Freigeben über

Installieren des Defender for Containers-Sensors mit Helm

In diesem Artikel wird beschrieben, wie Sie den Microsoft Defender for Containers-Sensor auf AKS-, EKS- und GKE-Clustern mit Helm installieren und konfigurieren. Sie erfahren mehr über die Voraussetzungen, das Aktivieren von Defender für Container und schrittweise Bereitstellungsanweisungen für verschiedene Umgebungen.

Allgemeine Voraussetzungen

Stellen Sie sicher, dass alle erforderlichen Anforderungen für den Defender for Containers-Sensor erfüllt sind, wie in den Anforderungen des Defender-Sensornetzwerks beschrieben.

Schritt 1: Aktivieren von Defender für Container

Wenn Ihr Defender für Container-Plan noch nicht aktiviert ist, führen Sie die folgenden Schritte aus:

  1. Wechseln Sie im Azure-Portal zu Microsoft Defender für Cloud, und wählen Sie das Abonnement für die Cluster aus, in denen Sie das Helm-Diagramm installieren möchten. Wählen Sie in EKS und GKE die Umgebung aus, in der sich diese Cluster befinden (der Sicherheitsconnector für das EKS- oder GKE-Konto mit dem Cluster).

  2. Suchen Sie unter Cloud Workload Protection Platform (CWPP)den Containerplan, und legen Sie den Umschalter auf "Ein" fest.

    Screenshot, der zeigt, wie der Containerplan aktiviert wird.

  3. Wählen Sie neben dem Containers-PlanEinstellungen aus.

    Screenshot, der zeigt, wie Sie die Schaltfläche

  4. Stellen Sie im Bereich "Einstellungen und Überwachung " sicher, dass die folgenden Umschaltmöglichkeiten auf "Ein" festgelegt sind:

    • Defender-Sensor
    • Sicherheitsergebnisse
    • Registrierungszugriff

    Screenshot, der zeigt, wie zu überprüfen, ob die richtigen Umschalter aktiviert sind.

Jetzt können Sie den Defender for Containers-Sensor mit Helm einrichten.

Schritt 2: Installieren des Sensor-Helm-Diagramms

Nur für AKS Automatic

Führen Sie den folgenden Befehl für AKS Automatic aus:

# Update Azure CLI to the latest version 
az upgrade 

# If you don't have the AKS preview extension installed yet 
az extension add --name aks-preview 

# Update the AKS extension specifically 
az extension update --name aks-preview

Voraussetzungen für die Installation

  • Helm >= 3,8 (OCI-Unterstützung ist GA)

  • Rolle „Ressourcengruppenbesitzer“ für den Zielcluster (AKS) oder Sicherheitsconnector (EKS oder GKE)

  • Azure-Ressourcen-ID für den Zielcluster

    Hinweis

    Verwenden Sie den folgenden Befehl, um eine Liste Ihrer Azure-Clusterressourcen-IDs für Azure-Cluster zu generieren, die eine <SUBSCRIPTION_ID> und <RESOURCE_GROUP> haben:

    az aks list \
--subscription <SUBSCRIPTION_ID> \
--resource-group <RESOURCE_GROUP> \
--query "[].id" \
-o tsv

AKS

Entfernen Sie vor der Installation des Sensors alle in Konflikt stehenden Richtlinien. Diese Richtlinienzuweisungen bewirken, dass die GA-Version des Sensors auf Ihrem Cluster bereitgestellt wird. Sie finden die Liste der Richtliniendefinitionen für Ihr Abonnement unter "Richtlinie" – Microsoft Azure. Die ID für die widersprüchliche Richtlinie lautet 64def556-fbad-4622-930e-72d1d5589bf5.

