Compartir a través de


Proteja sus contenedores de Amazon Web Service (AWS) con Defender para contenedores

Defender para Contenedores de Microsoft Defender for Cloud es la solución nativa de la nube que se utiliza para asegurar sus contenedores para que pueda mejorar, supervisar y mantener la seguridad de sus clústeres, contenedores y sus aplicaciones.

Más información sobre Información general de Microsoft Defender para contenedores.

Para más información sobre los precios de Defender para contenedores, consulte la página de precios.

Prerrequisitos

Habilitar el plan de Defender para contenedores en la cuenta de AWS

Para proteger los clústeres de EKS, debe habilitar el plan de contenedores en el conector de cuenta de AWS correspondiente.

Habilitar el plan de Defender para contenedores en su cuenta de AWS:

  1. Inicie sesión en Azure Portal.

  2. Busque y seleccione Microsoft Defender for Cloud.

  3. En el menú de Defender for Cloud, seleccione Environment Settings.

  4. Seleccione la cuenta de AWS correspondiente.

    Captura de pantalla de la página de configuración del entorno de Defender for Cloud que muestra un conector de AWS.

  5. Establezca el botón de alternancia para el plan de contenedores en On (Activado).

    Captura de pantalla que muestra cómo habilitar Defender para contenedores para un conector de AWS.

  6. Para cambiar las configuraciones opcionales del plan, seleccione Configuración.

    Captura de pantalla de la página de configuración del entorno de Defender for Cloud que muestra la configuración del plan Contenedores.

    • Defender para contenedores requiere registros de auditoría del plano de control para proporcionar protección contra amenazas en tiempo de ejecución. Para enviar registros de auditoría de Kubernetes a Microsoft Defender, cambie la configuración a Activado. Para cambiar el período de retención de los registros de auditoría, escriba el período de tiempo necesario.

      Nota:

      Si decide deshabilitar esta configuración, se deshabilitará la característica Threat detection (control plane). Más información sobre la disponibilidad de las características.

    • La detección sin agente para Kubernetesproporciona una detección basada en API de los clústeres de Kubernetes. Para habilitar la característica de detección sin agente para Kubernetes, cambie la configuración a Activado.

    • La evaluación de vulnerabilidades de contenedor sin agente proporciona administración de vulnerabilidades para las imágenes almacenadas en ECR y ejecutar imágenes en los clústeres de EKS. Para habilitar la característica de evaluación de vulnerabilidades de contenedor sin agente, cambie la configuración a Activado.

  7. Seleccione Next: Review and generate (Siguiente: Revisar y crear).

  8. Selecciona Actualización.

Nota:

Para habilitar o deshabilitar las capacidades individuales de Defender para contenedores, ya sea de forma global o para recursos específicos, consulte Cómo habilitar los componentes de Microsoft Defender para contenedores.

Implementación del sensor de Defender en clústeres de EKS

Kubernetes habilitado para Azure Arc, el sensor de Defender y Azure Policy para Kubernetes deben estar instalados y ejecutándose en sus clústeres de EKS. Hay recomendaciones dedicadas de Defender for Cloud que pueden usarse para instalar estas extensiones (y Azure Arc, si es necesario):

  • EKS clusters should have Microsoft Defender's extension for Azure Arc installed

Implemente las extensiones necesarias:

  1. En la página Recomendaciones de Defender for Cloud, busque una de las recomendaciones por nombre.

  2. Seleccione un clúster incorrecto.

    Importante

    Debe seleccionar los clústeres de uno en uno.

    No seleccione los clústeres en función de sus nombres hipervinculados: seleccione otros clústeres en la fila correspondiente.

  3. Seleccione Corregir.

  4. Defender for Cloud genera un script en el lenguaje que prefiera:

    • En Linux, seleccione Bash.
    • En Windows, seleccione PowerShell.
  5. Seleccione Descargar lógica de corrección.

  6. Ejecute el script generado en el clúster.

    Vídeo sobre cómo seguir la recomendación de Defender for Cloud con el fin de generar un script para los clústeres de EKS que habilita la extensión de Azure Arc.

Pasos siguientes