Compartir a través de

Habilitación de Defender para contenedores en AWS (EKS) a través del portal

En este artículo se muestra cómo habilitar Microsoft Defender para contenedores en los clústeres de Amazon EKS a través de Azure Portal. Puede optar por habilitar todas las características de seguridad a la vez para una protección completa o implementar de forma selectiva componentes específicos en función de sus requisitos.

Cuándo usar esta guía

Use esta guía si desea:

  • Configuración de Defender for Containers en AWS por primera vez
  • Habilitación de todas las características de seguridad para una protección completa
  • Implementación selectiva de componentes específicos
  • Corrección o adición de componentes que faltan a una implementación existente
  • Implementación mediante un enfoque controlado y selectivo
  • Exclusión de determinados clústeres de la protección

Prerrequisitos

Requisitos de red

Compruebe que los siguientes puntos de conexión para las implementaciones en la nube pública estén configurados para el acceso de salida. Configurarlos para el acceso de salida ayuda a garantizar que el sensor de Defender pueda conectarse a Microsoft Defender for Cloud para enviar eventos y datos de seguridad.

Nota:

Los dominios *.ods.opinsights.azure.com de Azure y *.oms.opinsights.azure.com ya no son necesarios para el acceso saliente. Para más información, vea el anuncio de desuso.

Dominio de Azure Dominio de Azure Government Azure operado por el dominio 21Vianet Puerto
*.cloud.defender.microsoft.com N/A N/A 443

También deberá validar los requisitos de red de Kubernetes habilitados para Azure Arc.

Requisitos específicos de AWS:

  • Cuenta de AWS con los permisos adecuados
  • Clústeres EKS activos (versión 1.19+)
  • Imágenes de contenedor en Amazon ECR
  • CLI de AWS instalada y configurada
  • Conectividad HTTPS saliente de EKS a Azure

Creación de un conector de AWS

  1. Inicie sesión en Azure Portal.

  2. Vaya a Microsoft Defender for Cloud.

  3. Seleccione Configuración del entorno en el menú de la izquierda.

  4. Seleccione Agregar entorno>Amazon Web Services.

    Recorte de pantalla de las selecciones para agregar un entorno de AWS en Microsoft Defender for Cloud.

Configuración de los detalles del conector

  1. En la sección Detalles de la cuenta , escriba:

    • Alias de cuenta: un nombre descriptivo para su cuenta de AWS
    • Identificador de cuenta de AWS: identificador de cuenta de AWS de 12 dígitos
    • Grupo de recursos: seleccione o cree un grupo de recursos.

    Captura de pantalla del formulario para rellenar los detalles de la cuenta de un entorno de AWS en Microsoft Defender for Cloud.

  2. Seleccione Siguiente: Seleccionar planes.

Habilitación de las características de Defender for Containers

  1. En Seleccionar planes, cambie Contenedores a Activado.

    Captura de pantalla de un conector de AWS en la configuración del entorno de Defender for Cloud.

  2. Seleccione Configuración para acceder a las opciones de configuración del plan.

    Captura de pantalla de la configuración del plan Contenedores en la configuración del entorno de Defender for Cloud con protección contra amenazas sin agente resaltada.

  3. Elija el enfoque de implementación:

    Opción A: Habilitar todos los componentes (recomendado)

    Para una protección completa, habilite todas las características:

    • Establecer todos los interruptores en Activado
    • Esta configuración proporciona cobertura de seguridad completa para el entorno de EKS.

    Opción B: Habilitar componentes específicos

    Seleccione solo los componentes que necesite en función de sus requisitos:

  4. Configure los componentes disponibles en función del enfoque elegido:

    • Protección contra amenazas sin agente: proporciona protección en tiempo de ejecución a los contenedores de clúster mediante el envío de registros de auditoría de Kubernetes a Microsoft Defender.

      • Establezca el interruptor en Activado para habilitar
      • Configuración del período de retención para los registros de auditoría
      • Detecta todos los clústeres de EKS de su cuenta de AWS.

      Nota:

      Si deshabilita esta configuración, la detección de amenazas del plano de control está deshabilitada. Más información sobre la disponibilidad de la característica.

    • Acceso a la API de Kubernetes (detección sin agente para Kubernetes): establece permisos para permitir la detección basada en API de los clústeres de Kubernetes.

      • Establezca el interruptor en Activado para habilitar
      • Proporciona evaluación del inventario y de la postura de seguridad.

    • Acceso al registro (evaluación de vulnerabilidades de contenedor sin agente): establece permisos para permitir la evaluación de vulnerabilidades de las imágenes almacenadas en ECR.

      • Establezca el interruptor en Activado para habilitar
      • Examina las imágenes de contenedor para detectar vulnerabilidades conocidas.

