Включите Defender для контейнеров в AWS (EKS) через портал

В этой статье показано, как включить Microsoft Defender для контейнеров в кластерах Amazon EKS на портале Azure. Вы можете включить все функции безопасности одновременно для комплексной защиты или выборочно развернуть определенные компоненты на основе ваших требований.

Когда следует использовать это руководство

Используйте это руководство, если вы хотите:

  • Первоначальная настройка Defender для контейнеров на AWS
  • Включение всех функций безопасности для комплексной защиты
  • Выборочное развертывание определенных компонентов
  • Исправление или добавление отсутствующих компонентов в существующее развертывание
  • Развертывайте с помощью управляемого выборочного подхода
  • Исключение определенных кластеров из защиты

Предпосылки

Требования к сети

Убедитесь, что для общедоступных облачных развертываний настроены следующие конечные точки для исходящего доступа. Настройка для исходящего доступа помогает убедиться, что датчик Defender может подключаться к Microsoft Defender для облака для отправки данных и событий безопасности.

Замечание

Домены *.ods.opinsights.azure.com Azure и *.oms.opinsights.azure.com больше не требуются для исходящего доступа. Дополнительные сведения см. в объявлении об устаревании.

Домен Azure домен Azure для государственных организаций Azure, управляемый доменом 21Vianet Порт
*.cloud.defender.microsoft.com N/A N/A 443

Кроме того, необходимо проверить требования к сети Kubernetes с поддержкой Azure Arc.

Требования, относящиеся к AWS:

  • Учетная запись AWS с соответствующими разрешениями
  • Активные кластеры EKS (версия 1.19+)
  • Образы контейнеров в Amazon ECR
  • Интерфейс командной строки AWS установлен и настроен
  • Исходящее подключение HTTPS из EKS в Azure

Создание соединителя AWS

  1. Войдите на портал Azure.

  2. Перейдите к Microsoft Defender для облака.

  3. Выберите параметры среды в меню слева.

  4. Выберите Добавление среды>Amazon Web Services.

    Снимок экрана: выбор для добавления среды AWS в Microsoft Defender для облака.

Настройка сведений о соединителе

  1. В разделе сведений об учетной записи введите:

    • Псевдоним учетной записи: описательное имя учетной записи AWS
    • Идентификатор учетной записи AWS: 12-значный идентификатор учетной записи AWS
    • Группа ресурсов: выбор или создание группы ресурсов

    Снимок экрана: форма для заполнения сведений о учетной записи для среды AWS в Microsoft Defender для облака.

  2. Выберите элемент Next: Select plans (Далее: выбор планов).

Включение функций Defender для контейнеров

  1. В разделе "Выбор планов" переключите контейнеры на включено.

    Снимок экрана: соединитель AWS в параметрах среды Defender для облака.

  2. Выберите "Параметры" , чтобы получить доступ к параметрам конфигурации плана.

    Снимок экрана: параметры плана

  3. Выберите подход к развертыванию:

    Вариант A. Включение всех компонентов (рекомендуется)

    Для комплексной защиты включите все функции:

    • Установите для всех переключателей значение "Вкл."
    • Этот параметр обеспечивает полное покрытие безопасности для среды EKS

    Вариант B. Включение определенных компонентов

    Выберите только необходимые компоненты в зависимости от ваших требований:

  4. Настройте доступные компоненты на основе выбранного подхода:

    • Защита от угроз без агента: обеспечивает защиту среды выполнения контейнерам кластера, отправляя журналы аудита Kubernetes в Microsoft Defender.

      • Установите для включения переключателя значение "Вкл."
      • Настройка периода хранения для журналов аудита
      • Обнаружение всех кластеров EKS в учетной записи AWS

      Замечание

      Если отключить эту конфигурацию, обнаружение угроз уровня управления отключено. См. дополнительные сведения о доступности функций.

    • Доступ к API Kubernetes (обнаружение без агента для Kubernetes): задает разрешения для разрешения обнаружения кластеров Kubernetes на основе API.

      • Установите для включения переключателя значение "Вкл."
      • Предоставляет оценку состояния инвентаризации и безопасности

    • Доступ к реестру (оценка уязвимостей без агента): задает разрешения для разрешения оценки уязвимостей образов, хранящихся в ECR.

      • Установите для включения переключателя значение "Вкл."
      • Сканирует образы контейнеров на известные уязвимости

    • Автоматическая подготовка датчика Defender для Azure Arc (Defender DaemonSet): автоматически развертывает датчик Defender в кластерах с интеграцией Arc для обнаружения угроз на этапе выполнения.

