Protéger vos conteneurs Amazon Web Service (AWS) avec Defender pour les conteneurs

Defender pour les conteneurs dans Microsoft Defender pour le cloud est la solution native du cloud pour sécuriser vos conteneurs afin que vous puissiez améliorer, analyser et maintenir la sécurité de vos clusters, conteneurs et de leurs applications.

Apprenez-en davantage dans Vue d’ensemble de Microsoft Defender pour les conteneurs.

Pour en savoir plus sur la tarification de Defender pour les conteneurs, consultez la page de tarification.

Prérequis

• Cette opération nécessite un abonnement Microsoft Azure . Si vous n’avez pas d’abonnement Azure, inscrivez-vous pour obtenir un abonnement gratuit.

• Vous devez activer Microsoft Defender pour le cloud sur votre abonnement Azure.

• Connecter votre compte AWS à Microsoft Defender pour le cloud

• Vérifiez que vos nœuds Kubernetes peuvent accéder aux référentiels sources de votre gestionnaire de package. Pour plus d’informations sur les exigences, consultez Exigences de configuration réseau .

• Vérifiez que les exigences réseau Kubernetes avec Azure Arc suivantes sont validées.

Activer le plan Defender pour les conteneurs sur votre compte AWS

Pour protéger vos clusters EKS, vous devez activer le plan Conteneurs sur le connecteur du compte AWS approprié.

Pour activer le plan Defender pour les conteneurs sur votre compte AWS :

1. Connectez-vous au portail Azure.

2. Recherchez et sélectionnez Microsoft Defender pour le cloud.

3. Dans le menu de Defender pour le cloud, sélectionnez Paramètres de l’environnement.

4. Sélectionnez le compte AWS en question.

   

5. Définissez le bouton bascule du plan Conteneurs sur Activé.

   

6. Pour modifier les configurations facultatives du plan, sélectionnez Paramètres.

   

   • Defender pour les conteneurs nécessite des journaux d’audit du plan de contrôle pour fournir une protection contre les menaces au moment de l’exécution. Pour envoyer les journaux d’audit Kubernetes à Microsoft Defender, basculez le paramètre sur Activé. Pour modifier la période de rétention de vos journaux d’audit, entrez le délai d’exécution souhaité.

     Remarque

     Si vous désactivez cette configuration, la fonctionnalité Threat detection (control plane) est désactivée. En savoir plus sur la disponibilité des fonctionnalités.

   • La découverte sans agent pour Kubernetes fournit une découverte basée sur l’API de vos clusters Kubernetes. Pour activer la fonctionnalité Découverte sans agent pour Kubernetes, basculez le paramètre sur Activé.

   • L’évaluation de la vulnérabilité des conteneurs sans agent assure la gestion de la vulnérabilité des images stockées dans ECR et des images en cours d’exécution sur vos clusters EKS. Pour activer la fonctionnalité Évaluation de la vulnérabilité des conteneurs sans agent, basculez le paramètre sur Activé.

7. Sélectionnez Suivant : Vérifier et générer.

8. Sélectionnez Mettre à jour.

Notes

Pour activer ou désactiver des fonctionnalités individuelles de Defender pour les conteneurs, globalement ou pour des ressources spécifiques, consultez Comment activer Microsoft Defender pour les composants conteneurs.

Déployer le capteur Defender dans des clusters EKS

Kubernetes avec Azure Arc, le capteur Defender et Azure Policy pour Kubernetes doivent être installés et en cours d’exécution sur vos clusters EKS. Il existe une recommandation Defender pour le cloud dédiée qui peut être utilisée pour installer ces extensions (et Azure Arc si nécessaire) :

• EKS clusters should have Microsoft Defender's extension for Azure Arc installed

Pour déployer les extensions nécessaires :

1. Dans la page Recommandations de Defender pour le cloud, recherchez l’une des recommandations par son nom.

2. Sélectionnez un cluster non sain.

   Important

   Vous devez sélectionner les clusters un par un.

   Ne sélectionnez pas les clusters par leurs noms de liens hypertexte : sélectionnez n’importe où sur la ligne appropriée.

3. Sélectionnez Corriger.

4. Defender pour le cloud génère un script dans le langage de votre choix :

   • Pour Linux, sélectionnez Bash.
   • Pour Windows, sélectionnez PowerShell.

5. Sélectionnez Télécharger la logique de correction.

6. Exécutez le script généré sur votre cluster.

   

Étapes suivantes

• Pour connaître les fonctionnalités d’activation avancées de Defender pour les conteneurs, consultez la page Activer Microsoft Defender pour les conteneurs.

• Vue d’ensemble de Microsoft Defender pour les conteneurs.