컨테이너용 Microsoft Defender 구성 요소 구성

• 3분

컨테이너용 Microsoft Defender는 컨테이너 보호를 위한 클라우드 네이티브 솔루션입니다.

컨테이너용 Defender는 클러스터가 실행되고 있는지 여부에 관계없이 클러스터를 보호합니다.

• AKS(Azure Kubernetes Service) - 컨테이너화된 애플리케이션 개발, 배포 및 관리를 위한 Microsoft의 관리형 서비스입니다.
• 연결된 AWS(Amazon Web Services) 계정의 Amazon EKS(Elastic Kubernetes Service) - 자체 Kubernetes 컨트롤 플레인 또는 노드를 설치, 운영, 유지 관리할 필요 없이 AWS에서 Kubernetes를 실행하기 위한 Amazon 관리되는 서비스입니다.
• 연결된 GCP(Google Cloud Platform) 프로젝트의 GKE(Google Kubernetes Engine) - GCP 인프라를 사용하여 애플리케이션을 배포, 관리 및 크기 조정하기 위한 Google의 관리 환경입니다.
• 기타 Kubernetes 배포(Azure Arc 지원 Kubernetes 사용) - 온-프레미스 또는 IaaS에서 호스트되는 CNCF(Cloud Native Computing Foundation) 인증 Kubernetes 클러스터입니다.

네트워크 요구 사항

Defender 에이전트가 클라우드용 Microsoft Defender에 연결하여 보안 데이터 및 이벤트를 보낼 수 있도록 아웃바운드 액세스에 대해 다음 엔드포인트가 구성되어 있는지 유효성 검사합니다.

• 컨테이너용 Microsoft Defender에 대한 FQDN(정규화된 도메인 이름)/애플리케이션 규칙의 유효성을 검사합니다.
• 기본적으로 AKS 클러스터에는 무제한 아웃바운드(송신) 인터넷 액세스가 있습니다.

계획 사용

플랜을 사용하도록 설정:

1. 클라우드용 Defender의 메뉴에서 설정 페이지를 열고 관련 구독을 선택합니다.

2. Defender 계획 페이지에서 컨테이너용 Defender를 선택한 다음 설정을 선택합니다.

   

   팁

   구독에 이미 Kubernetes용 Defender 및/또는 컨테이너용 Defender 레지스트리가 사용하도록 설정되어 있는 경우 업데이트 알림이 표시됩니다. 그렇지 않으면 유일한 옵션은 컨테이너용 Defender입니다.

   

3. 관련 구성 요소를 켜서 사용하도록 설정합니다.

   

기능별 사용 설정 메서드

기본적으로 Azure Portal을 통해 플랜을 사용하도록 설정하면 컨테이너용 Microsoft Defender는 자동으로 모든 기능을 사용하도록 설정하고 모든 필수 구성 요소를 설치하여 기본 작업 영역 할당을 포함하여 플랜에서 제공하는 보호를 제공하도록 구성됩니다.

요금제의 모든 기능을 활성화하지 않으려면 컨테이너 요금제에서 구성 편집을 선택하여 활성화할 특정 기능을 수동으로 선택할 수 있습니다. 그런 다음 설정 & 모니터링 페이지에서 사용하도록 설정할 기능을 선택합니다. 또한 플랜의 초기 구성 후 Defender 플랜 페이지에서 이 구성을 수정할 수 있습니다.

Defender 에이전트에 대한 사용자 지정 작업 영역 할당

Azure Policy를 통해 사용자 지정 작업 영역을 할당할 수 있습니다.

권장 사항을 사용하여 자동 프로비전하지 않고 Defender 에이전트 또는 Azure 정책 에이전트 수동 배포

에이전트 설치가 필요한 기능은 적절한 권장 사항을 사용하여 하나 이상의 Kubernetes 클러스터에 배포할 수도 있습니다.

에이전트	권장 사항
Kubernetes용 Defender 에이전트	Azure Kubernetes Service 클러스터에는 Defender 프로필이 사용하도록 설정되어 있어야 합니다.
Arc 지원 Kubernetes용 Defender 에이전트	Azure Arc 지원 Kubernetes 클러스터에 Defender의 확장이 설치되어 있어야 합니다.
Kubernetes용 Azure Policy 에이전트	Azure Kubernetes Service 클러스터에 Kubernetes용 Azure Policy 추가 기능이 설치되어 있어야 합니다.
Arc 지원 Kubernetes용 Azure Policy 에이전트	Azure Arc 지원 Kubernetes 클러스터에 Azure Policy 확장이 설치되어 있어야 합니다.

