Partager via

Installer le capteur Defender pour les conteneurs à l’aide de Helm

Cet article explique comment installer et configurer le capteur Microsoft Defender pour conteneurs sur les clusters AKS, EKS et GKE à l’aide de Helm. Vous découvrirez les prérequis, l’activation de Defender pour conteneurs et les instructions de déploiement pas à pas pour différents environnements.

Conditions préalables générales

Vérifiez que toutes les conditions préalables requises pour le capteur Defender pour conteneurs sont remplies, comme décrit dans la configuration réseau requise pour les capteurs Defender.

Étape 1 : Activer Defender pour conteneurs

Si votre plan Defender pour conteneurs n’est pas déjà activé, procédez comme suit :

  1. Dans le portail Azure, accédez à Microsoft Defender pour cloud, puis sélectionnez l’abonnement pour les clusters dans lesquels vous souhaitez installer le graphique Helm. Dans EKS et GKE, sélectionnez l’environnement avec ces clusters (le connecteur de sécurité pour le compte EKS ou GKE avec le cluster).

  2. Sous Cloud Workload Protection Platform (CWPP), recherchez le plan Conteneurs et basculez le bouton bascule sur Activé.

    Capture d’écran montrant comment activer le plan Conteneurs.

  3. En regard du plan Conteneurs , sélectionnez Paramètres.

    Capture d’écran montrant comment sélectionner le bouton paramètres.

  4. Dans le volet Paramètres et surveillance , vérifiez que les bascules suivantes sont définies sur Activé :

    • Capteur Defender
    • Résultats de la sécurité
    • Accès au Registre

    Capture d’écran montrant comment vérifier que les bons boutons sont activés.

Vous êtes maintenant prêt à configurer le capteur Defender pour conteneurs avec Helm.

Étape 2 : Installer le graphique Helm des capteurs

Pour AKS Automatic uniquement

Exécutez la commande suivante pour AKS Automatic :

# Update Azure CLI to the latest version 
az upgrade 

# If you don't have the AKS preview extension installed yet 
az extension add --name aks-preview 

# Update the AKS extension specifically 
az extension update --name aks-preview

Prérequis pour l’installation

  • Helm >= 3.8 (la prise en charge d’OCI est en disponibilité générale)

  • Rôle propriétaire du groupe de ressources pour le cluster cible (AKS) ou le connecteur de sécurité (EKS ou GKE)

  • ID de ressource Azure pour le cluster cible

    Remarque

    Utilisez la commande suivante pour générer une liste des identifiants de ressources Azure de vos clusters AKS en fonction des paramètres <SUBSCRIPTION_ID> et <RESOURCE_GROUP>.

    az aks list \
--subscription <SUBSCRIPTION_ID> \
--resource-group <RESOURCE_GROUP> \
--query "[].id" \
-o tsv

AKS

Avant d’installer le capteur, supprimez les stratégies en conflit. Ces attributions de stratégie entraînent le déploiement de la version ga du capteur sur votre cluster. Vous trouverez la liste des définitions de stratégie pour votre abonnement sur Policy - Microsoft Azure. L’ID de la stratégie en conflit est 64def556-fbad-4622-930e-72d1d5589bf5.

Exécutez le script suivant pour les supprimer à l’aide d’Azure CLI :

delete_conflicting_policies.sh

Exécutez le script avec la commande :

delete_conflicting_policies.sh <CLUSTER_AZURE_RESOURCE_ID>

Remarque

Ce script supprime les stratégies de niveau groupe de ressources et d’abonnement pour l'installation de la version GA de Defender pour Conteneurs, ce qui risque d'affecter les clusters autres que celui que vous configurez.

Le script suivant installe le capteur Defender pour conteneurs (et supprime tout déploiement existant, le cas échéant) :

install_defender_sensor_aks.sh

Exécutez le script avec la commande :

install_defender_sensor_aks.sh <CLUSTER_AZURE_RESOURCE_ID> <RELEASE_TRAIN> <VERSION>

Dans la commande suivante, remplacez le texte <CLUSTER_AZURE_RESOURCE_ID>de l’espace réservé, <RELEASE_TRAIN>et <VERSION> par vos propres valeurs. Pour <RELEASE_TRAIN>, utilisez « public » pour la préversion (0.9.x) ou « privé » pour la préversion (0.10.x). Pour <VERSION>, utilisez « latest » ou une version sémantique spécifique.

Remarque

Ce script définit un nouveau contexte kubeconfig et peut créer un espace de travail Log Analytics dans votre compte Azure.

