使用適用於容器的 Defender 保護您的 Amazon Web Service (AWS) 容器
適用於雲端的 Microsoft Defender 中的適用於容器的Defender是用來保護您的容器的雲端原生解決方案,因此您可以改善、監視和維護叢集、容器及其應用程式的安全性。
深入瞭解 適用於容器的 Microsoft Defender 概觀。
您可以在定價頁面上深入瞭解適用於容器的Defender定價。
必要條件
您需要 Microsoft Azure 訂用帳戶。 如果您沒有 Azure 訂用帳戶,您可以註冊免費訂用帳戶。
您必須在 Azure 訂用帳戶上啟用適用於雲端的 Microsoft Defender。
確認 Kubernetes 節點可以存取套件管理員的來源存放庫。 如需需求的相關信息,請參閱 網路需求。
請確定已驗證下列 已啟用 Azure Arc 的 Kubernetes 網路需求 。
在您的 AWS 帳戶上啟用適用於容器的 Defender 方案
若要保護您的 EKS 叢集,您必須在相關的 AWS 帳戶連接器上啟用容器計劃。
若要在您的 AWS 帳戶上啟用適用於容器的 Defender 方案:
登入 Azure 入口網站。
搜尋並選取 [適用於雲端的 Microsoft Defender]。
在適用於雲端的 Microsoft Defender 功能表,選取 [環境設定]。
選取相關的 AWS 帳戶。
將 [容器計劃] 的切換設定為 [開啟]。
若要變更方案的選擇性設定,請選取 [設定]。
適用於容器的Defender需要控制平面稽核記錄,以提供 運行時間威脅防護。 若要將 Kubernetes 稽核記錄傳送至 Microsoft Defender,請將設定切換為 [開啟]。 若要變更稽核記錄的保留期間,請輸入所需的時間範圍。
注意
如果您停用此設定,
Threat detection (control plane)
則會停用此功能。 深入瞭解 功能可用性。Kubernetes 的無代理程式探索提供 Kubernetes 叢集的 API 型探索。 若要啟用 Kubernetes 功能的無代理程式探索,請將設定切換為 [開啟]。
無代理程式容器弱點評估會針對儲存在 ECR 中的映像,並在 EKS 叢集上執行映像提供 弱點管理。 若要啟用 無代理程式容器弱點評估 功能,請將設定切換為 [開啟]。
選取 [下一步:檢閱並產生]。
選取 [更新]。
注意
若要啟用或停用適用於容器的個別 Defender 功能,請全域或針對特定資源啟用,請參閱 如何啟用適用於容器的 Microsoft Defender 元件。
在 EKS 叢集中部署 Defender 感測器
已啟用 Azure Arc 的 Kubernetes、Defender 感測器和適用於 Kubernetes 的 Azure 原則 應該安裝在 EKS 叢集上並執行。 有一個專用的 適用於雲端的 Defender 建議可用來安裝這些延伸模組(如有必要,請使用 Azure Arc):
EKS clusters should have Microsoft Defender's extension for Azure Arc installed
若要部署必要的擴充功能:
從 適用於雲端的 Defender 的 [建議] 頁面中,依名稱搜尋其中一個建議。
選取狀況不良的叢集。
重要
您必須一次選取一個叢集。
請勿依其超連結名稱選取叢集:選取相關數據列中的任何其他位置。
選取 [ 修正]。
適用於雲端的 Defender 會以您選擇的語言產生文稿:
- 針對 Linux,選取 [Bash]。
- 針對 [Windows],選取 [PowerShell]。
選取 [ 下載補救邏輯]。
在您的叢集上執行產生的腳本。