Portal aracılığıyla AWS'de (EKS) Kapsayıcılar için Defender'ı etkinleştirme

Bu makalede, Azure portalı aracılığıyla Amazon EKS kümelerinizde Kapsayıcılar için Microsoft Defender'ı etkinleştirme adımları gösterilmektedir. Kapsamlı koruma için tüm güvenlik özelliklerini aynı anda etkinleştirmeyi veya gereksinimlerinize göre belirli bileşenleri seçmeli olarak dağıtmayı seçebilirsiniz.

Bu kılavuz ne zaman kullanılır?

Aşağıdakiler için bu kılavuzu kullanın:

  • AWS'de Kapsayıcılar için Defender'ın ilk kez ayarlanması
  • Kapsamlı koruma için tüm güvenlik özelliklerini etkinleştirme
  • Belirli bileşenleri seçmeli olarak dağıtma
  • Mevcut bir dağıtıma eksik bileşenleri düzeltme veya ekleme
  • Denetimli, seçmeli bir yaklaşım kullanarak dağıtma
  • Belirli kümeleri korumanın dışında tutma

Önkoşullar

Ağ gereksinimleri

Genel bulut dağıtımları için aşağıdaki uç noktaların giden erişim için yapılandırıldığını doğrulayın. Bunları giden erişim için yapılandırmak, Defender algılayıcısının güvenlik verilerini ve olaylarını göndermek için Bulut için Microsoft Defender bağlanabilmesine yardımcı olur.

Uyarı

Azure etki alanları *.ods.opinsights.azure.com ve *.oms.opinsights.azure.com artık giden erişim için gerekli değildir. Daha fazla bilgi için bkz. kullanımdan kaldırma duyurusu.

Azure etki alanı Azure Kamu etki alanı 21Vianet etki alanı tarafından sağlanan Azure Liman
*.cloud.defender.microsoft.com Mevcut Değil Mevcut Değil 443

Ayrıca Azure Arc özellikli Kubernetes ağ gereksinimlerini de doğrulamanız gerekir.

AWS'ye özgü gereksinimler:

  • Uygun izinlere sahip AWS hesabı
  • Etkin EKS kümeleri (sürüm 1.19+)
  • Amazon ECR'de container image'leri
  • AWS CLI yüklü ve yapılandırılmış
  • EKS'den Azure'a giden HTTPS bağlantısı

AWS bağlayıcısı oluşturma

  1. Azure portalınaoturum açın.

  2. Bulut için Microsoft Defender’a gidin.

  3. Soldaki menüden Ortam ayarları'nı seçin.

  4. Ortam

    Bulut için Microsoft Defender'da AWS ortamı eklemeye yönelik seçimlerin ekran görüntüsü.

Bağlayıcı ayrıntılarını yapılandırma

  1. Hesap ayrıntıları bölümüne şunu girin:

    • Hesap takma adı: AWS hesabınız için açıklayıcı bir ad
    • AWS hesap kimliği: 12 basamaklı AWS hesap tanımlayıcınız
    • Kaynak grubu: Kaynak grubu seçme veya oluşturma

    Bulut için Microsoft Defender'da bir AWS ortamının hesap ayrıntılarını doldurmak için formun ekran görüntüsü.

  2. İleri: Planları seçin'i seçin.

Kapsayıcılar için Defender özelliklerini etkinleştirme

  1. Planları seçin bölümünde Kapsayıcılar'ıAçık konuma getirin.

    Bulut için Defender ortam ayarlarında aws bağlayıcısının ekran görüntüsü.

  2. Plan yapılandırma seçeneklerine erişmek için Ayarlar'ı seçin.

    Bulut için Defender ortam ayarlarında Kapsayıcılar planı ayarlarının, Aracısız tehdit korumasının vurgulandığı ekran görüntüsü.

  3. Dağıtım yaklaşımınızı seçin:

    Seçenek A: Tüm bileşenleri etkinleştir (önerilen)

    Kapsamlı koruma için tüm özellikleri etkinleştirin:

    • Tüm anahtarları Açık olarak ayarlayın
    • Bu ayar, EKS ortamınız için tam güvenlik kapsamı sağlar

    Seçenek B: Belirli bileşenleri etkinleştirme

    Gereksinimlerinize göre yalnızca ihtiyacınız olan bileşenleri seçin:

  4. Seçtiğiniz yaklaşıma göre kullanılabilir bileşenleri yapılandırın:

    • Aracısız tehdit koruması: Kubernetes denetim günlüklerini Microsoft Defender'a göndererek küme kapsayıcılarınıza çalışma zamanı koruması sağlar.