    • Aprovisionamiento automático del sensor de Defender para Azure Arc (DaemonSet de Defender): implementa automáticamente el sensor de Defender en clústeres habilitados para Arc para la detección de amenazas en tiempo de ejecución.

      • Establezca el interruptor en Activado para habilitar
      • Proporciona alertas de seguridad en tiempo real para la protección de cargas de trabajo

    Recorte de pantalla de las selecciones para habilitar el sensor de Defender para Azure Arc en Microsoft Defender for Cloud.

    Sugerencia

    • En entornos de producción, se recomienda habilitar todos los componentes.
    • Para probar o implementar gradualmente, comience con componentes específicos y agregue más adelante.
    • Azure Policy para Kubernetes se implementa automáticamente con el sensor de Defender.

  5. Seleccione Continuar y Siguiente: Configurar el acceso.

Configuración de permisos de AWS

  1. Siga las instrucciones de la página Configurar acceso .

    Recorte de pantalla de la página para configurar el acceso a un entorno de AWS en Microsoft Defender for Cloud.

  2. Descargue la plantilla de CloudFormation desde el portal.

  3. Implemente la pila de CloudFormation en AWS:

    1. Apertura de la consola de AWS CloudFormation
    2. Creación de una nueva pila con la plantilla descargada
    3. Revisión y creación de la pila

  4. Una vez que se complete la creación de la pila, copie el ARN del rol desde las salidas de la pila.

  5. Vuelva a Azure Portal y pegue el ARN del rol.

  6. Seleccione Siguiente: Revisar y crear.

  7. Revise la configuración y seleccione Crear.

Implementación de todos los componentes

Nota:

Si ha seleccionado habilitar todos los componentes de la sección anterior, siga todos los pasos de esta sección. Si eligió componentes específicos, complete solo los pasos pertinentes para las características seleccionadas.

Siga estos pasos para habilitar la protección en función de la configuración:

Conceder permisos para el plano de control

Obligatorio si ha habilitado: protección contra amenazas sin agente o acceso a la API de Kubernetes

Si ha habilitado la detección sin agente para Kubernetes, conceda permisos de plano de control en el clúster mediante uno de estos métodos:

  • Opción 1: Uso del script de Python

    Ejecute este script de Python para agregar el rol MDCContainersAgentlessDiscoveryK8sRole de Defender for Cloud a aws-auth ConfigMap para los clústeres de EKS que desea incorporar.

  • Opción 2: Usar eksctl

    Conceda a cada clúster de Amazon EKS el MDCContainersAgentlessDiscoveryK8sRole rol:

    eksctl create iamidentitymapping \
    --cluster my-cluster \
    --region region-code \
    --arn arn:aws:iam::account:role/MDCContainersAgentlessDiscoveryK8sRole \
    --group system:masters \
    --no-duplicate-arns

    Para más información, consulte Concesión de acceso a usuarios de IAM a Kubernetes con entradas de acceso de EKS en la guía del usuario de Amazon EKS.

Conexión de clústeres de EKS a Azure Arc

Obligatorio si está habilitado: Aprovisionamiento automático del sensor de Defender para Azure Arc

Debe instalar y ejecutar Kubernetes habilitado para Azure Arc, el sensor de Defender y Azure Policy para Kubernetes en sus clústeres de EKS. Hay una recomendación dedicada de Defender for Cloud para instalar estas extensiones:

  1. Vaya a Microsoft Defender for Cloud>Recomendaciones.

  2. Busque la recomendación: Los clústeres EKS deberían tener instalada la extensión de Microsoft Defender para Azure Arc.

  3. Siga los pasos de corrección proporcionados por la recomendación:

    Captura de pantalla que explica cómo corregir la recomendación de clústeres EKS mediante la instalación de los componentes necesarios de Defender for Containers.

Implementa el sensor de Defender

Importante

Implementación del sensor de Defender con Helm: a diferencia de otras opciones que se aprovisionan automáticamente y se actualizan automáticamente, Helm le permite implementar el sensor de Defender de forma flexible. Este enfoque es especialmente útil en escenarios de DevOps e infraestructura como código. Con Helm se puede integrar la implementación en las canalizaciones de CI/CD y controlar todas las actualizaciones de los sensores. También puede optar por recibir versiones preliminares y de disponibilidad general. Para obtener instrucciones sobre cómo instalar el sensor de Defender mediante Helm, consulte Instalación del sensor de Defender para contenedores mediante Helm.

Obligatorio si lo ha habilitado: Aprovisionamiento automático del sensor de Defender para Azure Arc

Después de conectar los clústeres de EKS a Azure Arc, implemente el sensor de Defender:

  1. Vaya a Microsoft Defender for Cloud>Recomendaciones.

  2. Busque recomendaciones sobre cómo instalar la extensión de Defender en clústeres habilitados para Arc.

  3. Seleccione la recomendación y siga los pasos de corrección.

  4. El sensor proporciona detección de amenazas en tiempo de ejecución para los clústeres.

Nota:

También puede implementar el sensor de Defender mediante Helm para obtener un mayor control sobre la configuración de implementación. Para obtener instrucciones de implementación de Helm, consulte Implementación del sensor de Defender con Helm.

