Désactiver et supprimer Defender pour les conteneurs

Cet article explique comment désactiver Microsoft Defender pour conteneurs et supprimer ses composants par environnement.

La désactivation du plan Defender pour Conteneurs ou la désactivation de l'approvisionnement automatique arrête les déploiements futurs, mais ne désinstalle pas les composants Defender déjà déployés dans les clusters. Ces composants sont supprimés séparément.

Important

La suppression de Defender pour les conteneurs arrête la protection de vos clusters. Assurez-vous que vous disposez d’autres mesures de sécurité en place avant de continuer.

Important

La désactivation du plan ne supprime pas les données de sécurité historiques stockées dans des espaces de travail Microsoft Defender for Cloud ou Log Analytics.

Azure Kubernetes Service (AKS)

Ce qui cesse de fonctionner après la suppression

Après avoir supprimé Defender pour les composants conteneurs d’un cluster AKS :

• La détection des menaces en temps réel basée sur la télémétrie des capteurs de Defender s'arrête.

• Les recommandations de sécurité de Kubernetes liées à Azure Policy pour Kubernetes cessent de mettre à jour.

• Les alertes basées sur les signaux d’exécution AKS et les données d’audit Kubernetes arrêtent d’être générées.

• Les nouvelles découvertes de vulnérabilité des images conteneurs pour les images dans Azure Container Registry (ACR) ne sont plus générées pour cet environnement.

Désactiver le plan Defender pour les conteneurs

1. Connectez-vous au portail Azure.

2. Accédez aux paramètres Microsoft Defender for Cloud>Environment.

3. Sélectionnez l’abonnement qui contient vos clusters AKS.

4. Dans la page Plans Defender, désactivezConteneurs.

5. Cliquez sur Enregistrer.

Supprimer des extensions Defender des clusters AKS

Supprimer le profil Defender pour conteneurs du cluster AKS

az aks update \
  --name <cluster-name> \
  --resource-group <resource-group> \
  --disable-defender

Désactiver le module complémentaire Azure Policy

az aks disable-addons \
  --addons azure-policy \
  --name <cluster-name> \
  --resource-group <resource-group>

Vérifier la suppression

Vérifiez les modules de cluster AKS

kubectl get pods -A | grep defender

Aucune ressource ne doit être retournée.

Vérifier l’état du plan

az security pricing show --name 'Containers'

La sortie doit s’afficher pricingTier sous la forme Free.

Amazon Elastic Kubernetes Service (EKS)

Ce qui cesse de fonctionner après la suppression

Après avoir supprimé Defender pour les composants conteneurs d’un cluster EKS :

• La détection des menaces en cours d'exécution à partir du capteur Defender déployé via Azure Arc s'arrête.

• Les recommandations de sécurité Kubernetes pour ce cluster arrêtent la mise à jour.

• Les alertes basées sur le runtime Kubernetes et les signaux d’audit arrêtent d’être générées.

• Les résultats de vulnérabilité des images conteneurs pour les images dans Amazon ECR cessent de se mettre à jour pour cet environnement.

• Les découvertes et détections basées sur un plan de contrôle sans agent s’arrêtent si les autorisations et intégrations AWS associées sont supprimées.

Supprimer Defender extensions des clusters EKS

Defender pour conteneurs déploie des composants sur des clusters EKS à l’aide de Kubernetes compatibles avec Azure Arc. Les étapes suivantes suppriment ces extensions Arc.

Supprimer l’extension Defender

az k8s-extension delete \
  --name microsoft.azuredefender.kubernetes \
  --cluster-type connectedClusters \
  --cluster-name <cluster-name> \
  --resource-group <resource-group> \
  --yes

Supprimer l’extension Azure Policy (si installée)

az k8s-extension delete \
  --name azurepolicy \
  --cluster-type connectedClusters \
  --cluster-name <cluster-name> \
  --resource-group <resource-group> \
  --yes

Déconnecter des clusters d’Azure Arc

Note

La déconnexion d’un cluster de Azure Arc supprime l’accès à toutes les extensions Arc, pas seulement Defender pour les conteneurs.

az connectedk8s delete \
  --name <cluster-name> \
  --resource-group <resource-group> \
  --yes

Désactiver le plan Defender pour les conteneurs sur le connecteur AWS

1. Connectez-vous au portail Azure.

2. Accédez aux paramètres Microsoft Defender for Cloud>Environment.

3. Sélectionnez le connecteur AWS approprié.

4. Sélectionnez Paramètres.

5. Désactiver les conteneurs.

6. Cliquez sur Enregistrer.

Supprimer le connecteur AWS (facultatif)