      • Etkinleştirmek için, düğmeyi Açık konumuna getirin.
      • Denetim günlükleriniz için bekletme süresini yapılandırma
      • AWS hesabınızdaki tüm EKS kümelerini bulur

      Uyarı

      Bu yapılandırmayı devre dışı bırakırsanız denetim düzlemi tehdit algılama devre dışı bırakılır. Özellik kullanılabilirliği hakkında daha fazla bilgi edinin.

    • Kubernetes API erişimi (Kubernetes için aracısız bulma): Kubernetes kümelerinizin API tabanlı bulunmasına izin vermek için izinleri ayarlar.

      • Etkinleştirmek için anahtarı Açık konumuna getirin
      • Stok ve güvenlik duruşu değerlendirmesi sağlar

    • Kayıt defteri erişimi (Aracısız kapsayıcı güvenlik açığı değerlendirmesi): ECR'de depolanan görüntülerin güvenlik açığı değerlendirmesine izin vermek için izinleri ayarlar.

      • Etkinleştirmek için anahtarı Açık olarak ayarlayın
      • Kapsayıcı görüntülerini bilinen güvenlik açıkları için tarar

    • Azure Arc için Defender algılayıcısını otomatik sağlama (Defender DaemonSet): Defender algılayıcısını çalışma zamanı tehdit algılaması için Arc özellikli kümelere otomatik olarak dağıtır.

      • Anahtarı etkinleştirmek için Açık olarak ayarlayın.
      • İş yükü koruması için gerçek zamanlı güvenlik uyarıları sağlar

    Bulut için Microsoft Defender'da Azure Arc için Defender algılayıcısını etkinleştirmeye yönelik seçimlerin ekran görüntüsü.

    Tavsiye

    • Üretim ortamları için tüm bileşenleri etkinleştirmenizi öneririz.
    • Test veya aşamalı dağıtım için belirli bileşenlerle başlayın ve daha sonra daha fazlasını ekleyin.
    • Kubernetes için Azure İlkesi, Defender algılayıcısı ile otomatik olarak dağıtılır.

  5. Devam'ı ve sonraki: Erişimi yapılandır'ı seçin.

AWS izinlerini ayarlama

  1. Erişimi yapılandır sayfasındaki yönergeleri izleyin.

    Bulut için Microsoft Defender'da aws ortamı için erişimi yapılandırma sayfasının ekran görüntüsü.

  2. CloudFormation şablonunu portaldan indirin.

  3. CloudFormation yığınını AWS'de dağıtma:

    1. AWS CloudFormation konsolunu açma
    2. İndirilen şablonla yeni bir yığın oluşturma
    3. Stack'i gözden geçir ve oluştur.

  4. Yığın oluşturma işlemi tamamlandıktan sonra, yığın çıkışlarından ROL ARN'sini kopyalayın.

  5. Azure portalına dönün ve ARN rolünü yapıştırın.

  6. İleri: Gözden geçir ve oluştur'u seçin.

  7. Yapılandırmanızı gözden geçirin ve Oluştur'u seçin.

Tüm bileşenleri dağıtın

Uyarı

Önceki bölümdeki tüm bileşenleri etkinleştirmeyi seçtiyseniz, bu bölümdeki tüm adımları izleyin. Belirli bileşenleri seçtiyseniz, yalnızca seçtiğiniz özelliklerle ilgili adımları tamamlayın.

Yapılandırmanıza göre korumayı etkinleştirmek için şu adımları izleyin:

Denetim düzlemi izinlerini ver

Etkinleştirdiyseniz gereklidir: Aracısız tehdit koruması veya Kubernetes API erişimi

Kubernetes için Aracısız bulma özelliğini etkinleştirdiyseniz, aşağıdaki yöntemlerden birini kullanarak kümede denetim düzlemi izinleri verin:

  • 1. Seçenek: Python betiğini kullanma

    Eklemek istediğiniz EKS kümelerinin Bulut için Defender rolünü MDCContainersAgentlessDiscoveryK8sRole eklemek için aws-auth ConfigMap çalıştırın.

  • Seçenek 2: eksctl kullanma

    Her Amazon EKS kümesine şu rolü verin MDCContainersAgentlessDiscoveryK8sRole :

    eksctl create iamidentitymapping \
    --cluster my-cluster \
    --region region-code \
    --arn arn:aws:iam::account:role/MDCContainersAgentlessDiscoveryK8sRole \
    --group system:masters \
    --no-duplicate-arns

    Daha fazla bilgi için Amazon EKS kullanıcı kılavuzunda IAM kullanıcılarına EKS erişim girişleri ile Kubernetes erişimi verme bölümüne bakın.