Configuración del examen de vulnerabilidades de ECR

Obligatorio si ha habilitado: acceso al Registro

  1. Vaya a la configuración del conector de AWS.

  2. Seleccione Configurar junto al plan de Contenedores.

  3. Compruebe que el acceso al Registro está habilitado.

  4. Las imágenes insertadas en ECR se examinan automáticamente en un plazo de 24 horas.

Habilitación del registro de auditoría

Obligatorio si ha habilitado: Protección contra amenazas sin agente

Habilite el registro de auditoría para cada clúster de EKS:

# Enable audit logs
aws eks update-cluster-config \
    --name <cluster-name> \
    --logging '{"clusterLogging":[{"types":["audit","authenticator"],"enabled":true}]}'

Visualización de recomendaciones y alertas

Para ver las alertas y recomendaciones de los clústeres de EKS:

  1. Vaya a las páginas de alertas, recomendaciones o inventario.

  2. Use los filtros para filtrar por tipo de recurso AWS EKS Cluster.

    Recorte de pantalla de las selecciones para usar filtros en la página de alertas de seguridad de Microsoft Defender for Cloud para ver las alertas relacionadas con los clústeres EKS de AWS.

Sugerencia

Puede simular las alertas de contenedor al seguir las instrucciones de esta entrada de blog.

Implementación de componentes específicos (opcional)

Si inicialmente eligió habilitar solo determinados componentes y ahora quiere agregar más, o si necesita corregir problemas con las implementaciones existentes:

Adición de componentes a la implementación existente

  1. Vaya a Configuración del entorno y seleccione el conector de AWS.

  2. Seleccione Planes de Defender>Configuración junto a Contenedores.

  3. Active interruptores adicionales en los componentes que desea agregar:

    • Protección contra amenazas sin agente: para la protección en tiempo de ejecución
    • Acceso a la API de Kubernetes: para la detección de clústeres
    • Acceso al registro: para el examen de vulnerabilidades de ECR
    • Provisión automática del sensor de Defender: para proteger cargas de trabajo

  4. Guarde los cambios y siga los pasos de implementación de los componentes recién habilitados.

Nota:

Puede excluir un clúster de AWS específico del aprovisionamiento automático. Para la implementación del sensor, aplique la etiqueta ms_defender_container_exclude_agents en el recurso con el valor true. Para realizar una implementación sin agente, aplique la etiqueta ms_defender_container_exclude_agentless en el recurso con el valor true.

Implementación del sensor de Defender en clústeres específicos

Para implementar el sensor solo en clústeres EKS seleccionados:

  1. Conexión de clústeres específicos a Azure Arc (no todos los clústeres).

  2. Vaya a Recomendaciones y busque "Los clústeres de Kubernetes habilitados para Arc deben tener instalada la extensión de Defender".

  3. Seleccione solo los clústeres en los que desee el sensor.

  4. Siga los pasos de corrección solo para los clústeres seleccionados.

Implementación de componentes para clústeres existentes

Si tiene clústeres con componentes que faltan o con errores, siga estos pasos:

Comprobación del estado del componente

  1. Vaya a Inventario y filtre por los recursos de AWS.

  2. Compruebe cada clúster de EKS para:

    • Estado de conectividad de Arc
    • Estado de la extensión de Defender
    • Estado de la extensión de directiva

Corrección de problemas de conectividad de Arc

Para los clústeres que se muestran como desconectados:

  1. Vuelva a ejecutar el script de conexión de Arc.

  2. Compruebe la conectividad de red desde el clúster a Azure.

  3. Compruebe los registros del agente de Arc: kubectl logs -n azure-arc -l app.kubernetes.io/component=cluster-agent

Corrección de problemas de implementación de sensores

Para los clústeres que carecen del sensor Defender:

  1. Verifique que la conexión de Arc esté saludable.

  2. Compruebe si hay directivas en conflicto o controladores de admisión.

  3. Implementar manualmente si es necesario: utilice la remediación de la recomendación.

Configurar el escaneo de ECR para registros específicos

Para examinar solo registros específicos de ECR:

  1. En la configuración del conector, habilite la evaluación de vulnerabilidades del contenedor sin agente.

  2. Use directivas de AWS IAM para limitar el acceso del escáner a registros específicos.

  3. Registros etiquetados para incluir o excluir del escaneo.

Implementación selectiva de la extensión de Azure Policy

Para implementar la evaluación de directivas solo en clústeres específicos:

