Защита контейнеров Amazon Web Service (AWS) с помощью Defender для контейнеров
Defender для контейнеров в Microsoft Defender для облака — это облачное решение, которое используется для защиты контейнеров, чтобы улучшить, отслеживать и поддерживать безопасность кластеров, контейнеров и их приложений.
Дополнительные сведения о Microsoft Defender для контейнеров.
Дополнительные сведения о ценах Defender для контейнера см. на странице цен.
Необходимые компоненты
Вам потребуется подписка Microsoft Azure . Если у вас нет подписки Azure, вы можете зарегистрироваться для бесплатной подписки.
Необходимо включить Microsoft Defender для облака в подписке Azure.
Подключение учетной записи AWS Microsoft Defender для облака
Убедитесь, что узлы Kubernetes могут получить доступ к исходным репозиториям диспетчера пакетов. Сведения о требованиях см. в разделе "Требования к сети".
Убедитесь, что проверяются следующие требования к сети с поддержкой Azure Arc.
Включение плана Defender для контейнеров в учетной записи AWS
Чтобы защитить кластеры EKS, необходимо включить план контейнеров в соответствующем соединителе учетной записи AWS.
Чтобы включить план Defender для контейнеров в учетной записи AWS, выполните следующие действия.
Войдите на портал Azure.
Найдите и выберите Microsoft Defender для облака.
В меню Defender для облака выберите параметры среды.
Выберите соответствующую учетную запись AWS.
Установите переключатель для плана контейнеров в положение Вкл.
Чтобы изменить необязательные конфигурации для плана, выберите Параметры.
Defender для контейнеров требует журналов аудита уровня управления для обеспечения защиты от угроз среды выполнения. Чтобы отправить журналы аудита Kubernetes в Microsoft Defender, переключите параметр " Вкл.". Чтобы изменить срок хранения журналов аудита, введите необходимый интервал времени.
Примечание.
Если отключить эту конфигурацию, функция
Threat detection (control plane)будет отключена. См. дополнительные сведения о доступности функций.Обнаружение без агента для Kubernetes обеспечивает обнаружение кластеров Kubernetes на основе API. Чтобы включить функцию обнаружения без агента для Kubernetes , переключите параметр " Вкл.".
Оценка уязвимостей контейнеров без агента предоставляет управление уязвимостями для образов, хранящихся в ECR и выполняющих образы в кластерах EKS. Чтобы включить функцию оценки уязвимостей без агента, переключите параметр "Вкл.
Нажмите кнопку Next: Review and generate (Далее: проверка и создание).
Выберите Обновить.
Примечание.
Сведения о включении или отключении отдельных возможностей Defender для контейнеров (глобально или для определенных ресурсов) см. в статье "Включение компонентов Microsoft Defender для контейнеров".
Развертывание датчика Defender в кластерах EKS
Kubernetes с поддержкой Azure Arc, датчик Defender и Политика Azure для Kubernetes должны быть установлены и запущены в кластерах EKS. Существует выделенная Defender для облака рекомендация, которую можно использовать для установки этих расширений (и Azure Arc при необходимости):
EKS clusters should have Microsoft Defender's extension for Azure Arc installed
Чтобы развернуть необходимые расширения, выполните следующие действия.
На странице Рекомендации в Defender для облака найдите одну из рекомендаций по имени.
Выберите неработоспособный кластер.
Внимание
Необходимо выбирать кластеры по одному за раз.
Не выбирайте кластеры по именам гиперссылок: делайте выбор по любому другому элементу в соответствующей строке.
Выберите элемент Исправить.
Defender для облака создает скрипт на выбранном языке:
- Для Linux выберите Bash.
- Для Windows выберите PowerShell.
Выберите элемент Download remediation logic (Скачать логику исправления).
Запустите созданный скрипт в кластере.
Следующие шаги
Дополнительные возможности включения для контейнеров Defender для контейнеров см. на странице "Включение Microsoft Defender для контейнеров ".