Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Microsoft Defender pour conteneurs fournit des fonctionnalités avancées de protection contre les menaces et de sécurité pour vos environnements conteneurisés sur plusieurs plateformes. Ce guide vous aide à choisir le chemin de déploiement approprié pour votre environnement Kubernetes.
Environnements pris en charge
Defender pour conteneurs prend en charge les environnements Kubernetes suivants :
- Azure (AKS) - Azure Kubernetes Service
- AWS (EKS) - Amazon Elastic Kubernetes Service
- GCP (GKE) - Moteur Google Kubernetes
- Kubernetes compatible avec Arc (version préliminaire) - Clusters Kubernetes locaux et IaaS
Choisir votre chemin de déploiement
Sélectionnez le guide de déploiement qui correspond à votre environnement Kubernetes :
Azure (AKS)
Pour les clusters Azure Kubernetes Service, Defender pour conteneurs fournit :
- Intégration native avec les services Azure
- Déploiement automatique sur tous les clusters d’un abonnement
- Aucun connecteur intercloud n’est requis
- Fonctionnalités d’évaluation des vulnérabilités (VA), y compris le balayage de registres pour Azure Container Registry
- Fonctionnalités de gestion de la posture de sécurité, y compris la protection de la chaîne d’approvisionnement des logiciels de conteneur.
- Fonctionnalités de protection du runtime, notamment l’investigation et la réponse de détection, intégrées à Microsoft XDR
- Fonctionnalités de protection de la chaîne d'approvisionnement des logiciels pour conteneurs, y compris le déploiement contrôlé d'images de conteneurs.
AWS (EKS)
Pour les clusters Amazon Elastic Kubernetes Service, Defender pour conteneurs fournit :
- Gestion centralisée de la sécurité dans Defender pour cloud
- Déploiement basé sur un connecteur AWS, y compris la prise en charge des modèles CloudFormation
- Fonctionnalités d’évaluation des vulnérabilités (VA), notamment l’analyse du Registre pour Elastic Container Registry (ERC)
- Fonctionnalités de gestion de la posture de sécurité
- Fonctionnalités de protection du runtime, notamment l’investigation et la réponse de détection, intégrées à Microsoft XDR
- Fonctionnalités de protection de la chaîne d'approvisionnement des logiciels pour conteneurs, y compris le déploiement contrôlé d'images de conteneurs.
GCP (GKE)
Pour les clusters Google Kubernetes Engine, Defender pour conteneurs fournit :
- Gestion centralisée de la sécurité dans Defender pour cloud
- Déploiement basé sur le connecteur GCP
- Prise en charge de GKE Autopilot
- Fonctionnalités d’évaluation des vulnérabilités (VA), notamment l’analyse du Registre pour Google Container Registry (GCR) et google Artifact Registry (GAR)
- Fonctionnalités de gestion de la posture de sécurité
- Fonctionnalités de protection du runtime, notamment l’investigation et la réponse de détection, intégrées à Microsoft XDR
- Fonctionnalités de protection de la chaîne d'approvisionnement des logiciels pour conteneurs, y compris le déploiement contrôlé d'images de conteneurs.
Kubernetes avec Arc (préversion)
Pour les clusters Kubernetes locaux et IaaS connectés via Azure Arc, Defender pour conteneurs fournit :
- Gestion de la sécurité cloud hybride
- Sécurité centralisée via Azure
- Fonctionne avec des distributions Kubernetes certifiées CNCF
- Fonctionnalités de protection de la chaîne d'approvisionnement des logiciels pour conteneurs, y compris le déploiement contrôlé d'images de conteneurs.
Prerequisites
Avant de déployer Defender pour conteneurs, vérifiez que vous disposez des éléments suivants :
- Un abonnement Azure actif
- Rôle Propriétaire ou Contributeur sur l’abonnement
- Cluster Kubernetes version 1.19 ou ultérieure
- Connectivité réseau aux services Azure
- Pour les fonctionnalités basées sur les capteurs : ressources de cluster suffisantes pour les composants Defender - consultez les détails du composant de capteur Defender
Note
Les fonctionnalités sans agent ne nécessitent pas de ressources de cluster ni de déploiement de capteurs. Pour obtenir la liste détaillée des fonctionnalités prises en charge, ainsi que leur disponibilité et leurs caractéristiques, consultez la matrice de prise en charge de Defender pour conteneurs. La matrice de prise en charge indique si chaque fonctionnalité est sans agent ou basée sur un capteur sous la colonne de méthode Enablement .
Options d’activation et de déploiement
Defender pour conteneurs implique deux étapes principales :
Activation du plan : vous pouvez activer le plan via :
- Portail Azure
- Programmatiquement (Azure CLI, API REST, PowerShell)
Déploiement du capteur
- Module complémentaire intégré AKS : vous pouvez le déployer via :
- Portail Azure
- Programmatiquement (Azure CLI, API REST, modèles IaC)
- Déploiement du graphique Helm
- Module complémentaire intégré AKS : vous pouvez le déployer via :
Afficher votre couverture actuelle
Defender pour Cloud permet l'accès aux classeurs via les classeurs Azure. Les classeurs sont des rapports personnalisables qui fournissent des aperçus de votre posture de sécurité.
Le classeur de couverture vous aide à comprendre votre couverture actuelle en montrant quels plans sont activés sur vos abonnements et ressources.
Étapes suivantes
Choisissez votre environnement pour commencer :
- Déployer sur Azure (AKS) - Pour les déploiements Azure natifs
- Déployer sur Kubernetes avec Arc - Pour les environnements hybrides et locaux
- Déployer sur AWS (EKS) - Pour les clusters Amazon EKS
- Déployer sur GCP (GKE) - Pour les clusters Google GKE
Pour obtenir une comparaison des fonctionnalités entre les environnements, consultez la matrice de support pour Defender pour conteneurs.