  1. Después de la conexión de Arc, vaya a Directiva>Definiciones.

  2. Busque "Configurar la extensión de Azure Policy en Kubernetes habilitado para Arc".

  3. Cree una asignación con ámbito para grupos de recursos o clústeres específicos.

  4. Comprobación de la implementación: kubectl get pods -n kube-system -l app=azure-policy

Configuración del registro de auditoría para clústeres específicos

Habilite el registro de auditoría de forma selectiva:

# For specific cluster
aws eks update-cluster-config \
    --name <specific-cluster> \
    --logging '{"clusterLogging":[{"types":["audit"],"enabled":true}]}'

Comprobación de la implementación

Comprobación del estado del conector

  1. Vaya a Configuración del entorno.

  2. Seleccione el conector de AWS.

  3. Compruebe:

    • Estado: Conectado
    • Última sincronización: marca de tiempo reciente
    • Recuento de recursos detectados

Visualización de recursos detectados

  1. Vaya a Inventario.

  2. Filtre por Entorno = AWS.

  3. Asegúrese de que ve:

    • Todos los clústeres EKS (o solo los seleccionados si se implementan de forma selectiva)
    • Registros ECR
    • Imágenes del contenedor

Prueba de la detección de seguridad

Genere una alerta de seguridad de prueba:

# Connect to an EKS cluster
aws eks update-kubeconfig --name <cluster-name> --region <region>

# Trigger a test alert
kubectl run test-alert --image=nginx --rm -it --restart=Never -- sh -c "echo test > /etc/shadow"

Busque la alerta en Defender for Cloud en un plazo de 5 a 10 minutos.

Solución de problemas

Problemas de implementación

Si los componentes no se pueden implementar:

  1. Comprobación de la conexión de Arc: asegúrese de que los clústeres se muestran como conectados
  2. Comprobar el rol de IAM: Confirme que el rol tiene todos los permisos necesarios
  3. Revisión de la red: Comprobación de la conectividad HTTPS saliente
  4. Comprobación de cuotas: compruebe que no se superan las cuotas de servicio de AWS

Los pods del sensor no se inician

# Check pod status
kubectl describe pods -n kube-system -l app=microsoft-defender

# Common issues:
# - Image pull errors: Check network connectivity
# - Permission denied: Verify RBAC settings
# - Resource constraints: Check node resources

Extensión de Arc bloqueada

# Check extension status
az k8s-extension show \
    --cluster-name <cluster-name> \
    --resource-group <rg> \
    --cluster-type connectedClusters \
    --name microsoft.azuredefender.kubernetes

# If stuck, delete and recreate
az k8s-extension delete \
    --cluster-name <cluster-name> \
    --resource-group <rg> \
    --cluster-type connectedClusters \
    --name microsoft.azuredefender.kubernetes

Escaneo ECR no funciona

  1. Compruebe que el rol de IAM tiene permisos ECR.

  2. Compruebe si el analizador puede acceder a los registros.

  3. Asegúrese de que las imágenes estén en regiones admitidas.

  4. Revise los registros del analizador en el área de trabajo de Log Analytics.

Problemas comunes de comprobación

  • Recursos que faltan: espere entre 15 y 30 minutos para la detección.
  • Cobertura parcial: compruebe la configuración de los recursos excluidos.
  • Sin alertas: compruebe que el registro de auditoría está habilitado.
  • Fallos de escaneo: Compruebe los permisos ECR y el acceso a la red.

procedimientos recomendados

  1. Comience con la no producción: pruebe primero los clústeres de desarrollo y pruebas para la implementación selectiva.
  2. Revisiones periódicas: compruebe el panel semanalmente.
  3. Respuesta de alerta: investigue las alertas de gravedad alta rápidamente.
  4. Higiene de imágenes: examine y actualice las imágenes base con regularidad.
  5. Cumplimiento: solucione los errores de las pruebas comparativas de CIS.
  6. Control de acceso: revisar los roles de IAM y los permisos de RBAC.
  7. Exclusiones de documentos: realice un seguimiento del motivo por el que determinados clústeres se excluyen en implementaciones selectivas.
  8. Implementar incrementalmente: al usar la implementación selectiva, agregue un componente a la vez.
  9. Supervisar cada paso: compruebe cada componente antes de continuar con el siguiente.

Limpieza de recursos

Para deshabilitar Defender para contenedores, complete los pasos siguientes:

  1. Vaya al conector de AWS.

  2. Elija cualquiera de las siguientes opciones:

    • Desactive los contenedores para deshabilitar el plan
    • Eliminación del conector completo para quitar todas las configuraciones

  3. Eliminación de recursos de AWS:

    • Elimine la pila de CloudFormation
    • Desconectar clústeres de Arc

Pasos siguientes

  • Last updated on