특정 클러스터에서 Defender 에이전트 배포를 수행하려면 다음 단계를 진행합니다.

1. 클라우드용 Microsoft Defender 권장 사항 페이지에서 강화된 보안 사용 컨트롤을 열거나 위의 권장 사항 중 하나를 직접 검색(또는 위의 링크를 사용하여 권장 사항 직접 열기)

2. 비정상 탭을 통해 에이전트가 없는 모든 클러스터를 봅니다.

3. 원하는 에이전트를 배포할 클러스터를 선택하고 수정을 선택합니다.

4. X 리소스 수정을 선택합니다.

   • Defender 에이전트가 배포된 클러스터에 대한 가시성
   • 에이전트 없이 해당 클러스터에 배포하는 수정 단추
   • 작업 영역: DefaultWorkspace-[subscription-ID]-[geo]
   • 리소스 그룹: DefaultResourceGroup-[geo]
   • 자동 프로비전을 활성화하면 기존 및 향후 머신에 영향을 미칠 수 있습니다.
   • 확장에 대해 자동 프로비전을 비활성화하면 향후 머신에만 영향을 미치며, 자동 프로비전 비활성화에 의해 아무것도 제거되지 않습니다.

Defender 에이전트 배포 - 모든 옵션

컨테이너용 Defender를 사용하도록 설정하고 Azure Portal, REST API 또는 Resource Manager 템플릿에서 모든 관련 구성 요소를 배포할 수 있습니다. 자세한 단계는 관련 탭을 선택합니다.

Defender 에이전트가 배포되면 기본 작업 영역이 자동으로 할당됩니다. Azure Policy를 통해 기본 작업 영역 대신 사용자 지정 작업 영역을 할당할 수 있습니다.

클라우드용 Defender 권장 사항의 수정 단추 사용

능률적이고 원활한 프로세스를 통해 Azure Portal 페이지를 사용하여 클라우드용 Defender 계획을 사용하도록 설정하고 Kubernetes 클러스터를 대규모로 방어하는 데 필요한 모든 구성 요소의 자동 프로비저닝을 설정할 수 있습니다.

클라우드용 Defender 권장 사항은 다음을 제공합니다.

1. 클라우드용 Microsoft Defender의 권장 사항 페이지에서 강화된 보안 컨트롤을 엽니다.

2. 필터를 사용하여 Azure Kubernetes Service 클러스터에 Defender 프로필이 사용하도록 설정되어 있어야 함이라는 권장 사항을 찾습니다.

   참고 항목

   작업 열에서 수정 아이콘을 확인합니다.

3. 클러스터를 선택하여 정상 리소스와 비정상 리소스(에이전트가 있는 클러스터와 없는 클러스터)에 대한 세부 정보를 확인합니다.

4. 비정상 리소스 목록에서 클러스터를 선택하고 수정을 선택하여 수정 확인 창을 엽니다.

5. X 리소스 수정을 선택합니다.

컨테이너용 Microsoft Defender의 보안 경고 시뮬레이션

1. 보안 경고를 시뮬레이션하려면 클러스터에서 다음 명령을 실행합니다. kubectl get pods --namespace=asc-alerttest-662jfi039n 예상 응답은 No resource found입니다. 30분 이내에 클라우드용 Defender가 이 작업을 검색하고 보안 경고를 트리거합니다.

   참고 항목

   Azure Arc는 컨테이너용 Defender에 대한 에이전트 없는 경고를 시뮬레이션하기 위한 필수 구성 요소가 아닙니다.

2. Azure Portal에서 클라우드용 Microsoft Defender의 보안 경고 페이지를 열고 관련 리소스에 대한 경고를 찾습니다.

   

AKS에 대한 기본 Log Analytics 작업 영역

Defender 에이전트에서 Log Analytics 작업 영역을 데이터 파이프라인으로 사용하여 데이터를 Log Analytics 작업 영역 자체에 유지하지 않고 클러스터에서 클라우드용 Defender로 데이터를 보냅니다. 따라서 이 사용 사례에서는 사용자에게 요금이 청구되지 않습니다.

