이 문서에서는 클라우드용 Microsoft Defender에서 컨테이너용 Defender 계획을 활성화한 후 Azure CLI를 사용하여 컨테이너용 Microsoft Defender 센서와 Kubernetes를 위한 Azure Policy를 클러스터에 배포하는 방법을 설명합니다.
AKS(Azure Kubernetes Service) 실행되지 않는 클러스터의 경우 클라우드용 Defender Azure Arc 사용 가능한 Kubernetes를 사용하여 필요한 확장을 배포합니다.
필수 조건
Azure 구독에서 컨테이너용 Defender 사용.
Azure CLI 버전 2.40.0 이상.
적절한 RBAC 권한(기여자 또는 보안 관리자).
Defender for Containers에서 지원하는 AKS 클러스터입니다.
지원 매트릭스를 참조하세요.
클러스터에 OIDC(OpenId Connect) 발급자가 활성화되어 있습니다.
네트워크 요구 사항
보안 데이터 및 이벤트를 보내려면 Defender 센서가 클라우드용 Microsoft Defender에 연결해야 합니다. 필요한 엔드포인트가 아웃바운드 액세스에 대해 구성되어 있는지 확인합니다.
연결 요구 사항
Defender 센서는 다음을 위한 연결이 필요합니다.
- 클라우드용 Microsoft Defender(보안 데이터 및 이벤트 전송용)
기본적으로 AKS 클러스터에는 무제한 아웃바운드(송신) 인터넷 액세스가 있습니다.
송신이 제한된 클러스터의 경우 컨테이너용 Microsoft Defender의 특정 FQDN이 제대로 작동하도록 허용해야 합니다. 필요한 엔드포인트에 대한 AKS 아웃바운드 네트워크 설명서에서 컨테이너용 Microsoft Defender - 필수 FQDN/애플리케이션 규칙을 참조하세요.
프라이빗 링크 구성
클라우드용 Microsoft Defender의 Microsoft Security Private Link에 대한 지침은 여기를 참조하세요.
Defender 센서 배포
컨테이너용 Defender 계획을 설정할 때 자동 프로비저닝을 사용하도록 설정한 경우 Defender 센서가 이미 설치되어 있을 수 있습니다. 이 명령을 실행하기 전에 배포를 확인합니다.
특정 AKS 클러스터에 Defender 센서를 배포하려면 다음을 수행합니다.
az aks update \
--resource-group <resource-group> \
--name <aks-cluster-name> \
--enable-defender
Azure Policy 추가 기능 배포
Kubernetes에 대한 Azure Policy 구성 모범 사례를 평가하고 적용할 수 있도록 설정합니다.
az aks enable-addons \
--addons azure-policy \
--name <aks-cluster-name> \
--resource-group <resource-group>
필수 조건
AWS 커넥터에서 사용하도록 설정된 컨테이너용 Defender.
Azure CLI 버전 2.40.0 이상.
kubectl EKS 클러스터에 액세스하도록 구성되었습니다.
EKS 클러스터는 Azure Arc 연결됩니다.
네트워크 요구 사항
퍼블릭 클라우드 배포에 대한 다음 엔드포인트가 아웃바운드 액세스를 위해 구성되었는지 확인합니다. 아웃바운드 액세스를 위해 구성하면 Defender 센서가 클라우드용 Microsoft Defender에 연결하여 보안 데이터 및 이벤트를 보낼 수 있습니다.
비고
Azure 도메인 *.ods.opinsights.azure.com 및 *.oms.opinsights.azure.com 더 이상 아웃바운드 액세스에 필요하지 않습니다. 자세한 내용은 사용 중단 공지 사항을 참조하세요.
| Azure 도메인 |
Azure Government 도메인 |
21Vianet 도메인에서 운영하는 Azure |
Port |
| *.cloud.defender.microsoft.com |
적용되지 않음 (N/A) |
적용되지 않음 (N/A) |
443 |
Azure Arc 사용 Kubernetes 네트워크 요구 사항의 유효성도 검사해야 합니다.
Defender 센서 배포
EKS 클러스터의 경우 Defender 구성 요소는 Azure CLI 사용하여 수동으로 배포할 때 Azure Arc Kubernetes 확장으로 배포됩니다.
컨테이너용 Defender 계획을 설정할 때 자동 프로비저닝을 사용하도록 설정한 경우 Defender 센서가 이미 설치되어 있을 수 있습니다. 이 명령을 실행하기 전에 배포를 확인합니다.
az k8s-extension create \
--name microsoft.azuredefender.kubernetes \
--extension-type microsoft.azuredefender.kubernetes \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group> \
Azure Policy 확장 배포
az k8s-extension create \
--name azurepolicy \
--extension-type Microsoft.PolicyInsights \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group>
필수 조건
GCP 커넥터에 대해 컨테이너용 Defender가 사용하도록 설정되었습니다.