      • Установите для включения переключателя значение "Вкл."
      • Предоставляет оповещения системы безопасности в режиме реального времени для защиты рабочих нагрузок

    Снимок экрана: выбор для включения датчика Defender для Azure Arc в Microsoft Defender для облака.

    Подсказка

    • Для рабочих сред рекомендуется включить все компоненты.
    • Для тестирования или постепенного развертывания начните с определенных компонентов и добавьте дополнительные сведения позже.
    • Политика Azure для Kubernetes автоматически развертывается с помощью датчика Defender.

  5. Нажмите кнопку "Продолжить " и "Далее": настройка доступа.

Настройка разрешений AWS

  1. Следуйте инструкциям на странице "Настройка доступа ".

    Снимок экрана: страница настройки доступа к среде AWS в Microsoft Defender для облака.

  2. Скачайте шаблон CloudFormation на портале.

  3. Развертывание стека CloudFormation в AWS:

    1. Открытие консоли AWS CloudFormation
    2. Создайте новый стек с загруженным шаблоном.
    3. Проверка и создание стека

  4. После завершения создания стека скопируйте роль ARN из выходных данных стека.

  5. Вернитесь на портал Azure и вставьте роль ARN.

  6. Нажмите кнопку "Далее": проверка и создание.

  7. Просмотрите конфигурацию и нажмите кнопку "Создать".

Развертывание всех компонентов

Замечание

Если вы выбрали включение всех компонентов в предыдущем разделе, выполните все действия, описанные в этом разделе. Если вы выбрали определенные компоненты, выполните действия, относящиеся к выбранным функциям.

Выполните следующие действия, чтобы включить защиту на основе конфигурации:

Предоставление разрешений для плоскости управления

Требуется, если вы включили: защита от угроз без агента или доступ к API Kubernetes

Если вы включили обнаружение без агента для Kubernetes, предоставьте разрешения уровня управления в кластере с помощью одного из следующих методов:

  • Вариант 1. Использование скрипта Python

    Запустите этот скрипт Python, чтобы добавить роль MDCContainersAgentlessDiscoveryK8sRole Defender для облачных решений aws-auth ConfigMap в кластеры EKS, которые вы хотите подключить.

  • Вариант 2. Использование eksctl

    Предоставьте роль MDCContainersAgentlessDiscoveryK8sRole каждому кластеру Amazon EKS.

    eksctl create iamidentitymapping \
    --cluster my-cluster \
    --region region-code \
    --arn arn:aws:iam::account:role/MDCContainersAgentlessDiscoveryK8sRole \
    --group system:masters \
    --no-duplicate-arns

    Дополнительные сведения см. в разделе "Предоставление пользователям IAM доступа к Kubernetes" с записями доступа EKS в руководстве пользователя Amazon EKS.

Подключение кластеров EKS к Azure Arc

Требуется, если вы включили: датчик автоматического развертывания Defender для Azure Arc

Необходимо установить и запустить Kubernetes с поддержкой Azure Arc, датчик Defender и политику Azure для Kubernetes в кластерах EKS. Существует специальная рекомендация Defender для облака для установки следующих расширений:

  1. Перейдите к Microsoft Defender для облака> Recommendations.

  2. Найдите рекомендацию: кластеры EKS должны иметь расширение Microsoft Defender, предназначенное для Azure Arc.

  3. Выполните действия по исправлению, предоставленные рекомендацией:

    Снимок экрана, объясняющий, как устранить проблему с рекомендациями по кластерам EKS путем установки необходимых компонентов Defender для контейнеров.

Развертывание датчика Defender

Это важно

Развертывание датчика Defender с помощью Helm: в отличие от других параметров, которые автоматически подготавливаются и обновляются автоматически, Helm позволяет гибко развертывать датчик Defender. Этот подход особенно полезен в сценариях DevOps и инфраструктуры как кода. С помощью Helm вы можете интегрировать развертывание в конвейеры CI/CD и управлять всеми обновлениями датчиков. Вы также можете получать предварительные и общедоступные версии. Инструкции по установке датчика Defender с помощью Helm см. в разделе "Установка датчика Defender для контейнеров" с помощью Helm.

Требуется, если вы включили: датчик Автоматической подготовки Defender для Azure Arc

После подключения кластеров EKS к Azure Arc разверните датчик Defender:

  1. Перейдите к Microsoft Defender для облака> Recommendations.

  2. Найдите рекомендации по установке расширения Defender в кластерах с поддержкой Arc.

  3. Выберите рекомендацию и выполните действия по исправлению.

  4. Датчик предоставляет обнаружение угроз во время выполнения для ваших кластеров.

