컨테이너에 대한 Microsoft Defender 문제 해결

일반적인 배포 문제

• Defender 센서 설치가 실패합니다

  • 증상:kubectl get pods -n kube-system -l app=defenderDefender 센서 Pod가 Pending, CrashLoopBackOff 또는 Error에 표시됩니다.
  • 해결 방법:
    • 리소스가 부족합니다. 노드 용량을 확인합니다. 노드에 센서를 예약하기에 충분한 CPU 및 메모리가 있는지 확인하는 데 사용합니다 kubectl top nodes .
    • 네트워크 송신: 클러스터 방화벽 또는 NSG가 필요한 FQDN에 대한 아웃바운드 트래픽을 허용하는지 확인합니다.
    • Taints 및 Tolerations: 노드 taint로 인해 특정 노드 풀에서 Pod 예약이 차단되고 있지 않은지 확인합니다.

• 누락된 권장 사항

  • Symptoms: 클러스터는 "정상"으로 표시되지만 "AKS 클러스터에는 Defender 프로필 사용"와 같은 특정 권장 사항이 없습니다.
  • 해결 방법:
    • 대기 시간: 평가 검사는 대시보드에 반영하는 데 최대 24시간이 걸릴 수 있습니다.
    • 제외 태그: 리소스에 태그 ms_defender_container_exclude_sensors = true가 있는지 확인합니다.
    • Policy 추가 기능: Azure Policy 추가 기능이 설치되어 있는지 확인합니다. 추가 기능이 없으면 구성 기반 권장 사항이 트리거되지 않습니다.

취약성 검사 문제

• Azure Container Registry 이미지의 취약성 발견 누락

  • Symptoms: 취약성 결과는 Azure Container Registry 저장된 이미지에 나타나지 않습니다.
  • 해결 방법:
    • Registry scanning: 컨테이너에 대한 Defender에 적절한 레지스트리 검사 기능이 사용하도록 설정되어 있는지 확인합니다. Azure 포털에서 관련 범위에 대해 등록 액세스 사용하도록 설정되어 있는지 확인합니다.
    • 추가 조사: 레지스트리 검사를 사용하도록 설정하고 검색 결과가 아직 누락된 경우 레지스트리 이름, 이미지 이름, 이미지 다이제스트 및 예상 검색 세부 정보를 사용하여 지원 사례를 엽니다.

• AKS 클러스터에서 실행되는 이미지에 대한 취약성 발견 누락

  • 증상: 현재 AKS 워크로드에서 실행 중인 이미지에는 취약성 조사 결과가 나타나지 않습니다.
  • 해결 방법:
    • Vulnerability scanning: 컨테이너용 Defender의 관련 취약성 검사 기능이 사용 설정되어 있는지 확인합니다. 런타임 취약성 결과는 레지스트리 검사 또는 디스크 검사 결과와 같이 실행 중인 이미지에 대해 사용 가능한 검사 결과에 따라 달라집니다.
    • Pod 인벤토리 컬렉션: 클러스터에 대해 Pod 인벤토리 수집이 사용하도록 설정되어 있는지 확인합니다. AKS의 경우, 배포 구성에 따라 Defender 센서 또는 에이전트리스 방식으로 Pod 인벤토리를 수집할 수 있습니다.
    • 추가 조사: 취약성 검사 및 Pod 인벤토리 수집이 활성화되어 있음에도 결과가 누락된 경우, 클러스터 이름, 네임스페이스, 워크로드 이름, 이미지 이름 및 이미지 다이제스트를 포함하여 지원 요청을 제출합니다.

커넥터 및 검색

• AWS 커넥터 연결이 끊어졌습니다.

  • CloudFormation 상태: AWS CloudFormation 콘솔을 확인하여 온보딩 스택이 CREATE_COMPLETE 상태에 있는지 확인합니다.
  • 권한:MDCContainersAgentlessDiscoveryK8sRole 역할이 수정되지 않았는지 확인합니다. 이 역할은 클라우드용 Defender EKS API를 통해 클러스터를 검색하는 데 필요합니다.