Defender 에이전트는 기본 Log Analytics 작업 영역을 사용합니다. 기본 Log Analytics 작업 영역이 아직 없는 경우 Defender 에이전트가 설치될 때 클라우드용 Defender에서 새 리소스 그룹 및 기본 작업 영역을 만듭니다. 기본 작업 영역은 지역에 따라 만들어집니다.

기본 Log Analytics 작업 영역 및 리소스 그룹의 명명 규칙은 다음과 같습니다.

사용자 지정 작업 영역 할당

자동 프로비전 옵션을 사용하도록 설정하면 기본 작업 영역이 자동으로 할당됩니다. Azure Policy를 통해 사용자 지정 작업 영역을 할당할 수 있습니다.

할당된 작업 영역이 있는지 확인하려면:

1. Azure Portal에 로그인합니다.

2. 정책을 검색하고 선택합니다.

   

3. 정의를 선택합니다.

4. 정책 ID 1aaaaaa1-2bb2-3cc3-4dd4-5eeeeeeeeee5를 검색합니다.

   

5. 정책이 관련 범위에 아직 할당되지 않은 경우 사용자 지정 작업 영역을 사용하여 새 할당 만들기를 따릅니다. 또는 정책이 이미 할당되어 있고 사용자 지정 작업 영역을 사용하기 위해 이를 변경하려는 경우 사용자 지정 작업 영역을 사용하여 할당 업데이트를 따릅니다.

사용자 지정 작업 영역을 사용하여 새 할당 만들기

정책이 할당되지 않은 경우 Assignments (0)이 표시됩니다.

사용자 지정 작업 영역을 할당하려면 다음을 수행합니다.

1. 할당을 선택합니다.

2. 매개 변수 탭에서 입력 또는 검토 옵션이 필요한 매개 변수만 표시를 선택 취소합니다.

3. 드롭다운 메뉴에서 LogAnalyticsWorkspaceResource ID를 선택합니다.

   

4. 검토 + 만들기를 선택합니다.

5. 만들기를 선택합니다.

사용자 지정 작업 영역을 사용하여 할당 업데이트

정책이 이미 작업 영역에 할당된 경우 Assignments (1)이 표시됩니다.

사용자 지정 작업 영역을 할당하려면 다음을 수행합니다.

1. 관련 할당을 선택합니다.

   

2. 할당 편집을 선택합니다.

3. 매개 변수 탭에서 입력 또는 검토 옵션이 필요한 매개 변수만 표시를 선택 취소합니다.

4. 드롭다운 메뉴에서 LogAnalyticsWorkspaceResource ID를 선택합니다.

   

5. 검토 + 저장을 선택합니다.

6. 저장을 선택합니다.

Defender 센서 제거

이 확장 또는 모든 것을 제거하려면 자동 프로비저닝을 끄는 것만으로는 충분하지 않습니다.

컨테이너용 Defender 계획을 완전히 끄려면 환경 설정으로 이동하여 컨테이너용 Microsoft Defender 계획을 사용하지 않도록 설정합니다.

그럼에도 불구하고 지금부터 컨테이너용 Defender 구성 요소가 리소스에 자동으로 프로비저닝되지 않도록 하려면 클라우드용 Microsoft Defender에서 에이전트 및 확장에 대한 자동 프로비저닝 구성에 설명된 대로 확장의 자동 프로비저닝을 사용하지 않도록 설정합니다.

아래 탭에 설명된 대로 REST API 또는 Resource Manager 템플릿을 사용하여 확장을 제거할 수 있습니다.

Azure CLI를 사용하여 Defender 센서 제거

1. 다음 명령을 사용하여 Microsoft Defender를 제거합니다.

   
   az login az account set --subscription <subscription-id> az aks update --disable-defender --resource-group <your-resource-group> --name <your-cluster-name>
   
   
   

   확장을 제거하는 데 몇 분 정도 걸릴 수 있습니다.

2. 확장이 성공적으로 제거되었는지 확인하려면 다음 명령을 실행합니다. kubectl get pods -n kube-system | grep microsoft-defender 확장이 제거되면 Pod 가져오기 명령에서 Pod가 반환되지 않는 것을 볼 수 있습니다. Pod를 삭제하는 데 몇 분 정도 걸릴 수 있습니다.