你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
使用 Defender for Containers 保护 Amazon Web Service (AWS) 容器
Microsoft Defender for Cloud 中的 Defender for Containers 是一款用于保护容器的云原生解决方案,可用于改进、监视和维护群集、容器及其应用程序的安全性。
有关详细信息,请参阅 Microsoft Defender for Containers 概述。
你可以在定价页上了解有关 Defender for Containers 定价的更多信息。
先决条件
需要 Microsoft Azure 订阅。 如果你没有 Azure 订阅,可以注册免费订阅。
必须在 Azure 订阅上启用 Microsoft Defender for Cloud。
验证 Kubernetes 节点是否可以访问包管理器的源存储库。 有关相应要求的信息,请参阅网络要求。
在 AWS 帐户上启用 Defender for Containers 计划
若要保护 EKS 群集,需要对相关的 AWS 帐户连接器启用容器计划。
若要在 AWS 帐户上启用 Defender for Containers 计划,请执行以下操作:
登录 Azure 门户。
搜索并选择“Microsoft Defender for Cloud”。
在 Defender for Cloud 菜单中,选择“环境设置”。
选择相关 AWS 帐户。
将“容器”计划的开关切换到“打开”。
若要更改计划的可选配置,请选择“设置”。
Defender for Containers 需要控制平面审核日志来提供运行时威胁防护。 若要将 Kubernetes 审核日志发送到 Microsoft Defender,请将设置切换为“开”。若要更改审核日志的保持期,请输入所需的期限。
注意
如果禁用此配置,将禁用
Threat detection (control plane)
功能。 详细了解功能可用性。Kubernetes 的无代理发现提供对 Kubernetes 群集基于 API 的发现。 若要启用“Kubernetes 的无代理发现”功能,请将设置切换为“开”。
无代理容器漏洞评估为存储在 ECR 中的映像和在 EKS 群集上运行的映像提供漏洞管理。 若要启用“无代理容器漏洞评估”功能,请将设置切换为“开”。
选择“下一步: 审阅并生成”。
选择“更新”。
注意
若要启用或禁用单个 Defender for Containers 功能(全局或针对特定资源),请参阅如何启用 Microsoft Defender for Containers 组件。
在 EKS 群集中部署 Defender 传感器
EKS 群集上应安装并运行已启用 Azure Arc 的 Kubernetes、Defender 传感器和适用于 Kubernetes 的 Azure Policy。 有一个专门的 Defender for Cloud 建议可以用于安装这些扩展(如有必要,还可以安装 Azure Arc):
EKS clusters should have Microsoft Defender's extension for Azure Arc installed
若要部署所需的扩展,请执行以下操作:
在 Defender for Cloud 的“建议”页中,按名称搜索其中一条建议。
选择不正常的群集。
重要
必须逐一选择群集。
请勿按超链接名称选择群集:选择相关行中的任何其他位置。
选择“修复”。
Defender for Cloud 将使用所选语言生成脚本:
- 对于 Linux,请选择“Bash”。
- 对于 Windows,请选择“PowerShell”。
选择“下载修正逻辑”。
在群集上运行生成的脚本。
后续步骤
有关 Defender for Containers 的高级启用功能,请参阅启用 Microsoft Defender for Containers 页面。