Ochrona kontenerów usługi Amazon Web Service (AWS) za pomocą usługi Defender for Containers
Usługa Defender for Containers w usłudze Microsoft Defender dla Chmury to rozwiązanie natywne dla chmury, które służy do zabezpieczania kontenerów, co umożliwia ulepszanie, monitorowanie i utrzymywanie zabezpieczeń klastrów, kontenerów i aplikacji.
Dowiedz się więcej o omówieniu usługi Microsoft Defender for Containers.
Więcej informacji na temat cennika usługi Defender for Container można znaleźć na stronie cennika.
Wymagania wstępne
Potrzebna jest subskrypcja platformy Microsoft Azure. Jeśli nie masz subskrypcji platformy Azure, możesz zarejestrować się w celu uzyskania bezpłatnej subskrypcji.
Musisz włączyć Microsoft Defender dla Chmury w ramach subskrypcji platformy Azure.
Łączenie konta platformy AWS z usługą Microsoft Defender dla Chmury
Sprawdź, czy węzły kubernetes mogą uzyskiwać dostęp do repozytoriów źródłowych menedżera pakietów. Aby uzyskać informacje o wymaganiach, zobacz Wymagania dotyczące sieci.
Upewnij się, że zostały zweryfikowane następujące wymagania sieciowe platformy Kubernetes z obsługą usługi Azure Arc.
Włączanie planu usługi Defender for Containers na koncie platformy AWS
Aby chronić klastry EKS, należy włączyć plan Kontenery w odpowiednim łączniku konta platformy AWS.
Aby włączyć plan usługi Defender for Containers na koncie platformy AWS:
Zaloguj się w witrynie Azure Portal.
Wyszukaj i wybierz pozycję Microsoft Defender dla Chmury.
W menu Defender dla Chmury wybierz pozycję Ustawienia środowiska.
Wybierz odpowiednie konto platformy AWS.
Ustaw przełącznik dla planu Kontenery na wartość Włączone.
Aby zmienić opcjonalne konfiguracje planu, wybierz pozycję Ustawienia.
Usługa Defender for Containers wymaga dzienników inspekcji płaszczyzny sterowania w celu zapewnienia ochrony środowiska uruchomieniowego przed zagrożeniami. Aby wysłać dzienniki inspekcji platformy Kubernetes do usługi Microsoft Defender, przełącz ustawienie na Włączone. Aby zmienić okres przechowywania dzienników inspekcji, wprowadź wymagany przedział czasu.
Uwaga
Jeśli wyłączysz tę konfigurację, funkcja zostanie wyłączona
Threat detection (control plane)
. Dowiedz się więcej o dostępności funkcji.Odnajdywanie bez agenta dla platformy Kubernetes zapewnia oparte na interfejsie API odnajdywanie klastrów Kubernetes. Aby włączyć funkcję Odnajdywanie bez agenta dla platformy Kubernetes , przełącz ustawienie na Włączone.
Ocena luk w zabezpieczeniach kontenera bez agenta zapewnia zarządzanie lukami w zabezpieczeniach obrazów przechowywanych w usłudze ECR i uruchamiania obrazów w klastrach EKS. Aby włączyć funkcję Ocena luk w zabezpieczeniach kontenera bez agenta, przełącz ustawienie na Włączone.
Wybierz pozycję Dalej: Przeglądanie i generowanie.
Wybierz pozycję Aktualizuj.
Uwaga
Aby włączyć lub wyłączyć poszczególne funkcje usługi Defender for Containers, globalnie lub dla określonych zasobów, zobacz Jak włączyć składniki usługi Microsoft Defender for Containers.
Wdrażanie czujnika usługi Defender w klastrach EKS
Platforma Kubernetes z włączoną usługą Azure Arc, czujnik usługi Defender i usługa Azure Policy dla platformy Kubernetes powinna być zainstalowana i uruchomiona w klastrach EKS. Istnieje dedykowane zalecenie Defender dla Chmury, które może służyć do instalowania tych rozszerzeń (i usługi Azure Arc w razie potrzeby):
EKS clusters should have Microsoft Defender's extension for Azure Arc installed
Aby wdrożyć wymagane rozszerzenia:
Na stronie Zalecenia Defender dla Chmury wyszukaj jedną z rekomendacji według nazwy.
Wybierz klaster w złej kondycji.
Ważne
Należy wybrać klastry pojedynczo.
Nie wybieraj klastrów według ich hiperlinków: wybierz gdziekolwiek indziej w odpowiednim wierszu.
Wybierz pozycję Napraw.
Defender dla Chmury generuje skrypt w wybranym języku:
- W przypadku systemu Linux wybierz pozycję Bash.
- W przypadku systemu Windows wybierz pozycję PowerShell.
Wybierz pozycję Pobierz logikę korygowania.
Uruchom wygenerowany skrypt w klastrze.
Następne kroki
Aby uzyskać zaawansowane funkcje włączania dla usługi Defender for Containers, zobacz stronę Włączanie usługi Microsoft Defender for Containers .