EKS kümelerini Azure Arc'a bağlama

Etkinleştirdiyseniz gerekli: Azure Arc için Defender algılayıcısını otomatik sağlama

EKS kümelerinizde Azure Arc özellikli Kubernetes, Defender algılayıcısı ve Kubernetes için Azure İlkesi'ni yükleyip çalıştırmanız gerekir. Bu uzantıları yüklemek için Defender for Cloud'a özgü bir öneri bulunmaktadır.

  1. Bulut için Microsoft Defendergidin.

  2. Şu öneriyi arayın: EKS kümelerinde Azure Arc için Microsoft Defender uzantısı yüklü olmalıdır.

  3. Öneri tarafından sağlanan düzeltme adımlarını izleyin:

    Gerekli Defender for Containers bileşenlerini yükleyerek EKS kümeleri önerisini nasıl düzelteceğinizi açıklayan ekran görüntüsü.

Defender algılayıcısını dağıtma

Önemli

Helm kullanarak Defender algılayıcısını dağıtma: Otomatik olarak sağlanan ve güncelleştirilen diğer seçeneklerden farklı olarak Helm, Defender algılayıcısını esnek bir şekilde dağıtmanızı sağlar. Bu yaklaşım özellikle DevOps ve kod olarak altyapı senaryolarında kullanışlıdır. Helm ile dağıtımı CI/CD işlem hatlarıyla tümleştirebilir ve tüm algılayıcı güncelleştirmelerini denetleyebilirsiniz. Önizleme ve GA sürümlerini almayı da seçebilirsiniz. Helm kullanarak Defender algılayıcısını yükleme yönergeleri için bkz. Helm kullanarak Kapsayıcılar için Defender algılayıcısını yükleme.

Etkinleştirdiyseniz gerekli: Azure Arc için Defender algılayıcısını otomatik sağlama

EKS kümelerinizi Azure Arc'a bağladıktan sonra Defender algılayıcısını dağıtın:

  1. Bulut için Microsoft Defendergidin.

  2. Arc özellikli kümelere Defender uzantısını yükleme hakkında öneriler arayın.

  3. Öneriyi seçin ve düzeltme adımlarını izleyin.

  4. Algılayıcı, kümeleriniz için çalışma zamanı tehdit algılaması sağlar.

Uyarı

Ayrıca, dağıtım yapılandırması üzerinde daha fazla denetim için Helm'i kullanarak Defender algılayıcısını dağıtabilirsiniz. Helm dağıtım yönergeleri için bkz. Helm kullanarak Defender algılayıcısını dağıtma.

ECR güvenlik açığı taramayı yapılandırma

Etkinleştirdiyseniz gerekli: Kayıt defteri erişimi

  1. AWS bağlayıcısı ayarlarınıza gidin.

  2. Kapsayıcılar planının yanındaki Yapılandır'ı seçin.

  3. Kayıt defteri erişiminin etkinleştirildiğini doğrulayın.

  4. ECR'ye gönderilen görüntüler 24 saat içinde otomatik olarak taranır.

Denetim günlüğünü etkinleştirme

Etkinleştirdiyseniz gerekli: Aracısız tehdit koruması

Her EKS kümesi için denetim günlüğünü etkinleştirin:

# Enable audit logs
aws eks update-cluster-config \
    --name <cluster-name> \
    --logging '{"clusterLogging":[{"types":["audit","authenticator"],"enabled":true}]}'

Önerileri ve uyarıları görüntüleme

EKS kümelerinizin uyarılarını ve önerilerini görüntülemek için:

  1. Uyarılar, öneriler veya envanter sayfalarına gidin.

  2. AWS EKS Kümesi kaynak türüne göre filtrelemek için filtreleri kullanın.

    AWS EKS kümeleriyle ilgili uyarıları görüntülemek için Bulut için Microsoft Defender güvenlik uyarıları sayfasında filtreleri kullanma seçimlerinin ekran görüntüsü.

Tavsiye

Bu blog gönderisindeki yönergeleri izleyerek kapsayıcı uyarılarının simülasyonunu yapabilirsiniz.