Führen Sie das folgende Skript aus, um sie mit Azure CLI zu entfernen:

delete_conflicting_policies.sh

Führen Sie das Skript mit dem Befehl aus:

delete_conflicting_policies.sh <CLUSTER_AZURE_RESOURCE_ID>

Hinweis

Dieses Skript entfernt Ressourcengruppen- und Abonnementebenenrichtlinien zum Einrichten der GA-Version von Defender für Container, die sich auf andere Cluster als die von Ihnen konfigurierte auswirken kann.

Das folgende Skript installiert den Defender for Containers-Sensor (und entfernt alle vorhandenen Bereitstellungen, sofern vorhanden):

install_defender_sensor_aks.sh

Führen Sie das Skript mit dem Befehl aus:

install_defender_sensor_aks.sh <CLUSTER_AZURE_RESOURCE_ID> <RELEASE_TRAIN> <VERSION>

Ersetzen Sie im folgenden Befehl den Platzhaltertext <CLUSTER_AZURE_RESOURCE_ID>, <RELEASE_TRAIN> und <VERSION> durch Ihre eigenen Werte. Verwenden Sie "public" für die öffentlichen Vorschauversionen (0.9.x). Verwenden Sie für <VERSION> "latest" oder eine bestimmte semantische Version.

Hinweis

Dieses Skript legt einen neuen Kubeconfig-Kontext fest und erstellt möglicherweise einen Log Analytics-Arbeitsbereich in Ihrem Azure-Konto.

EKS/GKE

Das folgende Skript installiert den Defender for Containers-Sensor (und entfernt alle vorhandenen Bereitstellungen, sofern vorhanden):

install_defender_sensor_mc.sh

Legen Sie den Kubeconfig-Kontext auf den Zielcluster fest, und führen Sie das Skript mit dem Befehl aus:

install_defender_sensor_mc.sh <SECURITY_CONNECTOR_AZURE_RESOURCE_ID> <RELEASE_TRAIN> <VERSION> <DISTRIBUTION> [<ARC_CLUSTER_RESOURCE_ID>]

Ersetzen Sie im folgenden Befehl den Platzhaltertext <SECURITY_CONNECTOR_AZURE_RESOURCE_ID>, <RELEASE_TRAIN>, <VERSION>, <DISTRIBUTION> und <ARC_CLUSTER_RESOURCE_ID> durch Ihre eigenen Werte. Bitte beachten Sie, dass ARC_CLUSTER_RESOURCE_ID ein optionaler Parameter ist und nur für vorhandene Cluster verwendet werden sollte, die die Defender für Containers-Arc-Erweiterung verwenden und den Sensor über Helm bereitstellen möchten oder Arc-Cluster verwenden möchten und den Sensor über Helm bereitstellen möchten.
Für <SECURITY_CONNECTOR_AZURE_RESOURCE_ID>:

  • Einrichten eines Sicherheitsconnectors für Ihr AWS- oder GCP-Konto

    Hinweis

    Um das Helm-Diagramm auf einem EKS- oder GKE-Cluster zu installieren, stellen Sie sicher, dass das Clusterkonto mit Microsoft Defender für Cloud verbunden ist. Siehe Verbinden Ihres AWS-Kontos oder verbinden Sie Ihr GCP-Projekt.

  • Abrufen der Azure-Ressourcen-ID

    Hinweis

    Um das Helm-Diagramm auf einem EKS- oder GKE-Cluster zu installieren, benötigen Sie die Sicherheitsconnector-Ressourcen-ID für das Konto, zu dem Ihr Cluster gehört. Führen Sie den Befehl az resource show CLI aus, um diesen Wert abzurufen.

    Beispiel:

    az resource show \
 --name <connector-name> \
 --resource-group <resource-group-name> \
 --resource-type "Microsoft.Security/securityConnectors" \
 --subscription <subscription-id> \
 --query id -o tsv

    Ersetzen Sie in diesem Beispiel den Platzhaltertext <connector-name>, <resource-group-name> und <subscription-id> mit Ihren Werten.