• 인벤토리에 EKS 클러스터가 표시되지 않음

  • Kubernetes API 액세스: AWS 커넥터 설정에서 이 구성 요소가 켜 지도록 설정되었는지 확인합니다.
  • IAM ID 매핑:aws-auth ConfigMap이 클라우드용 Defender 역할을 포함하도록 업데이트되었거나 EKS 액세스 항목이 역할에 대해 만들어졌는지 확인합니다.

취약성 검사 문제

• Amazon Elastic Container Registry의 이미지에 대한 취약성 발견 누락

  • 증상: Amazon Elastic Container Registry에 저장된 이미지에는 취약성 조사 결과가 나타나지 않습니다.
  • 해결 방법:
    • Registry scanning: 관련 레지스트리 검사 기능이 컨테이너용 Defender에 대해 활성화되어 있는지 확인합니다. AWS 커넥터 설정에서 레지스트리 액세스 가 사용하도록 설정되어 있는지 확인합니다.
    • 추가 조사: 레지스트리 검사를 사용하도록 설정하고 검색 결과가 아직 누락된 경우 레지스트리 이름, 이미지 이름, 이미지 다이제스트 및 예상 검색 세부 정보를 사용하여 지원 사례를 엽니다.

• EKS 클러스터에서 실행되는 이미지에 대한 취약성 발견 누락

  • 증상: 현재 EKS 워크로드에서 실행 중인 이미지에는 취약성 조사 결과가 나타나지 않습니다.
  • 해결 방법:
    • Vulnerability scanning: Microsoft Defender for Containers에 대한 취약성 검사 기능이 사용하도록 설정되어 있는지 확인합니다. 런타임 취약성 결과는 레지스트리 검사 또는 디스크 검사 결과와 같이 실행 중인 이미지에 대해 사용 가능한 검사 결과에 따라 달라집니다.
    • Pod 인벤토리 컬렉션: 클러스터에 대해 Pod 인벤토리 수집이 사용하도록 설정되어 있는지 확인합니다. Pod 인벤토리는 배포 구성에 따라 Defender 센서 또는 에이전트 없는 컬렉션에서 수집할 수 있습니다.
    • 커넥터 및 권한: AWS 커넥터 및 필요한 클라우드 권한이 올바르게 구성되었는지 확인합니다.
    • 추가 조사: 취약성 검사, Pod 인벤토리 수집 및 커넥터 권한이 구성되었지만 결과가 아직 누락된 경우 클러스터 이름, 네임스페이스, 워크로드 이름, 이미지 이름 및 이미지 다이제스트를 사용하여 지원 사례를 엽니다.

런타임 경고

• 컨트롤 플레인 경고가 생성되지 않음
  • 감사 로깅: 각 클러스터에 대해 감사 로그를 사용하도록 설정해야 합니다. aws eks update-cluster-config --name <cluster-name> --logging '{"clusterLogging":[{"types":["audit","authenticator"],"enabled":true}]}'를 실행합니다.
  • SQS 구성: CloudTrail이 커넥터에서 사용하는 SQS 큐에 로그를 올바르게 보내고 있는지 확인합니다. 커넥터 설정에서 SQS ARN이 정확한지 확인합니다.

자세와 검색

• GKE Autopilot 제한 사항

  Important

  GKE Autopilot 클러스터에서는 Defender 센서에 대한 리소스 제한을 수동으로 구성하거나 재정의할 수 없습니다. 센서는 Autopilot의 특수 예약에 필요한 최소 리소스를 자동으로 요청하도록 설계되었습니다.

• 서비스 계정 오류

  • 계정 전자 메일 서비스: Azure 포털의 서비스 계정 전자 메일이 GCP 콘솔에서 생성된 전자 메일과 일치하는지 확인합니다.
  • IAM 역할: 서비스 계정에 container.viewer 프로젝트 수준의 역할과 container.clusters.update 역할이 있는지 확인합니다.

