Ochrana kontejnerů Amazon Web Service (AWS) pomocí defenderu for Containers
Defender for Containers v Programu Microsoft Defender for Cloud je cloudové nativní řešení, které slouží k zabezpečení kontejnerů, abyste mohli zlepšit, monitorovat a udržovat zabezpečení clusterů, kontejnerů a jejich aplikací.
Přečtěte si další informace o přehledu služby Microsoft Defender for Containers.
Další informace o cenách Defenderu pro kontejner najdete na stránce s cenami.
Požadavky
Budete potřebovat předplatné Microsoft Azure. Pokud předplatné Azure nemáte, můžete si zaregistrovat bezplatné předplatné.
Ve svém předplatném Azure musíte povolit Microsoft Defender for Cloud .
Ověřte, že uzly Kubernetes mají přístup ke zdrojovým úložištím správce balíčků. Informace o požadavcích najdete v tématu Požadavky na síť.
Ujistěte se, že jsou ověřeny následující požadavky na síť Kubernetes s podporou Služby Azure Arc.
Povolení plánu Defender for Containers na vašem účtu AWS
Pokud chcete chránit clustery EKS, musíte povolit plán Kontejnerů na příslušném konektoru účtu AWS.
Povolení plánu Defender for Containers na vašem účtu AWS:
Přihlaste se k portálu Azure.
Vyhledejte a vyberte možnost Microsoft Defender for Cloud.
V nabídce Defender for Cloud vyberte Nastavení prostředí.
Vyberte příslušný účet AWS.
Nastavte přepínač pro plán Kontejnery na Zapnuto.
Pokud chcete změnit volitelné konfigurace plánu, vyberte Nastavení.
Defender for Containers vyžaduje protokoly auditu řídicí roviny pro zajištění ochrany před hrozbami za běhu. Pokud chcete odesílat protokoly auditu Kubernetes do Microsoft Defenderu, přepněte nastavení na Zapnuto. Pokud chcete změnit dobu uchovávání protokolů auditu, zadejte požadovaný časový rámec.
Poznámka:
Pokud tuto konfiguraci zakážete,
Threat detection (control plane)funkce bude zakázaná. Přečtěte si další informace o dostupnosti funkcí.Zjišťování bez agentů pro Kubernetes poskytuje zjišťování clusterů Kubernetes založené na rozhraní API. Pokud chcete povolit zjišťování bez agentů pro funkci Kubernetes , přepněte nastavení na Zapnuto.
Posouzení ohrožení zabezpečení kontejneru bez agentů poskytuje správa ohrožení zabezpečení pro image uložené v ECR a spouštění imagí v clusterech EKS. Pokud chcete povolit funkci Posouzení ohrožení zabezpečení kontejneru bez agentů, přepněte nastavení na Zapnuto.
Vyberte Další: Zkontrolovat a vygenerovat.
Vyberte Aktualizovat.
Poznámka:
Pokud chcete povolit nebo zakázat jednotlivé funkce Defenderu pro kontejnery, a to buď globálně, nebo pro konkrétní prostředky, přečtěte si, jak povolit komponenty Microsoft Defenderu for Containers.
Nasazení senzoru Defenderu v clusterech EKS
Na clusterech EKS by se měl nainstalovat a spustit Kubernetes s podporou Azure Arc, senzor Defenderu a Azure Policy pro Kubernetes. K instalaci těchto rozšíření (a v případě potřeby Azure Arc) je k dispozici vyhrazené doporučení defenderu pro cloud:
EKS clusters should have Microsoft Defender's extension for Azure Arc installed
Nasazení požadovaných rozšíření:
Na stránce Doporučení pro Defender for Cloud vyhledejte jedno z doporučení podle názvu.
Vyberte cluster, který není v pořádku.
Důležité
Clustery musíte vybrat po jednom.
Nevybírejte clustery podle jejich názvů hypertextových odkazů: vyberte kdekoli jinde na příslušném řádku.
Vyberte možnost Opravit.
Defender for Cloud vygeneruje skript v jazyce podle vašeho výběru:
- V případě Linuxu vyberte Bash.
- Pro Windows vyberte PowerShell.
Vyberte Možnost Stáhnout logiku nápravy.
Spusťte vygenerovaný skript v clusteru.
Další kroky
Pokročilé funkce povolení pro Defender for Containers najdete na stránce Povolit Microsoft Defender for Containers .