EKS/GKE

Le script suivant installe le capteur Defender pour conteneurs (et supprime tout déploiement existant, le cas échéant) :

install_defender_sensor_mc.sh

Définissez votre contexte kubeconfig sur le cluster cible et exécutez le script avec la commande :

install_defender_sensor_mc.sh <SECURITY_CONNECTOR_AZURE_RESOURCE_ID> <RELEASE_TRAIN> <VERSION> <DISTRIBUTION> [<ARC_CLUSTER_RESOURCE_ID>]

Dans la commande suivante, remplacez le texte d’espace réservé <SECURITY_CONNECTOR_AZURE_RESOURCE_ID>, <RELEASE_TRAIN>, <VERSION>, <DISTRIBUTION> et <ARC_CLUSTER_RESOURCE_ID> par vos propres valeurs. Notez que ARC_CLUSTER_RESOURCE_ID est un paramètre facultatif et ne doit être utilisé que pour les clusters existants qui utilisent l’extension Arc Defender pour conteneurs, ce qui entraîne la suppression du déploiement géré par l’arc, ce qui empêche l’activation de 2 déploiements en conflit en même temps.

Pour <SECURITY_CONNECTOR_AZURE_RESOURCE_ID>:

  • Configurer un connecteur de sécurité pour votre compte AWS ou GCP

    Remarque

    Pour installer le graphique Helm sur un cluster EKS ou GKE, vérifiez que le compte de cluster est connecté à Microsoft Defender for Cloud. Consultez Connecter votre compte AWS ou connecter votre projet GCP.

  • Obtenir son ID de ressource Azure

    Remarque

    Pour installer le graphique Helm sur un cluster EKS ou GKE, vous avez besoin de l’ID de ressource du connecteur de sécurité pour le compte auquel appartient votre cluster. Exécutez la commande az resource show CLI pour obtenir cette valeur.

    Par exemple:

    az resource show \
 --name <connector-name> \
 --resource-group <resource-group-name> \
 --resource-type "Microsoft.Security/securityConnectors" \
 --subscription <subscription-id> \
 --query id -o tsv

    Dans cet exemple, remplacez le texte <connector-name>de l’espace réservé, <resource-group-name>et <subscription-id> par vos valeurs.

Utilisez « public » pour les préversions publiques (0.9.x). Pour <VERSION>, utilisez « latest » ou une version sémantique spécifique. Pour <DISTRIBUTION>, utiliser eks ou gke.

Remarque

Ce script peut créer un espace de travail Log Analytics dans votre compte Azure.

Exécutez la commande suivante pour vérifier que l’installation a réussi :

helm list --namespace mdc

Le champ STATUS doit lire déployé.

Règles de sécurité pour le déploiement contrôlé

Vous pouvez définir des règles de sécurité pour contrôler ce qui est autorisé à être déployé dans vos clusters Kubernetes. Ces règles vous permettent de bloquer ou d’auditer des images conteneur en fonction de critères de sécurité, tels que des images avec trop de vulnérabilités.

Accès aux règles de sécurité

  1. Accédez au tableau de bord Microsoft Defender pour cloud (MDC).
  2. Dans le volet de navigation gauche, sélectionnez Paramètres d’environnement.
  3. Sélectionnez la vignette Règles de sécurité .

Configuration des règles d’évaluation des vulnérabilités

  1. Dans la page Règles de sécurité, accédez à l’évaluation des vulnérabilités sous la section Déploiement contrôlé .
  2. Créez ou modifiez vos règles de sécurité en fonction des besoins.

Important

Pour les installations Helm :

  • Avertissement de support d'abonnement : lors de la création de règles, votre abonnement sélectionné peut être marqué comme « non pris en charge pour le déploiement avec accès contrôlé ». Cela se produit parce que vous avez installé les composants Defender pour conteneurs à l’aide de Helm plutôt que via l’installation automatique du tableau de bord.
  • Ignorer l’installation automatique : si vous êtes invité à activer le gating dans le troisième onglet de la fenêtre de modification des règles de sécurité, veillez à appuyer sur Ignorer. Cette option active l’installation automatique, qui est en conflit avec votre déploiement Helm existant.

Capture d’écran montrant le troisième onglet de la fenêtre de modification de règle de sécurité.

Recommandation existante pour approvisionner le capteur

Remarque

Si vous utilisez Helm pour configurer le capteur, ignorez les recommandations existantes.

Pour AKS :

Les clusters Azure Kubernetes Service doivent avoir le profil Defender activé - Microsoft Azure

Capture d’écran du portail Azure montrant la recommandation de profil Defender pour AKS. La capture d’écran met en évidence la recommandation pour activer le profil Defender.

Pour multicloud :

Les clusters Kubernetes avec Azure Arc doivent avoir installé l’extension Defender - Microsoft Azure

Capture d’écran du portail Azure montrant la recommandation d’extension Defender pour les clusters Kubernetes avec Arc. La capture d’écran met en évidence la recommandation d’installation de l’extension Defender.

Mettre à niveau un déploiement Helm existant

Exécutez la commande suivante pour mettre à jour un déploiement basé sur Helm existant :

helm upgrade microsoft-defender-for-containers-sensor \
oci://mcr.microsoft.com/azuredefender/microsoft-defender-for-containers-sensor \
--devel \
--reuse-values

Contenu connexe

  • Last updated on