Proteja seus contêineres do Amazon Web Service (AWS) com o Defender for Containers
O Defender for Containers no Microsoft Defender for Cloud é a solução nativa da nuvem usada para proteger seus contêineres para que você possa melhorar, monitorar e manter a segurança de seus clusters, contêineres e seus aplicativos.
Saiba mais sobre Visão geral do Microsoft Defender for Containers.
Você pode saber mais sobre os preços do Defender for Container na página de preços.
Pré-requisitos
Precisará de uma subscrição do Microsoft Azure. Se não tiver uma subscrição do Azure, pode inscrever-se numa subscrição gratuita.
Você deve habilitar o Microsoft Defender for Cloud em sua assinatura do Azure.
Verifique se os nós do Kubernetes podem acessar repositórios de origem do seu gerenciador de pacotes. Para obter informações sobre os requisitos, consulte Requisitos de rede.
Verifique se os seguintes requisitos de rede do Kubernetes habilitados para Azure Arc estão validados.
Habilite o plano Defender for Containers em sua conta da AWS
Para proteger seus clusters EKS, você precisa habilitar o plano Containers no conector de conta da AWS relevante.
Para habilitar o plano do Defender for Containers em sua conta da AWS:
Inicie sessão no portal do Azure.
Procure e selecione Microsoft Defender para a Cloud.
No menu do Defender for Cloud, selecione Configurações do ambiente.
Selecione a conta da AWS relevante.
Defina a alternância para o plano Containers como On.
Para alterar as configurações opcionais do plano, selecione Configurações.
O Defender for Containers requer logs de auditoria do plano de controle para fornecer proteção contra ameaças em tempo de execução. Para enviar logs de auditoria do Kubernetes para o Microsoft Defender, alterne a configuração para Ativado. Para alterar o período de retenção dos logs de auditoria, insira o período de tempo necessário.
Nota
Se você desabilitar essa configuração, o
Threat detection (control plane)
recurso será desativado. Saiba mais sobre a disponibilidade de recursos.A descoberta sem agente para Kubernetes fornece descoberta baseada em API de seus clusters Kubernetes. Para habilitar o recurso Descoberta sem agente para Kubernetes , alterne a configuração para Ativado.
A Avaliação de Vulnerabilidade de Contêiner sem Agente fornece gerenciamento de vulnerabilidades para imagens armazenadas no ECR e imagens em execução em seus clusters EKS. Para habilitar o recurso Avaliação de Vulnerabilidade de Contêiner sem Agente , alterne a configuração para Ativado.
Selecione Seguinte: rever e gerar.
Selecione Atualizar.
Nota
Para habilitar ou desabilitar recursos individuais do Defender for Containers, globalmente ou para recursos específicos, consulte Como habilitar componentes do Microsoft Defender for Containers.
Implantar o sensor Defender em clusters EKS
O Kubernetes habilitado para Azure Arc, o sensor Defender e a Política do Azure para Kubernetes devem ser instalados e executados em seus clusters EKS. Há uma recomendação dedicada do Defender for Cloud que pode ser usada para instalar essas extensões (e o Azure Arc, se necessário):
EKS clusters should have Microsoft Defender's extension for Azure Arc installed
Para implantar as extensões necessárias:
Na página Recomendações do Defender for Cloud, procure uma das recomendações pelo nome.
Selecione um cluster não íntegro.
Importante
Você deve selecionar os clusters um de cada vez.
Não selecione os clusters por seus nomes de hiperlink: selecione em qualquer outro lugar na linha relevante.
Selecione Corrigir.
O Defender for Cloud gera um script no idioma de sua escolha:
- Para Linux, selecione Bash.
- Para Windows, selecione PowerShell.
Selecione Baixar lógica de correção.
Execute o script gerado no cluster.
Próximos passos
Para obter recursos avançados de habilitação para o Defender for Containers, consulte a página Habilitar o Microsoft Defender for Containers .