Azure CLI 버전 2.40.0 이상.
kubectl GKE 클러스터에 액세스하도록 구성됩니다.
GKE 클러스터는 Azure Arc 연결됩니다.
네트워크 요구 사항
퍼블릭 클라우드 배포에 대한 다음 엔드포인트가 아웃바운드 액세스를 위해 구성되었는지 확인합니다. 아웃바운드 액세스를 위해 구성하면 Defender 센서가 클라우드용 Microsoft Defender에 연결하여 보안 데이터 및 이벤트를 보낼 수 있습니다.
비고
Azure 도메인 *.ods.opinsights.azure.com 및 *.oms.opinsights.azure.com 더 이상 아웃바운드 액세스에 필요하지 않습니다. 자세한 내용은 사용 중단 공지 사항을 참조하세요.
| Azure 도메인 |
Azure Government 도메인 |
21Vianet 도메인에서 운영하는 Azure |
Port |
| *.cloud.defender.microsoft.com |
적용되지 않음 (N/A) |
적용되지 않음 (N/A) |
443 |
Azure Arc 사용 Kubernetes 네트워크 요구 사항의 유효성도 검사해야 합니다.
프라이빗 GKE 클러스터
프라이빗 GKE 클러스터는 클라우드용 Microsoft Defender 엔드포인트에 대한 아웃바운드 HTTPS(TCP 443) 액세스를 허용해야 합니다.
필요한 경우 클러스터 노드의 출구 트래픽을 허용하도록 방화벽 규칙을 구성합니다.
gcloud compute firewall-rules create allow-azure-defender \
--allow tcp:443 \
--source-ranges <cluster-cidr> \
--target-tags <node-tags>
클러스터별 고려 사항
표준 GKE 클러스터
특별한 구성은 필요하지 않습니다. 기본 배포 단계를 따릅니다.
GKE Autopilot 클러스터
Autopilot 클러스터의 경우:
- Defender 센서는 리소스 요청을 자동으로 조정합니다.
- 리소스 제한에는 수동 구성이 필요하지 않습니다.
Important
GKE Autopilot 클러스터에서는 Defender 센서에 대한 리소스 요청 및 제한을 수동으로 구성할 수 없습니다. 리소스 관리는 GKE Autopilot에 의해 제어되며 재정의할 수 없습니다.
Defender 센서 배포
GKE 클러스터의 경우 Defender 구성 요소는 Azure CLI 사용하여 수동으로 배포할 때 Azure Arc Kubernetes 확장으로 배포됩니다.
컨테이너용 Defender 계획을 설정할 때 자동 프로비저닝을 사용하도록 설정한 경우 Defender 센서가 이미 설치되어 있을 수 있습니다. 이 명령을 실행하기 전에 배포를 확인합니다.
az k8s-extension create \
--name microsoft.azuredefender.kubernetes \
--extension-type microsoft.azuredefender.kubernetes \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group> \
Azure Policy 확장 배포
az k8s-extension create \
--name azurepolicy \
--extension-type Microsoft.PolicyInsights \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group>
필수 조건
네트워크 요구 사항
퍼블릭 클라우드 배포에 대한 다음 엔드포인트가 아웃바운드 액세스를 위해 구성되었는지 확인합니다. 아웃바운드 액세스를 위해 구성하면 Defender 센서가 클라우드용 Microsoft Defender에 연결하여 보안 데이터 및 이벤트를 보낼 수 있습니다.
비고
Azure 도메인 *.ods.opinsights.azure.com 및 *.oms.opinsights.azure.com 더 이상 아웃바운드 액세스에 필요하지 않습니다. 자세한 내용은 사용 중단 공지 사항을 참조하세요.
| Azure 도메인 |
Azure Government 도메인 |
21Vianet 도메인에서 운영하는 Azure |
Port |
| *.cloud.defender.microsoft.com |
적용되지 않음 (N/A) |
적용되지 않음 (N/A) |
443 |
Azure Arc 사용 Kubernetes 네트워크 요구 사항의 유효성도 검사해야 합니다.
Defender 센서 배포
Arc 지원 Kubernetes 클러스터의 경우 Defender 구성 요소는 Azure Arc Kubernetes 확장으로 배포됩니다.
컨테이너용 Defender 계획을 설정할 때 자동 프로비저닝을 사용하도록 설정한 경우 Defender 센서가 이미 설치되어 있을 수 있습니다. 이 명령을 실행하기 전에 배포를 확인합니다.
az k8s-extension create \
--name microsoft.azuredefender.kubernetes \
--extension-type microsoft.azuredefender.kubernetes \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group> \
Azure Policy 확장 배포
az k8s-extension create \
--name azurepolicy \
--extension-type Microsoft.PolicyInsights \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group>