Belirli bileşenleri dağıtma (isteğe bağlı)

Başlangıçta yalnızca belirli bileşenleri etkinleştirmeyi seçtiyseniz ve şimdi daha fazla bileşen eklemek istiyorsanız veya mevcut dağıtımlarla ilgili sorunları düzeltmeniz gerekiyorsa:

Mevcut dağıtıma bileşen ekleme

  1. Ortam ayarları'na gidin ve AWS bağlayıcınızı seçin.

  2. Kapsayıcıların yanındaki Defender planları>Ayarlar'ı seçin.

  3. Eklemek istediğiniz bileşenler için ek geçişleri etkinleştirin:

    • Aracısız tehdit koruması: Çalışma zamanı koruması için
    • Kubernetes API erişimi: Küme bulma için
    • Kayıt defteri erişimi: ECR güvenlik açığı taraması için
    • Defender'ın algılayıcısını otomatik sağlama: İş yükü koruması için

  4. Değişikliklerinizi kaydedin ve yeni etkinleştirilen bileşenler için dağıtım adımlarını izleyin.

Uyarı

Belirli bir AWS kümesini otomatik sağlamanın dışında tutabilirsiniz. Algılayıcı dağıtımı için ms_defender_container_exclude_agents , değerine truesahip kaynağa etiketini uygulayın. Aracısız dağıtım için, değerine ms_defender_container_exclude_agentlesssahip kaynağa etiketini uygulayıntrue.

Defender algılayıcısını belirli kümelere dağıtma

Algılayıcıyı yalnızca seçili EKS kümelerine dağıtmak için:

  1. Belirli kümeleri Azure Arc'a (tüm kümelere değil) bağlama.

  2. Öneriler'e gidin ve "Arc özellikli Kubernetes kümelerinde Defender uzantısı yüklü olmalıdır" ifadesini bulun.

  3. Yalnızca algılayıcıyı istediğiniz kümeleri seçin.

  4. Yalnızca seçili kümeler için düzeltme adımlarını izleyin.

Mevcut kümeler için bileşenleri dağıtma

Eksik veya başarısız bileşenlere sahip kümeleriniz varsa şu adımları izleyin:

Bileşen durumunu denetleme

  1. Envanter'e gidin ve AWS kaynaklarına göre filtreleyin.

  2. Her EKS kümesinin aşağıdakiler için denetlenmesi:

    • Yay bağlantı durumu
    • Defender uzantısı durumu
    • Politika uzantısı durumu

Arc bağlantı sorunlarını düzeltme

Bağlantısı kesilmiş olarak gösterilen kümeler için:

  1. Arc bağlantı betiğini yeniden çalıştırın.

  2. Kümeden Azure'a ağ bağlantısını doğrulayın.

  3. Arc aracı günlüklerini denetleyin: kubectl logs -n azure-arc -l app.kubernetes.io/component=cluster-agent

Algılayıcı dağıtım sorunlarını düzeltme

Defender algılayıcısı eksik kümeler için:

  1. Arc bağlantısının iyi durumda olduğunu doğrulayın.

  2. Çakışan ilkeleri veya erişim denetleyicilerini denetleyin.

  3. Gerekirse el ile dağıtın: Öneriden düzeltmeyi kullanın.

Belirli kayıt defterleri için ECR taramasını yapılandırma

Yalnızca belirli ECR kayıt defterlerini taramak için:

  1. Bağlayıcı yapılandırmasında Aracısız kapsayıcı güvenlik açığı değerlendirmesini etkinleştirin.

  2. Tarayıcı erişimini belirli kayıt defterlerine sınırlamak için AWS IAM ilkelerini kullanın.

  3. Kayıt defterlerini taramaya dahil etmek veya taramadan çıkarmak için etiketleyin.

Azure İlkesi uzantısını seçmeli olarak dağıtma

İlke değerlendirmesini yalnızca belirli kümelere dağıtmak için:

  1. Arc bağlantısı sonrasında İlke>Tanımları'na gidin.

  2. "Arc özellikli Kubernetes'te Azure İlkesi uzantısını yapılandırma" araması yapın.

  3. Kapsamı belirli kaynak gruplarına veya kümelere göre belirlenmiş bir atama oluşturun.

  4. Dağıtımı doğrulayın: kubectl get pods -n kube-system -l app=azure-policy

Belirli kümeler için denetim günlüğünü yapılandırma

Denetim günlüğünü seçmeli olarak etkinleştirin:

# For specific cluster
aws eks update-cluster-config \
    --name <specific-cluster> \
    --logging '{"clusterLogging":[{"types":["audit"],"enabled":true}]}'

Dağıtımı doğrulayın

Bağlayıcının sistem durumunu denetleme

  1. Ortam ayarları'na gidin.

  2. AWS bağlayıcınızı seçin.

  3. Doğrulamak:

    • Durum: Bağlandı
    • Son eşitleme: Son zaman damgası
    • Bulunan kaynak sayısı