Verwenden Sie "public" für die öffentlichen Vorschauversionen (0.9.x). Verwenden Sie für <VERSION> "latest" oder eine bestimmte semantische Version. Für <DISTRIBUTION>, verwenden eks oder gke.

Hinweis

Dieses Skript erstellt möglicherweise einen Log Analytics-Arbeitsbereich in Ihrem Azure-Konto.

Führen Sie den folgenden Befehl aus, um zu überprüfen, ob die Installation erfolgreich war:

helm list --namespace mdc

Das Feld „STATUS“ sollte bereitgestellt werden.

Sicherheitsregeln für die Gated-Bereitstellung

Sie können Sicherheitsregeln definieren, um zu steuern, was in Ihren Kubernetes-Clustern bereitgestellt werden darf. Mit diesen Regeln können Sie Containerimages basierend auf Sicherheitskriterien blockieren oder überwachen, z. B. Bilder mit zu vielen Sicherheitsrisiken.

Zugreifen auf Sicherheitsregeln

  1. Navigieren Sie zum Microsoft Defender for Cloud (MDC)-Dashboard.
  2. Wählen Sie im linken Navigationsbereich " Umgebungseinstellungen" aus.
  3. Wählen Sie die Kachel "Sicherheitsregeln" aus .

Konfigurieren von Regeln zur Sicherheitsrisikobewertung

  1. Navigieren Sie auf der Seite "Sicherheitsregeln" im Abschnitt "Gated-Bereitstellung" zu "Sicherheitsrisikobewertung".
  2. Erstellen oder bearbeiten Sie Ihre Sicherheitsregeln nach Bedarf.

Von Bedeutung

Für Helm-Installationen:

  • Warnung zum Abonnementsupport: Beim Erstellen von Regeln wird Ihr ausgewähltes Abonnement möglicherweise als „für die Gated-Bereitstellung nicht unterstützt“ gekennzeichnet. Dies geschieht, weil Sie die Defender-for-Containers-Komponenten mit Helm anstelle der automatischen Installation im Dashboard installiert haben.
  • Automatische Installation überspringen: Wenn Sie gefragt werden, die Gating-Funktion auf der dritten Registerkarte des Sicherheitsregel-Bearbeitungsfensters zu aktivieren, stellen Sie sicher, dass Sie 'Überspringen' wählen. Diese Option ermöglicht die automatische Installation, die mit Ihrer vorhandenen Helm-Bereitstellung in Konflikt steht.

Screenshot der dritten Registerkarte des Bearbeitungsfensters für Sicherheitsregeln.

Bestehende Empfehlung zur Bereitstellung des Sensors

Hinweis

Wenn Sie Helm zum Einrichten des Sensors verwenden, ignorieren Sie die vorhandenen Empfehlungen.

Für AKS:

Azure Kubernetes-Dienstcluster sollten Defender-Profil aktiviert haben – Microsoft Azure

Screenshot des Azure-Portals, das die Defender-Profilempfehlung für AKS zeigt. Der Screenshot hebt die Empfehlung zum Aktivieren des Defender-Profils hervor.

Für Multicloud:

Azure Arc-fähige Kubernetes-Cluster sollten die Defender-Erweiterung installiert haben – Microsoft Azure

Screenshot des Azure-Portals, das die Defender-Erweiterungsempfehlung für Arc-fähige Kubernetes-Cluster zeigt. Der Screenshot hebt die Empfehlung zur Installation der Defender-Erweiterung hervor.

Upgrade einer vorhandenen Helm-basierten Bereitstellung

Führen Sie den folgenden Befehl aus, um eine vorhandene Helm-basierte Bereitstellung zu aktualisieren:

helm upgrade microsoft-defender-for-containers-sensor \
oci://mcr.microsoft.com/azuredefender/microsoft-defender-for-containers-sensor \
--devel \
--reuse-values

Verwandte Inhalte

  • Last updated on