Замечание

Вы также можете развернуть датчик Defender с помощью Helm для более детального контроля над конфигурацией развертывания. Инструкции по развертыванию Helm см. в разделе "Развертывание датчика Defender с помощью Helm".

Настройка проверки уязвимостей ECR

Требуется, если вы включили: доступ к реестру

  1. Перейдите к параметрам соединителя AWS.

  2. Выберите "Настроить" рядом с планом "Контейнеры".

  3. Убедитесь, что доступ к реестру включен.

  4. Изображения, отправленные в ECR, автоматически сканируются в течение 24 часов.

Включение ведения журнала аудита

Требуется, если включена защита от угроз без агента

Включите ведение журнала аудита для каждого кластера EKS:

# Enable audit logs
aws eks update-cluster-config \
    --name <cluster-name> \
    --logging '{"clusterLogging":[{"types":["audit","authenticator"],"enabled":true}]}'

Просмотр рекомендаций и оповещений

Чтобы просмотреть оповещения и рекомендации для кластеров EKS, выполните следующие действия.

  1. Перейдите на страницы оповещений, рекомендаций или инвентаризации.

  2. Используйте фильтры для фильтрации по типу ресурса AWS EKS Cluster.

    Снимок экрана: выбор фильтров на странице оповещений системы безопасности Microsoft Defender для облака для просмотра оповещений, связанных с кластерами AWS EKS.

Подсказка

Вы можете имитировать оповещения для контейнеров, выполнив инструкции в этой записи блога.

Развертывание определенных компонентов (необязательно)

Если вы изначально решили включить только определенные компоненты и теперь хотите добавить дополнительные сведения или устранить проблемы с существующими развертываниями:

Добавление компонентов в существующее развертывание

  1. Перейдите к параметрам среды и выберите соединитель AWS.

  2. Выберите планы Defender>Параметры рядом с контейнерами.

  3. Включите дополнительные переключатели для компонентов, которые необходимо добавить:

    • Защита от угроз без агента: для защиты среды выполнения
    • Доступ к API Kubernetes: для обнаружения кластера
    • Доступ к реестру: для проверки уязвимостей ECR
    • Датчик автонастройки Defender: для защиты рабочей нагрузки

  4. Сохраните изменения и следуйте инструкциям по развертыванию новых компонентов.

Замечание

Вы можете исключить определенный кластер AWS из автоматической подготовки. Для развертывания датчика примените ms_defender_container_exclude_agents тег к ресурсу со значением true. Для развертывания без агента примените ms_defender_container_exclude_agentless тег к ресурсу со значением true.

Развертывание датчика Defender в определенных кластерах

Чтобы развернуть датчик только для выбранных кластеров EKS, выполните следующие действия.

  1. Подключите определенные кластеры к Azure Arc (не все кластеры).

  2. Перейдите к рекомендациям и найдите " Кластеры Kubernetes с поддержкой Arc должны иметь расширение Defender".

  3. Выберите только кластеры, в которых требуется датчик.

  4. Выполните действия по исправлению только для выбранных кластеров.

Развертывание компонентов для существующих кластеров

Если у вас есть кластеры с отсутствующими или неудачными компонентами, выполните следующие действия.

Проверка состояния компонента

  1. Перейдите к инвентаризации и фильтруйте по ресурсам AWS.

  2. Проверьте каждый кластер EKS для:

    • Состояние подключения Arc
    • Состояние расширения Defender
    • Состояние расширения политики

Устранение проблем с подключением Arc

Для кластеров, которые отображаются как отключенные:

  1. Повторно запустите скрипт подключения Arc.

  2. Проверка сетевого подключения из кластера в Azure.

  3. Проверьте журналы агента Arc: kubectl logs -n azure-arc -l app.kubernetes.io/component=cluster-agent

Устранение проблем с развертыванием датчика

Для кластеров, в которых отсутствует датчик Defender:

  1. Убедитесь, что подключение Arc исправно.

  2. Проверьте наличие конфликтующих политик или контроллеров допуска.

  3. При необходимости разверните вручную: используйте исправление из рекомендации.

Настройка проверки ECR для определенных реестров

Чтобы проверить только определенные реестры ECR, выполните указанные действия.

  1. В конфигурации соединителя включите безагентную оценку уязвимостей контейнеров.

  2. Используйте политики AWS IAM, чтобы ограничить доступ сканера к определенным реестрам.

  3. Реестры тегов для включения или исключения из сканирования.

Выборочное развертывание расширения политики Azure

Чтобы развернуть оценку политики только в определенных кластерах, выполните следующие действия.

  1. После подключения Arc перейдите кполитикам>.

