Déployer Defender pour conteneurs sur Azure (AKS) par programmation

Cet article décrit les méthodes permettant de déployer par programmation Microsoft Defender pour conteneurs sur vos clusters Azure Kubernetes Service (AKS).

Conseil / Astuce

Pour une expérience de portail guidée, consultez Activer Defender pour conteneurs via le portail.

Prerequisites

Configuration réseau requise

Le capteur Defender doit se connecter à Microsoft Defender pour cloud pour envoyer des données et des événements de sécurité. Vérifiez que les points de terminaison requis sont configurés pour l’accès sortant.

Exigences relatives aux connexions

Le capteur Defender a besoin d’une connectivité à :

Microsoft Defender pour Cloud (pour l’envoi de données et d’événements de sécurité)

Par défaut, les clusters AKS ont un accès illimité sortant à Internet.

Pour les clusters avec accès sortant restreint, vous devez autoriser les noms de domaine complets (FQDN) spécifiques pour "Microsoft Defender for Containers" afin d'assurer son bon fonctionnement. Consultez la section Microsoft Defender pour les conteneurs – Règles FQDN/application requises dans la documentation sur le réseau sortant AKS pour connaître les points de terminaison requis.

Configuration d’une liaison privée

Si le trafic de sortie du cluster nécessite l’utilisation d’une étendue Private Link Azure Monitor (AMPLS), vous devez :

Définir le cluster avec Container Insights et un espace de travail Log Analytics
Définir l’espace de travail Log Analytics du cluster en tant que ressource dans l’AMPLS
Créez un point de terminaison privé de réseau virtuel dans l’AMPLS entre :
- Réseau virtuel du cluster
- Ressource Log Analytics
Le point de terminaison privé du réseau virtuel s’intègre à une zone DNS privée.

Pour obtenir des instructions, consultez Créer une étendue de liaison privée Azure Monitor.

En outre, vérifiez que vous disposez des éléments suivants :

Azure CLI version 2.40.0 ou ultérieure
Autorisations RBAC appropriées (Contributeur ou Administrateur de sécurité)

Activer le plan Defender pour conteneurs

Pour activer le plan Defender pour conteneurs sur votre abonnement, consultez Activer Microsoft Defender pour cloud. Vous pouvez activer le plan via le portail Azure, l’API REST ou Azure Policy.

Déployer le capteur Defender

Lorsque vous activez le plan Defender pour conteneurs, le capteur Defender se déploie automatiquement sur vos clusters AKS par défaut.

Si l’approvisionnement automatique est désactivé ou si vous devez déployer manuellement le capteur, utilisez l’une des méthodes suivantes.

Azure CLI
Modèle ARM

Pour déployer le capteur Defender sur un cluster AKS spécifique :

az aks update \
    --resource-group myResourceGroup \
    --name myAKSCluster \
    --enable-defender

Pour effectuer un déploiement avec un espace de travail Log Analytics personnalisé :

az aks update \
    --resource-group myResourceGroup \
    --name myAKSCluster \
    --enable-defender \
    --defender-config logAnalyticsWorkspaceResourceId=/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}

Déployez le modèle ARM suivant pour activer le capteur Defender sur un cluster AKS :

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "clusterName": {
      "type": "string"
    },
    "location": {
      "type": "string"
    },
    "workspaceResourceId": {
      "type": "string"
    }
  },
  "resources": [
    {
      "type": "Microsoft.ContainerService/managedClusters",
      "apiVersion": "2023-01-01",
      "name": "[parameters('clusterName')]",
      "location": "[parameters('location')]",
      "properties": {
        "securityProfile": {
          "defender": {
            "logAnalyticsWorkspaceResourceId": "[parameters('workspaceResourceId')]",
            "securityMonitoring": {
              "enabled": true
            }
          }
        }
      }
    }
  ]
}

Déployez le modèle à l’aide d’Azure CLI :

az deployment group create \
    --resource-group myResourceGroup \
    --template-file defender-aks.json \
    --parameters clusterName=myAKSCluster location=eastus workspaceResourceId=/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}

Déployer le module complémentaire Azure Policy

Le module complémentaire Azure Policy pour AKS vous permet d’appliquer des mises en œuvre à grande échelle et des mesures de protection sur vos clusters de manière centralisée et cohérente.

Pour activer le module complémentaire Azure Policy :

az aks enable-addons \
    --addons azure-policy \
    --name myAKSCluster \
    --resource-group myResourceGroup

Déployer des composants à l’aide de recommandations

Vous pouvez également déployer des fonctionnalités manuellement à l’aide de recommandations Defender pour cloud :

Capteur	Recommandation
Capteur Defender pour Kubernetes	Le profil Defender doit être activé sur les clusters Azure Kubernetes Service
Capteur Defender pour Kubernetes avec Azure Arc	L’extension Defender doit être installée sur les clusters Kubernetes avec Azure Arc
Agent Azure Policy pour Kubernetes	Le module complémentaire Azure Policy pour Kubernetes doit être installé sur les clusters Azure Kubernetes Service
Agent Azure Policy pour Kubernetes avec Azure Arc	L’extension Azure Policy doit être installée sur les clusters Kubernetes avec Azure Arc

Étapes suivantes

Commentaires

Cette page a-t-elle été utile ?

Last updated on 2025-12-08