Ochrona kontenerów usługi Amazon Web Service (AWS) za pomocą usługi Defender for Containers

  • Artykuł

Usługa Defender for Containers w usłudze Microsoft Defender dla Chmury to rozwiązanie natywne dla chmury, które służy do zabezpieczania kontenerów, co umożliwia ulepszanie, monitorowanie i utrzymywanie zabezpieczeń klastrów, kontenerów i aplikacji.

Dowiedz się więcej o omówieniu usługi Microsoft Defender for Containers.

Więcej informacji na temat cennika usługi Defender for Container można znaleźć na stronie cennika.

Wymagania wstępne

Włączanie planu usługi Defender for Containers na koncie platformy AWS

Aby chronić klastry EKS, należy włączyć plan Kontenery w odpowiednim łączniku konta platformy AWS.

Aby włączyć plan usługi Defender for Containers na koncie platformy AWS:

  1. Zaloguj się w witrynie Azure Portal.

  2. Wyszukaj i wybierz pozycję Microsoft Defender dla Chmury.

  3. W menu Defender dla Chmury wybierz pozycję Ustawienia środowiska.

  4. Wybierz odpowiednie konto platformy AWS.

    Zrzut ekranu przedstawiający stronę ustawień środowiska Defender dla Chmury z łącznikiem platformy AWS.

  5. Ustaw przełącznik dla planu Kontenery na wartość Włączone.

    Zrzut ekranu przedstawiający włączanie usługi Defender for Containers dla łącznika platformy AWS.

  6. Aby zmienić opcjonalne konfiguracje planu, wybierz pozycję Ustawienia.

    Zrzut ekranu przedstawiający stronę ustawień środowiska Defender dla Chmury z ustawieniami planu kontenerów.

    • Usługa Defender for Containers wymaga dzienników inspekcji płaszczyzny sterowania w celu zapewnienia ochrony środowiska uruchomieniowego przed zagrożeniami. Aby wysłać dzienniki inspekcji platformy Kubernetes do usługi Microsoft Defender, przełącz ustawienie na Włączone. Aby zmienić okres przechowywania dzienników inspekcji, wprowadź wymagany przedział czasu.

      Uwaga

      Jeśli wyłączysz tę konfigurację, funkcja zostanie wyłączona Threat detection (control plane) . Dowiedz się więcej o dostępności funkcji.

    • Odnajdywanie bez agenta dla platformy Kubernetes zapewnia oparte na interfejsie API odnajdywanie klastrów Kubernetes. Aby włączyć funkcję Odnajdywanie bez agenta dla platformy Kubernetes , przełącz ustawienie na Włączone.

    • Ocena luk w zabezpieczeniach kontenera bez agenta zapewnia zarządzanie lukami w zabezpieczeniach obrazów przechowywanych w usłudze ECR i uruchamiania obrazów w klastrach EKS. Aby włączyć funkcję Ocena luk w zabezpieczeniach kontenera bez agenta, przełącz ustawienie na Włączone.

  7. Wybierz pozycję Dalej: Przeglądanie i generowanie.

  8. Wybierz pozycję Aktualizuj.

Uwaga

Aby włączyć lub wyłączyć poszczególne funkcje usługi Defender for Containers, globalnie lub dla określonych zasobów, zobacz Jak włączyć składniki usługi Microsoft Defender for Containers.

Wdrażanie czujnika usługi Defender w klastrach EKS

Platforma Kubernetes z włączoną usługą Azure Arc, czujnik usługi Defender i usługa Azure Policy dla platformy Kubernetes powinna być zainstalowana i uruchomiona w klastrach EKS. Istnieje dedykowane zalecenie Defender dla Chmury, które może służyć do instalowania tych rozszerzeń (i usługi Azure Arc w razie potrzeby):

  • EKS clusters should have Microsoft Defender's extension for Azure Arc installed

Aby wdrożyć wymagane rozszerzenia:

  1. Na stronie Rekomendacje Defender dla Chmury wyszukaj jedną z rekomendacji według nazwy.

  2. Wybierz klaster w złej kondycji.

    Ważne

    Należy wybrać klastry pojedynczo.

    Nie wybieraj klastrów według ich hiperlinków: wybierz gdziekolwiek indziej w odpowiednim wierszu.

  3. Wybierz pozycję Napraw.

  4. Defender dla Chmury generuje skrypt w wybranym języku:

    • W przypadku systemu Linux wybierz pozycję Bash.
    • W przypadku systemu Windows wybierz pozycję PowerShell.

  5. Wybierz pozycję Pobierz logikę korygowania.

  6. Uruchom wygenerowany skrypt w klastrze.

    Wideo przedstawiające sposób użycia rekomendacji Defender dla Chmury w celu wygenerowania skryptu dla klastrów EKS, który umożliwia rozszerzenie usługi Azure Arc.

Następne kroki