  2. Выполните поиск по запросу "Настройка расширения политики Azure в Kubernetes с поддержкой Arc".

  3. Создайте назначение, ограниченное определенными группами ресурсов или кластерами.

  4. Проверка развертывания: kubectl get pods -n kube-system -l app=azure-policy

Настройка ведения журнала аудита для определенных кластеров

Выборочно включить ведение журнала аудита:

# For specific cluster
aws eks update-cluster-config \
    --name <specific-cluster> \
    --logging '{"clusterLogging":[{"types":["audit"],"enabled":true}]}'

Проверка развертывания

Проверка работоспособности соединителя

  1. Перейдите к параметрам среды.

  2. Выберите соединитель AWS.

  3. Проверять:

    • Состояние: подключено
    • Последняя синхронизация: последняя метка времени
    • Количество обнаруженных ресурсов

Просмотр обнаруженных ресурсов

  1. Перейдите к инвентаризации.

  2. Фильтровать по среде = AWS.

  3. Убедитесь, что вы видите следующее:

    • Все кластеры EKS (или только выбранные при выборочном развертывании)
    • Реестры ECR
    • Образы контейнеров

Тестирование обнаружения безопасности

Создайте тестовое оповещение системы безопасности:

# Connect to an EKS cluster
aws eks update-kubeconfig --name <cluster-name> --region <region>

# Trigger a test alert
kubectl run test-alert --image=nginx --rm -it --restart=Never -- sh -c "echo test > /etc/shadow"

Проверьте оповещение в Defender для облака в течение 5–10 минут.

Устранение неполадок

Проблемы с развертыванием

Если компоненты не могут быть развернуты:

  1. Проверка подключения Arc: убедитесь, что кластеры отображаются как подключенные
  2. Проверка роли IAM: убедитесь, что роль имеет все необходимые разрешения
  3. Проверка сети: проверка исходящего подключения HTTPS
  4. Проверка квот: Убедитесь, что лимиты по квотам службы AWS не превышены.

Датчики не запускаются

# Check pod status
kubectl describe pods -n kube-system -l app=microsoft-defender

# Common issues:
# - Image pull errors: Check network connectivity
# - Permission denied: Verify RBAC settings
# - Resource constraints: Check node resources

Расширение Arc зависло

# Check extension status
az k8s-extension show \
    --cluster-name <cluster-name> \
    --resource-group <rg> \
    --cluster-type connectedClusters \
    --name microsoft.azuredefender.kubernetes

# If stuck, delete and recreate
az k8s-extension delete \
    --cluster-name <cluster-name> \
    --resource-group <rg> \
    --cluster-type connectedClusters \
    --name microsoft.azuredefender.kubernetes

Сканирование ECR не работает

  1. Убедитесь, что роль IAM имеет разрешения ECR.

  2. Проверьте, может ли сканер получить доступ к реестрам.

  3. Убедитесь, что изображения находятся в поддерживаемых регионах.

  4. Просмотрите журналы сканера в рабочей области Log Analytics.

Распространенные проблемы с проверкой

  • Отсутствующие ресурсы: подождите 15-30 минут для обнаружения.
  • Частичное покрытие: проверьте конфигурацию исключенных ресурсов.
  • Нет оповещений: убедитесь, что ведение журнала аудита включено.
  • Сбои сканирования: проверьте разрешения ECR и сетевой доступ.

Лучшие практики

  1. Начните с непроизводственных кластеров: сначала протестируйте кластеры разработки и тестирования для выборочного развертывания.
  2. Регулярные проверки: еженедельная проверка панели мониторинга.
  3. Ответ на оповещения. Оперативное изучение оповещений с высоким уровнем серьезности.
  4. Гигиена изображений: регулярно сканировать и обновлять базовые образы.
  5. Соответствие требованиям. Устранение сбоев тестов CIS.
  6. Управление доступом: просмотрите роли IAM и разрешения RBAC.
  7. Исключения документов: Отслеживайте, почему некоторые кластеры исключены в выборочных развертываниях.
  8. Развертывание постепенно. При использовании выборочного развертывания добавьте один компонент за раз.
  9. Отслеживайте каждый шаг: проверьте каждый компонент, прежде чем перейти к следующему.

Очистите ресурсы

Чтобы отключить Defender для контейнеров, выполните следующие действия.

  1. Перейдите к соединителю AWS.

  2. Выберите один из следующих вариантов:

    • Выключите контейнеры для отключения плана
    • Удаление всего соединителя для удаления всех конфигураций

  3. Удаление ресурсов AWS:

    • Удаление стека CloudFormation
    • Отключение кластеров от Arc

Дальнейшие шаги

  • Last updated on