Compartilhar via

Proteja seus contêineres Amazon Web Service (AWS) com o Defender para Contêineres

  • Artigo

O Microsoft Defender para contêineres é a solução nativa de nuvem utilizada para proteger os contêineres e você poder melhorar, monitorar e manter a segurança dos clusters, dos contêineres e dos aplicativos.

Saiba mais em Visão geral do Microsoft Defender para contêineres.

Você pode saber mais sobre os preços do Defender para contêineres na página de preços.

Pré-requisitos

Como habilitar o plano do Defender para Contêineres em sua conta AWS

Para proteger seus clusters de EKS, habilite o plano de contêineres no conector de conta relevante:

Para habilitar o plano do Defender para Contêineres em sua conta AWS:

  1. Entre no portal do Azure.

  2. Pesquise pelo Microsoft Defender para Nuvem e selecione-o.

  3. No menu do Defender para Nuvem, selecione Configurações de ambiente.

  4. Selecione a conta da AWS relevante.

    Captura de tela da página de configurações de ambiente do Defender para Nuvem mostrando um conector do AWS.

  5. Defina o plano Contêineres como Ativado.

    Captura de tela da habilitação do Defender para contêineres para um conector do AWS.

  6. Para alterar as configurações opcionais do plano, selecione Configurações.

    Captura de tela da página de configurações de ambiente do Defender para Nuvem mostrando as configurações do plano de contêineres.

    • O Defender para Contêineres requer logs de auditoria do painel de controle para fornecer proteção contra ameaças em tempo de execução. Para enviar logs de auditoria do Kubernetes para o Microsoft Defender, alterne a configuração para Ativada. Para alterar o período de retenção dos logs de auditoria, insira o período de tempo necessário.

      Observação

      Se você desabilitar essa configuração, o recurso Threat detection (control plane) será desabilitado. Saiba mais sobre a disponibilidade dos recursos.

    • A descoberta sem agente para Kubernetes fornece a descoberta baseada em API de seus clusters do Kubernetes. Para habilitar a descoberta sem agente para o recurso do Kubernetes, alterne a configuração para Ativada.

    • A Avaliação de Vulnerabilidade de Contêiner sem Agente fornece gerenciamento de vulnerabilidades para imagens armazenadas no ECR e imagens em execução em seus clusters do EKS. Para habilitar o recurso Avaliação de Vulnerabilidade de Contêiner sem Agente, alterne a configuração para Ativada.

  7. Selecione Avançar: examinar e criar.

  8. Selecione Atualizar.

Observação

Para habilitar ou desabilitar os recursos individuais do Defender para Contêineres, globalmente ou para recursos específicos, confira Como habilitar os componentes do Microsoft Defender para Contêineres.

Implantar o sensor do Defender em clusters do EKS

O Kubernetes habilitado para o Azure Arc, o sensor do Defender e o Azure Policy para Kubernetes devem estar instalados e em execução em seus clusters do EKS. Há uma recomendação dedicada do Defender para Nuvem para instalar essas extensões (e no Azure Arc, se necessário):

  • EKS clusters should have Microsoft Defender's extension for Azure Arc installed

Para implantar as extensões necessárias:

  1. Na página Recomendações do Defender para Nuvem, procure uma das recomendações por nome.

  2. Selecione um cluster não íntegro.

    Importante

    Você deve selecionar um cluster por vez.

    Não selecione os clusters pelo nome do hiperlink, selecione qualquer outro lugar na linha relevante.

  3. Selecione Corrigir.

  4. O Defender para Nuvem vai gerar um script no idioma de sua escolha:

    • No Linux, selecione Bash.
    • No Windows, selecione PowerShell.

  5. Selecione Baixar lógica de correção.

  6. Execute o script gerado no cluster.

    Vídeo de como usar a recomendação do Defender para Nuvem para gerar um script para clusters do EKS que habilite a extensão do Azure Arc.

Próximas etapas