Proteja seus contêineres Amazon Web Service (AWS) com o Defender para Contêineres
O Microsoft Defender para contêineres é a solução nativa de nuvem utilizada para proteger os contêineres e você poder melhorar, monitorar e manter a segurança dos clusters, dos contêineres e dos aplicativos.
Saiba mais em Visão geral do Microsoft Defender para contêineres.
Você pode saber mais sobre os preços do Defender para contêineres na página de preços.
Pré-requisitos
É necessário ter uma assinatura do Microsoft Azure . Se você não tiver uma assinatura do Azure, você pode se inscrever para uma assinatura gratuita.
Você deve habilitar o Microsoft Defender para Nuvem em sua assinatura do Azure.
Verifique se os nós do Kubernetes podem acessar repositórios de origem do gerenciador de pacotes. Para obter informações sobre os requisitos, consulte Requisitos de rede.
Verifique se os seguintes requisitos de rede do Kubernetes habilitado para Azure Arc foram validados.
Como habilitar o plano do Defender para Contêineres em sua conta AWS
Para proteger seus clusters de EKS, habilite o plano de contêineres no conector de conta relevante:
Para habilitar o plano do Defender para Contêineres em sua conta AWS:
Entre no portal do Azure.
Pesquise pelo Microsoft Defender para Nuvem e selecione-o.
No menu do Defender para Nuvem, selecione Configurações de ambiente.
Selecione a conta da AWS relevante.
Defina o plano Contêineres como Ativado.
Para alterar as configurações opcionais do plano, selecione Configurações.
O Defender para Contêineres requer logs de auditoria do painel de controle para fornecer proteção contra ameaças em tempo de execução. Para enviar logs de auditoria do Kubernetes para o Microsoft Defender, alterne a configuração para Ativada. Para alterar o período de retenção dos logs de auditoria, insira o período de tempo necessário.
Observação
Se você desabilitar essa configuração, o recurso
Threat detection (control plane)será desabilitado. Saiba mais sobre a disponibilidade dos recursos.A descoberta sem agente para Kubernetes fornece a descoberta baseada em API de seus clusters do Kubernetes. Para habilitar a descoberta sem agente para o recurso do Kubernetes, alterne a configuração para Ativada.
A Avaliação de Vulnerabilidade de Contêiner sem Agente fornece gerenciamento de vulnerabilidades para imagens armazenadas no ECR e imagens em execução em seus clusters do EKS. Para habilitar o recurso Avaliação de Vulnerabilidade de Contêiner sem Agente, alterne a configuração para Ativada.
Selecione Avançar: examinar e criar.
Selecione Atualizar.
Observação
Para habilitar ou desabilitar os recursos individuais do Defender para Contêineres, globalmente ou para recursos específicos, confira Como habilitar os componentes do Microsoft Defender para Contêineres.
Implantar o sensor do Defender em clusters do EKS
O Kubernetes habilitado para o Azure Arc, o sensor do Defender e o Azure Policy para Kubernetes devem estar instalados e em execução em seus clusters do EKS. Há uma recomendação dedicada do Defender para Nuvem para instalar essas extensões (e no Azure Arc, se necessário):
EKS clusters should have Microsoft Defender's extension for Azure Arc installed
Para implantar as extensões necessárias:
Na página Recomendações do Defender para Nuvem, procure uma das recomendações por nome.
Selecione um cluster não íntegro.
Importante
Você deve selecionar um cluster por vez.
Não selecione os clusters pelo nome do hiperlink, selecione qualquer outro lugar na linha relevante.
Selecione Corrigir.
O Defender para Nuvem vai gerar um script no idioma de sua escolha:
- No Linux, selecione Bash.
- No Windows, selecione PowerShell.
Selecione Baixar lógica de correção.
Execute o script gerado no cluster.
Próximas etapas
Para obter recursos avançados de habilitação do Defender para contêineres, confira a página Habilitar o Microsoft Defender para contêineres.