레지스트리 평가 문제

• 아티팩트 레지스트리의 취약성 발견 누락

  • 증상: Google 아티팩트 레지스트리에 저장된 이미지에는 취약성 조사 결과가 표시되지 않습니다.
  • 해결 방법:
    • Registry scanning: 관련 레지스트리 검사 기능이 컨테이너용 Defender에 대해 활성화되어 있는지 확인합니다. GCP 커넥터 설정에서 레지스트리 액세스 가 사용하도록 설정되어 있는지 확인합니다.
    • 추가 조사: 레지스트리 검사를 사용하도록 설정하고 검색 결과가 아직 누락된 경우 레지스트리 이름, 이미지 이름, 이미지 다이제스트 및 예상 검색 세부 정보를 사용하여 지원 사례를 엽니다.

• GKE 클러스터에서 실행되는 이미지에 대한 취약성 발견 누락

  • 증상: 현재 GKE 워크로드에서 실행 중인 이미지에는 취약성 조사 결과가 나타나지 않습니다.
  • 해결 방법:
    • Vulnerability scanning: Microsoft Defender for Containers에 대한 취약성 검사 기능이 사용하도록 설정되어 있는지 확인합니다. 런타임 취약성 결과는 레지스트리 검사 또는 디스크 검사 결과와 같이 실행 중인 이미지에 대해 사용 가능한 검사 결과에 따라 달라집니다.
    • Pod 인벤토리 컬렉션: 클러스터에 대해 Pod 인벤토리 수집이 사용하도록 설정되어 있는지 확인합니다. Pod 인벤토리는 배포 구성에 따라 Defender 센서 또는 에이전트 없는 컬렉션에서 수집할 수 있습니다.
    • 커넥터 및 권한: GCP 커넥터 및 필요한 클라우드 권한이 올바르게 구성되었는지 확인합니다.
    • 추가 조사: 취약성 검사 및 Pod 인벤토리 수집이 활성화되어 있음에도 결과가 누락된 경우, 클러스터 이름, 네임스페이스, 워크로드 이름, 이미지 이름 및 이미지 다이제스트를 포함하여 지원 요청을 제출합니다.

Arc Connectivity

• 클러스터 상태 "연결 끊김"
  • Network Egress: 클러스터가 TCP 443에서 필요한 Azure Arc 엔드포인트에 연결할 수 있는지 확인합니다.
  • 시간 동기화: 노드 시스템 시간이 정확하고 NTP를 통해 동기화되었는지 확인합니다. 노드 시간이 크게 드리프트되면 Arc 인증서 핸드셰이크가 실패하여 구성 요소가 배포되지 않습니다.
  • 프록시 구성: 환경에서 프록시를 사용하는 경우 Arc 에이전트가 단계 중에 http_proxy 올바른 https_proxy 설정과 az connectedk8s connect 설정으로 구성되었는지 확인합니다.

확장 관리

• Defender 확장은 "생성 중" 또는 "실패함" 상태에서 중단되었습니다

  • 에이전트 로그: Arc 에이전트 로그에서 자세한 오류를 확인합니다. kubectl logs -n azure-arc -l app.kubernetes.io/component=cluster-agent
  • 재설치: 확장이 중단된 상태로 유지되면 CLI를 통해 삭제하고 다시 만듭니다. az k8s-extension delete --cluster-name <name> --resource-group <rg> --cluster-type connectedClusters --name microsoft.azuredefender.kubernetes

• Defender 센서 포드 "ImagePullBackOff"

  • 증상: Pod가 이미지 가져오기 오류로 시작하지 못합니다.
  • 해결 방법:
    • MCR 연결: 노드가 mcr.microsoft.com 도달하여 Defender 센서 이미지를 끌어올 수 있는지 확인합니다.
    • 네임스페이스 충돌: 다른 보안 솔루션 또는 허용 컨트롤러가 네임스페이스를 방해하지 mdc 않는지 확인합니다.