Schützen Ihrer Amazon Web Service-Container (AWS) mit Defender for Containers

Microsoft Defender for Containers in Microsoft Defender for Cloud ist die cloudnative Lösung, die zum Schutz Ihrer Container verwendet wird, damit Sie die Sicherheit Ihrer Cluster, Container und Anwendungen verbessern, überwachen und verwalten können.

Weitere Informationen finden Sie unter Übersicht zu Microsoft Defender for Containers.

Weitere Informationen zu den Preisen von Defender for Containers finden Sie in der Preisübersicht.

Voraussetzungen

Aktivieren des Defender for Container-Plans in Ihrem AWS-Konto

Aktivieren Sie zum Schützen Ihrer EKS-Cluster den Containerplan für den relevanten AWS Konto-Connector.

So aktivieren Sie den Defender for Containers-Plan in Ihrem AWS-Konto:

  1. Melden Sie sich beim Azure-Portal an.

  2. Suchen Sie nach Microsoft Defender für Cloud und wählen Sie es aus.

  3. Wählen Sie im Menü von Defender for Cloud die Option Umgebungseinstellungen aus.

  4. Wählen Sie das entsprechende AWS-Konto aus.

    Screenshot der Seite mit den Umgebungseinstellungen von Defender für Cloud, die einen AWS-Connector zeigt.

  5. Stellen Sie den Umschalter für den Containerplan auf Ein ein.

    Screenshot der Aktivierung von Defender für Container für einen AWS-Connector.

  6. Um optionale Konfigurationen für den Plan zu ändern, wählen Sie Einstellungen aus.

    Screenshot: Defender for Cloud-Umgebungseinstellungsseite mit den Einstellungen für den Containers-Plan

    • Defender für Container erfordert Steuerungsebenenüberwachungsprotokolle, um Laufzeit-Bedrohungsschutz bereitzustellen. Wenn Sie Kubernetes-Überwachungsprotokolle an Microsoft Defender senden möchten, schalten Sie die Einstellung auf Ein um. Um den Aufbewahrungszeitraum für Ihre Überwachungsprotokolle zu ändern, geben Sie den erforderlichen Zeitrahmen ein.

      Hinweis

      Wenn Sie diese Konfiguration deaktivieren, wird das Threat detection (control plane)-Feature deaktiviert. Erfahren Sie mehr über die Verfügbarkeit von Features.

    • Agentless Discovery für Kubernetes bietet API-basierte Ermittlung Ihrer Kubernetes-Cluster. Um die Agentenlose Discovery für Kubernetes-Funktion zu aktivieren, schalten Sie die Einstellung auf An um.

    • Die Sicherheitsrisikobewertung für agentenlose Container bietet Sicherheitsrisikoverwaltung für Images, die in ECR gespeichert sind und Images, die auf Ihren EKS-Clustern laufen. Um das Feature Sicherheitsrisikobewertung für agentenlose Container zu aktivieren, stellen Sie die Einstellung auf An.

  7. Wählen Sie Weiter: Überprüfen und generieren aus.

  8. Wählen Sie Aktualisieren aus.

Hinweis

Wenn Sie einzelne Defender for Containers-Funktionen aktivieren oder deaktivieren möchten, entweder global oder für bestimmte Ressourcen, finden Sie weitere Informationen unter Aktivieren von Microsoft Defender for Containers-Komponenten.

Bereitstellen des Defender-Sensors in EKS-Clustern

Kubernetes mit Azure Arc-Unterstützung, der Defender-Sensor und Azure Policy für Kubernetes müssen in Ihren EKS-Clustern installiert sein und ausgeführt werden. Es gibt eine dedizierte Defender for Cloud-Empfehlung, die zum Installieren dieser Erweiterungen (und bei Bedarf auch Azure Arc) verwendet werden kann:

  • EKS clusters should have Microsoft Defender's extension for Azure Arc installed

So stellen Sie die erforderlichen Erweiterungen bereit:

  1. Suchen Sie auf der Seite Empfehlungen von Defender für Cloud anhand des Namens nach einer der Empfehlungen.

  2. Wählen Sie einen fehlerhaften Cluster aus.

    Wichtig

    Sie müssen die Cluster nacheinander auswählen.

    Wählen Sie die Cluster nicht über die verlinkten Namen aus, sondern wählen Sie eine beliebige andere Stelle in der betreffenden Zeile.

  3. Wählen Sie Korrigieren aus.

  4. Defender for Cloud generiert ein Skript in der Sprache Ihrer Wahl:

    • Wählen Sie für Linux Bash aus.
    • Wählen Sie für Windows PowerShell aus.
  5. Wählen Sie Wartungslogik herunterladen aus.

  6. Führen Sie das generierte Skript in Ihrem Cluster aus.

    Video über die Verwendung der Defender for Cloud-Empfehlung zur Erstellung eines Skripts für Ihre EKS-Cluster, das die Azure Arc-Erweiterung aktiviert.

Nächste Schritte