Bulunan kaynakları görüntüleme

  1. Stok'a gidin.

  2. Ortam = AWS'e göre filtreleyin.

  3. Şunu gördüğünüzden emin olun:

    • Tüm EKS kümeleri (veya yalnızca seçmeli olarak dağıtılırsa seçilen kümeler)
    • ECR kayıt defterleri
    • Konteyner görüntüleri

Güvenlik algılamayı test edin

Bir test güvenlik uyarısı oluşturun:

# Connect to an EKS cluster
aws eks update-kubeconfig --name <cluster-name> --region <region>

# Trigger a test alert
kubectl run test-alert --image=nginx --rm -it --restart=Never -- sh -c "echo test > /etc/shadow"

Defender for Cloud'da uyarıyı 5 ile 10 dakika içinde kontrol edin.

Sorun giderme

Dağıtım sorunları

Bileşenlerin dağıtımı başarısız olursa:

  1. Arc bağlantısını denetleme: Kümelerin Bağlı olarak göründüğüne emin olun
  2. IAM rolünü doğrulama: Rolün tüm gerekli izinlere sahip olduğunu onaylayın
  3. Ağı gözden geçirme: Giden HTTPS bağlantısını denetleme
  4. Kotaları denetleme: AWS hizmet kotalarının aşılmadığını doğrulama

Algılayıcı podları açılmıyor

# Check pod status
kubectl describe pods -n kube-system -l app=microsoft-defender

# Common issues:
# - Image pull errors: Check network connectivity
# - Permission denied: Verify RBAC settings
# - Resource constraints: Check node resources

Yay uzantısı takıldı

# Check extension status
az k8s-extension show \
    --cluster-name <cluster-name> \
    --resource-group <rg> \
    --cluster-type connectedClusters \
    --name microsoft.azuredefender.kubernetes

# If stuck, delete and recreate
az k8s-extension delete \
    --cluster-name <cluster-name> \
    --resource-group <rg> \
    --cluster-type connectedClusters \
    --name microsoft.azuredefender.kubernetes

ECR taraması çalışmıyor

  1. IAM rolünün ECR izinlerine sahip olduğunu doğrulayın.

  2. Tarayıcının kayıt defterlerine erişip erişemediğini denetleyin.

  3. Görüntülerin desteklenen bölgelerde olduğundan emin olun.

  4. Log Analytics çalışma alanında tarayıcı günlüklerini gözden geçirin.

Yaygın doğrulama sorunları

  • Eksik kaynaklar: Keşif için 15-30 dakika bekleyin.
  • Kısmi kapsam: Dışlanan kaynak yapılandırmasını denetleyin.
  • Uyarı yok: Denetim günlüğünün etkin olduğunu doğrulayın.
  • Tarama hataları: ECR izinlerini ve ağ erişimini denetleyin.

En iyi yöntemler

  1. Üretim dışı ile başlayın: Seçmeli dağıtım için önce geliştirme/test kümelerinde test edin.
  2. Düzenli incelemeler: Panoyu haftalık olarak kontrol edin.
  3. Uyarı yanıtı: Yüksek önem dereceli uyarıları hemen araştırın.
  4. Görüntü hijyeni: Temel görüntüleri düzenli olarak tarayın ve güncelleştirin.
  5. Uyumluluk: CIS karşılaştırma hatalarını giderin.
  6. Erişim denetimi: IAM rollerini ve RBAC izinlerini gözden geçirin.
  7. Belge dışlamaları: Belirli kümelerin seçmeli dağıtımlarda neden dışlandığını izleyin.
  8. Artımlı olarak dağıtma: Seçmeli dağıtım kullanırken, bir kerede bir bileşen ekleyin.
  9. Her adımı izleyin: Sonraki adıma geçmeden önce her bileşeni doğrulayın.

Kaynakları temizle

Kapsayıcılar için Defender'ı devre dışı bırakmak için aşağıdaki adımları tamamlayın:

  1. AWS bağlayıcınıza gidin.

  2. Aşağıdakilerden birini seçin:

    • Planı devre dışı bırakmak için Kapsayıcıları Kapat
    • Tüm yapılandırmaları kaldırmak için bağlayıcının tamamını silme

  3. AWS kaynaklarını kaldırma:

    • CloudFormation yığınını silme
    • Kümelerin Arc bağlantısını kesme

Sonraki Adımlar

  • Last updated on