Si vous ne souhaitez plus Defender for Cloud surveiller votre compte AWS :

1. Connectez-vous au portail Azure.

2. Accédez aux paramètres Microsoft Defender for Cloud>Environment.

3. Recherchez votre connecteur AWS.

4. Sélectionnez l'ellipse (...).

5. Sélectionnez Supprimer.

6. Confirmer la suppression.

Supprimer les ressources AWS créées pour la protection du runtime (facultatif)

Supprimez ces ressources uniquement si la protection contre les menaces d’exécution pour EKS a été activée et que vous n’utilisez plus Defender pour conteneurs pour ce cluster.

• Supprimez le compartiment S3 créé pour le cluster.

• Supprimez la file d’attente SQS créée pour le cluster.

• Supprimez le flux de livraison Kinesis Data Firehose créé pour le cluster.

Note

Ces ressources sont créées par cluster. Si vous les supprimez lorsque la protection du runtime est toujours activée, la collecte de données peut s’arrêter.

Supprimer les rôles et fournisseurs d’identité AWS IAM (facultatif)

Si vous désactivez complètement votre compte AWS à partir de Microsoft Defender for Cloud, vous pouvez supprimer manuellement les rôles IAM et les fournisseurs d’identité créés lors de l’intégration.

Utilisez la console AWS ou l’interface CLI pour supprimer les rôles suivants s’ils existent :

• MDCContainersImageAssessmentRole
• MDCContainersK8sRole
• MDCContainersK8sDataCollectionRole
• MDCContainersK8sCloudWatchToKinesisRole
• MDCContainersK8sKinesisToS3RoleName
• MDCContainersAgentlessDiscoveryK8sRole

Warning

Supprimez uniquement le fournisseur ASCDefendersOIDCIdentityProvider OpenID Connect si vous supprimez tous les composants Defender pour le Cloud de ce compte AWS. La suppression de ce composant partagé affecte d’autres plans Defender for Cloud.

Vérifier la suppression

Vérifier les extensions Azure Arc

az k8s-extension list \
  --cluster-type connectedClusters \
  --cluster-name <cluster-name> \
  --resource-group <resource-group>

Vérifiez que microsoft.azuredefender.kubernetes n’est pas répertorié.

Vérifiez les modules de cluster EKS

kubectl get pods -n mdc

Aucune ressource ne doit être retournée.

Moteur Google Kubernetes (GKE)

Ce qui cesse de fonctionner après la suppression

Après avoir supprimé Defender pour les composants conteneurs d’un cluster GKE :

• La détection des menaces en cours d'exécution à partir du capteur Defender déployé via Azure Arc s'arrête.

• Les recommandations de sécurité Kubernetes pour ce cluster arrêtent la mise à jour.

• Les alertes basées sur le runtime Kubernetes et les signaux d’audit arrêtent d’être générées.

• Les résultats des vulnérabilités d'images de conteneurs dans Google Container Registry ou Artifact Registry cessent d'être mis à jour dans cet environnement.

Supprimer Defender extensions des clusters GKE

Supprimer l’extension Defender

az k8s-extension delete \
  --name microsoft.azuredefender.kubernetes \
  --cluster-type connectedClusters \
  --cluster-name <cluster-name> \
  --resource-group <resource-group> \
  --yes

Supprimer l’extension Azure Policy (si installée)

az k8s-extension delete \
  --name azurepolicy \
  --cluster-type connectedClusters \
  --cluster-name <cluster-name> \
  --resource-group <resource-group> \
  --yes

Déconnecter des clusters GKE à partir d’Azure Arc

Note

La déconnexion d’un cluster de Azure Arc supprime l’accès à toutes les extensions Arc, pas seulement Defender pour les conteneurs.

az connectedk8s delete \
  --name <cluster-name> \
  --resource-group <resource-group> \
  --yes

Désactivez le plan Defender for Containers sur le connecteur GCP

1. Connectez-vous au portail Azure.

2. Accédez aux paramètres Microsoft Defender for Cloud>Environment.

3. Sélectionnez le connecteur GCP approprié.

4. Sélectionnez Paramètres.

5. Désactiver les conteneurs.

6. Cliquez sur Enregistrer.

Supprimer le connecteur GCP (facultatif)

1. Accédez aux paramètres Microsoft Defender for Cloud>Environment.

2. Recherchez votre connecteur GCP.

3. Sélectionnez le menu ... (plus d’options).

4. Sélectionnez Supprimer.

5. Confirmer la suppression.

Supprimer les ressources GCP créées pour la protection du runtime (facultatif)

Supprimez ces ressources uniquement si la protection contre les menaces du runtime pour GKE a été activée et que vous n’utilisez plus Defender pour conteneurs pour ce projet.

