure Policy for Kubernetes: 오픈 소스 Gatekeeper v3을 확장하고 Kubernetes 허가 제어에 웹 후크로 등록하는 역할을 하는 Pod로서, 중앙 집중화되고 일관된 방식으로 클러스터에 대규모 강제 및 보호 조치를 적용할 수 있습니다. Kubernetes Pod용 Azure Policy는 Arc 지원 Kubernetes 확장으로 배포되며 클러스터의 한 노드에만 설치하면 됩니다. 구성 규칙을 적용하는 옵션을 제공합니다.
• Amazon ECR 통합: AMAZON ECR(Elastic Container Registry)에 저장된 컨테이너 이미지에 대한 에이전트 없는 취약성 평가입니다. 이미지는 레지스트리에 푸시될 때 자동으로 검사되어 클라우드용 Defender 통합된 보안 결과를 제공합니다.

AWS에서 Kubernetes에 대한 에이전트리스 디스커버리는 어떻게 작동하나요?

검색 프로세스는 간격으로 수행된 스냅샷을 사용합니다.

Kubernetes에 대한 에이전트 없는 검색 확장을 사용하도록 설정하면 다음 프로세스가 발생합니다.

• 만들:
  • 클라우드용 Defender 역할 MDCContainersAgentlessDiscoveryK8sRole 을 EKS 클러스터의 aws-auth ConfigMap 에 추가합니다. 이름을 사용자 지정할 수 있습니다.
• Assign: 클라우드용 Defender MDCContainersAgentlessDiscoveryK8sRole 역할에 다음 권한을 할당합니다.
  • eks:UpdateClusterConfig
  • eks:DescribeCluster
• 디스커버: 시스템 할당 ID를 사용하여 클라우드용 Defender EKS의 API 서버에 대한 API 호출을 수행하여 사용자 환경에서 EKS 클러스터를 검색합니다.

아키텍처 구성 요소

클라우드용 Defender가 Google Kubernetes Engine에서 호스트되는 클러스터를 보호하면 에이전트를 사용하지 않고 감사 로그 데이터를 수집합니다. 컨테이너용 Microsoft Defender에서 완전히 보호하려면 다음 구성 요소가 필요합니다.

• Kubernetes 감사 로그:GCP 클라우드 로깅 에이전트 없는 수집기를 통해 감사 로그 데이터를 사용하도록 설정하고 수집한 정보를 클라우드용 Microsoft Defender 백 엔드로 전송하여 추가 분석을 수행합니다.
• Azure Arc 지원 Kubernetes: GKE 클러스터를 Azure에 연결하고, Arc 확장을 통해 클라우드용 Defender의 보안 구성 요소를 배포할 수 있도록 합니다.
• Defender sensor: 런타임 위협 방지를 위해 eBPF 기술을 사용하여 런타임 원격 분석(Kubernetes 이벤트, 프로세스 및 네트워크 데이터)을 수집하는 각 노드에 배포된 간단한 DaemonSet입니다. 센서는 Log Analytics 작업 영역에 등록되고 데이터 파이프라인 역할을 합니다. 그러나 감사 로그 데이터는 Log Analytics 작업 영역에 저장되지 않습니다. Defender 센서는 Arc 지원 Kubernetes 확장 프로그램으로 배포됩니다.
• Azure Policy for Kubernetes: 오픈 소스 Gatekeeper v3을 확장하고 Kubernetes 승인 제어에 웹 훅으로 등록하는 Pod로, 중앙 집중식으로 일관되게 클러스터에 대규모 적용 및 보호를 가능하게 합니다. Kubernetes Pod용 Azure Policy는 Arc 지원 Kubernetes 확장으로 배포되며 클러스터의 한 노드에만 설치하면 됩니다. 구성 규칙을 적용하는 옵션을 제공합니다.
• Google 레지스트리 통합: GCR(Google Container Registry) 및 GAR(Google Artifact Registry)에 저장된 컨테이너 이미지에 대한 에이전트 없는 취약성 평가입니다. 이미지는 레지스트리에 푸시될 때 자동으로 검색되어 기본적으로 클라우드용 Defender 취약성을 표시합니다.

GCP에서 Kubernetes에 대한 에이전트 없는 검색은 어떻게 작동하나요?

검색 프로세스는 간격으로 수행된 스냅샷을 사용합니다.

Kubernetes에 대한 에이전트 없는 검색 확장을 사용하도록 설정하면 다음 프로세스가 발생합니다.

• 만들:
  • 서비스 계정 mdc-containers-k8s-operator이 만들어집니다. 이름을 사용자 지정할 수 있습니다.
• Assign: 클라우드용 Defender 서비스 계정 mdc-containers-k8s-operator에 다음 역할을 연결합니다.
  • 사용자 정의 역할 MDCGkeClusterWriteRole은(는) container.clusters.update 권한을 가집니다.
  • 기본 제공 역할 container.viewer
• 발견: 시스템 할당된 ID를 사용하여 클라우드용 Defender가 API 서버에 API 호출을 통해 사용자 환경에서 GKE 클러스터를 발견합니다.

아키텍처 구성 요소

컨테이너용 Microsoft Defender에서 완전히 보호하려면 다음 구성 요소가 필요합니다.

• Azure Arc 지원 Kubernetes: 귀하의 클러스터를 Azure에 연결하여 클라우드용 Defender가 보안 구성 요소를 Arc 확장으로 배포할 수 있도록 합니다.
• Defender sensor: 런타임 위협 방지를 위해 eBPF 기술 및 Kubernetes 감사 로그를 사용하여 런타임 원격 분석(Kubernetes 이벤트, 프로세스 및 네트워크 데이터)을 수집하는 각 노드에 배포된 간단한 DaemonSet입니다. 센서는 Log Analytics 작업 영역에 등록되고 데이터 파이프라인 역할을 합니다. 그러나 감사 로그 데이터는 Log Analytics 작업 영역에 저장되지 않습니다. Defender 센서를 Arc 지원 Kubernetes 확장으로 배포합니다.
• Azure Policy for Kubernetes: 오픈 소스 Gatekeeper v3을 확장하고 Kubernetes 승인 제어에 대한 웹 후크로 등록하는 Pod입니다. 이 Pod를 사용하면 중앙 집중식으로 일관된 방식으로 클러스터에 대규모 적용 및 보호 기능을 적용할 수 있습니다. 클러스터의 한 노드에만 설치하면 됩니다. 구성 규칙을 적용하는 옵션을 제공합니다. Kubernetes용 Kubernetes 워크로드 보호 및 kubernetes용 Azure Policy 대해 자세히 알아봅니다.