你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

使用 Defender for Containers 保护 Amazon Web Service (AWS) 容器

  • 项目

Microsoft Defender for Cloud 中的 Defender for Containers 是一款用于保护容器的云原生解决方案,可用于改进、监视和维护群集、容器及其应用程序的安全性。

有关详细信息,请参阅 Microsoft Defender for Containers 概述

你可以在定价页上了解有关 Defender for Containers 定价的更多信息。

先决条件

在 AWS 帐户上启用 Defender for Containers 计划

若要保护 EKS 群集,需要对相关的 AWS 帐户连接器启用容器计划。

若要在 AWS 帐户上启用 Defender for Containers 计划,请执行以下操作

  1. 登录 Azure 门户

  2. 搜索并选择“Microsoft Defender for Cloud”。

  3. 在 Defender for Cloud 菜单中,选择“环境设置”。

  4. 选择相关 AWS 帐户。

    Defender for Cloud 的“环境设置”页面的屏幕截图,页面中显示了 AWS 连接器。

  5. 将“容器”计划的开关切换到“打开”。

    为 AWS 连接器启用 Defender for Containers 的屏幕截图。

  6. 若要更改计划的可选配置,请选择“设置”。

    Defender for Cloud 的环境设置页面的屏幕截图,显示容器计划的设置。

    • Defender for Containers 需要控制平面审核日志来提供运行时威胁防护。 若要将 Kubernetes 审核日志发送到 Microsoft Defender,请将设置切换为“开”。若要更改审核日志的保持期,请输入所需的期限。

      注意

      如果禁用此配置,将禁用 Threat detection (control plane) 功能。 详细了解功能可用性

    • Kubernetes 的无代理发现提供对 Kubernetes 群集基于 API 的发现。 若要启用“Kubernetes 的无代理发现”功能,请将设置切换为“开”。

    • 无代理容器漏洞评估为存储在 ECR 中的映像和在 EKS 群集上运行的映像提供漏洞管理。 若要启用“无代理容器漏洞评估”功能,请将设置切换为“开”。

  7. 选择“下一步: 审阅并生成”。

  8. 选择“更新”。

注意

若要启用或禁用单个 Defender for Containers 功能(全局或针对特定资源),请参阅如何启用 Microsoft Defender for Containers 组件

在 EKS 群集中部署 Defender 传感器

EKS 群集上应安装并运行已启用 Azure Arc 的 Kubernetes、Defender 传感器和适用于 Kubernetes 的 Azure Policy。 有一个专门的 Defender for Cloud 建议可以用于安装这些扩展(如有必要,还可以安装 Azure Arc):

  • EKS clusters should have Microsoft Defender's extension for Azure Arc installed

若要部署所需的扩展,请执行以下操作

  1. 在 Defender for Cloud 的“建议”页中,按名称搜索其中一条建议。

  2. 选择不正常的群集。

    重要

    必须逐一选择群集。

    请勿按超链接名称选择群集:选择相关行中的任何其他位置。

  3. 选择“修复”。

  4. Defender for Cloud 将使用所选语言生成脚本:

    • 对于 Linux,请选择“Bash”。
    • 对于 Windows,请选择“PowerShell”。

  5. 选择“下载修正逻辑”。

  6. 在群集上运行生成的脚本。

    视频介绍了如何使用 Defender for Cloud 推荐为 EKS 群集生成脚本,从而启用 Azure Arc 扩展。

后续步骤