• Supprimez la rubrique Pub/Sub et l’abonnement qui utilisent le MicrosoftDefender- préfixe.

• Supprimez le dissipateur Cloud Logging qui a été créé pour Defender for Containers.

Supprimer des comptes et des rôles de service GCP (facultatif)

Si vous désactivez complètement votre projet GCP de Microsoft Defender for Cloud, vous pouvez supprimer manuellement les comptes de service et les rôles créés lors de l’intégration.

Utilisez la console Google Cloud ou l’interface CLI gcloud pour supprimer les comptes de service suivants :

• ms-defender-containers
• ms-defender-containers-stream
• mdc-containers-k8s-operator
• mdc-containers-artifact-assess

Supprimez les rôles personnalisés suivants :

• MicrosoftDefenderContainersDataCollectionRole
• MicrosoftDefenderContainersRole
• MDCGkeClusterWriteRole

Warning

Ne supprimez les fournisseurs de pools d’identité containers de containers-streams charge de travail OIDC que si vous supprimez tous les composants Defender for Cloud. Il s’agit de composants partagés. De plus, vérifiez qu’aucun autre service non Defender n’utilise l’API logging.googleapis.com avant de la désactiver.

Vérifier la suppression

Vérifier les extensions Azure Arc

az k8s-extension list \
  --cluster-type connectedClusters \
  --cluster-name <cluster-name> \
  --resource-group <resource-group>

Vérifiez que microsoft.azuredefender.kubernetes n’est pas répertorié.

Vérifiez les modules de cluster GKE

kubectl get pods -n mdc

Aucune ressource ne doit être retournée.

Vérifier le portail Azure

1. Connectez-vous au portail Azure.

2. Accédez aux paramètres Microsoft Defender for Cloud>Environment.

3. Vérifiez que le connecteur GCP est supprimé ou indique que les conteneurs sont désactivés.

4. Vérifiez qu’aucune recommandation relative au GKE n’apparaît.

Kubernetes activé par Arc

Ce qui cesse de fonctionner après la suppression

Après avoir supprimé les composants de Defender pour conteneurs d'un cluster Kubernetes Arc activé :

• La détection de menace en temps exécutif par le capteur Defender s’arrête.

• Les recommandations de sécurité Kubernetes pour ce cluster arrêtent la mise à jour.

• Les alertes basées sur le runtime Kubernetes et les signaux d’audit arrêtent d’être générées.

• les évaluations de configuration basées sur Azure Policy pour les charges de travail Kubernetes s’arrêtent si l’extension Azure Policy est supprimée.

Désactiver le plan Defender pour les conteneurs

1. Connectez-vous au portail Azure.

2. Accédez aux paramètres Microsoft Defender for Cloud>Environment.

3. Sélectionnez l’abonnement qui contient vos clusters Kubernetes avec Arc.

4. Dans la page Plans Defender, désactivezConteneurs.

5. Cliquez sur Enregistrer.

Supprimer les extensions Defender des clusters activés par Arc

Supprimer l’extension Defender

az k8s-extension delete \
  --name microsoft.azuredefender.kubernetes \
  --cluster-type connectedClusters \
  --cluster-name <cluster-name> \
  --resource-group <resource-group> \
  --yes

Supprimer l’extension Azure Policy (si installée)

az k8s-extension delete \
  --name azurepolicy \
  --cluster-type connectedClusters \
  --cluster-name <cluster-name> \
  --resource-group <resource-group> \
  --yes

Déconnecter le cluster de Azure Arc (facultatif)

Note

La déconnexion d’un cluster de Azure Arc supprime l’accès à toutes les extensions Arc, pas seulement Defender pour les conteneurs.

az connectedk8s delete \
  --name <cluster-name> \
  --resource-group <resource-group> \
  --yes

Vérifier la suppression

Vérifier les extensions Azure Arc

az k8s-extension list \
  --cluster-type connectedClusters \
  --cluster-name <cluster-name> \
  --resource-group <resource-group>

Vérifiez que microsoft.azuredefender.kubernetes n’est pas répertorié.

Vérifier les pods de cluster activés par Arc

kubectl get pods -n mdc

Aucune ressource ne doit être retournée.

Contenu connexe

• Vue d'ensemble du déploiement de Defender pour les conteneurs