Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article explique comment déployer des composants Defender pour conteneurs sur vos clusters Amazon EKS à l’aide d’outils en ligne de commande et de méthodes d’automatisation.
Conseil / Astuce
Pour une expérience de portail guidé, consultez Activer tous les composants via le portail.
Prerequisites
Configuration réseau requise
Vérifiez que les points de terminaison suivants pour les déploiements de cloud public sont configurés pour l’accès sortant. La configuration de ces derniers pour l’accès sortant permet de s’assurer que le capteur Defender peut se connecter à Microsoft Defender pour le cloud afin d’envoyer des données et des événements de sécurité.
Note
Domaines Azure *.ods.opinsights.azure.com et *.oms.opinsights.azure.com non requis pour l’accès sortant. Pour plus d’informations, consultez Annonce de dépréciation.
| Domaine Azure | Domaine Azure Government | Domaine Azure exploité par 21Vianet | Port |
|---|---|---|---|
| *.cloud.defender.microsoft.com | N/A | N/A | 443 |
Vous devez également valider la configuration réseau nécessaire pour le réseau Kubernetes avec Azure Arc.
Outils requis :
- Azure CLI (version 2.40.0 ou ultérieure)
- AWS CLI configuré avec les informations d’identification appropriées
-
kubectlconfiguré pour vos clusters EKS
Activer Defender pour les conteneurs
Pour activer le plan Defender pour conteneurs sur votre abonnement, consultez Activer Microsoft Defender pour cloud. Vous pouvez activer le plan via le portail Azure, l’API REST ou Azure Policy.
Connecter votre compte AWS
Avant de déployer le capteur Defender, connectez votre compte AWS à Microsoft Defender pour Cloud. Pour obtenir des instructions, consultez Connecter votre compte AWS.
Connecter des clusters EKS à Azure Arc
Connectez vos clusters EKS à Azure Arc pour déployer le capteur Defender. Pour obtenir des instructions, consultez Connecter un cluster Kubernetes existant à Azure Arc.
Déployer le capteur Defender
Après avoir connecté votre compte AWS et vos clusters EKS à Azure Arc, déployez l’extension de capteur Defender.
Déployer à l’aide du script d’installation
Le script suivant installe le capteur Defender pour conteneurs et supprime tout déploiement existant s’il en existe un :
Définissez votre contexte kubeconfig sur le cluster cible et exécutez le script :
install_defender_sensor_mc.sh <SECURITY_CONNECTOR_AZURE_RESOURCE_ID> <RELEASE_TRAIN> <VERSION> <DISTRIBUTION> [<ARC_CLUSTER_RESOURCE_ID>]
Remplacez le texte de l’espace réservé par vos propres valeurs.
ARC_CLUSTER_RESOURCE_ID est un paramètre facultatif pour les clusters existants qui utilisent l’extension Defender pour conteneurs Arc.
Obtenir l’ID de ressource du connecteur de sécurité
Pour installer le graphique Helm sur un cluster EKS, vous avez besoin de l’ID de ressource du connecteur de sécurité pour le compte auquel appartient votre cluster. Exécutez la commande Azure CLI suivante pour obtenir cette valeur :
az resource show \
--name <connector-name> \
--resource-group <resource-group-name> \
--resource-type "Microsoft.Security/securityConnectors" \
--subscription <subscription-id> \
--query id -o tsv
Remplacez le texte <connector-name>de l’espace réservé, <resource-group-name>et <subscription-id> par vos valeurs.
Valeurs des paramètres
- Pour
<RELEASE_TRAIN>, utilisezpublicpour les versions en préversion publique (0.9.x) - Pour
<VERSION>, utiliserlatestou une version sémantique spécifique - Pour
<DISTRIBUTION>, utilisereks
Note
Ce script peut créer un espace de travail Log Analytics dans votre compte Azure.
Déployer à l’aide d’Azure CLI
Vous pouvez également déployer l’extension de capteur Defender à l’aide d’Azure CLI :
az k8s-extension create \
--name microsoft.azuredefender.kubernetes \
--extension-type microsoft.azuredefender.kubernetes \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group> \
--configuration-settings \
logAnalyticsWorkspaceResourceID="/subscriptions/<subscription-id>/resourceGroups/<rg>/providers/Microsoft.OperationalInsights/workspaces/<workspace-name>"
Après avoir déployé le capteur Defender, vous pouvez configurer des paramètres supplémentaires. Pour plus d’informations, consultez Configurer le capteur Defender pour conteneurs déployé avec Helm.
Déployer l’extension Azure Policy
Déployez l’extension Azure Policy pour activer l’application des stratégies sur vos clusters EKS :
az k8s-extension create \
--name azure-policy \
--extension-type Microsoft.PolicyInsights \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group>