Partager via

Activer Defender pour conteneurs sur AWS (EKS) via le portail

Cet article explique comment activer Microsoft Defender pour conteneurs sur vos clusters Amazon EKS via le portail Azure. Vous pouvez choisir d’activer toutes les fonctionnalités de sécurité à la fois pour une protection complète ou de déployer de manière sélective des composants spécifiques en fonction de vos besoins.

Quand utiliser ce guide

Utilisez ce guide si vous souhaitez :

  • Configurer Defender pour conteneurs sur AWS pour la première fois
  • Activer toutes les fonctionnalités de sécurité pour une protection complète
  • Déployer de manière sélective des composants spécifiques
  • Corriger ou ajouter des composants manquants à un déploiement existant
  • Déployer à l’aide d’une approche contrôlée et sélective
  • Exclure certains clusters de la protection

Prerequisites

Configuration réseau requise

Vérifiez que les points de terminaison suivants pour les déploiements de cloud public sont configurés pour l’accès sortant. La configuration de ces derniers pour l’accès sortant permet de s’assurer que le capteur Defender peut se connecter à Microsoft Defender pour le cloud afin d’envoyer des données et des événements de sécurité.

Note

Domaines Azure *.ods.opinsights.azure.com et *.oms.opinsights.azure.com non requis pour l’accès sortant. Pour plus d’informations, consultez Annonce de dépréciation.

Domaine Azure Domaine Azure Government Domaine Azure exploité par 21Vianet Port
*.cloud.defender.microsoft.com N/A N/A 443

Vous devez également valider la configuration réseau nécessaire pour le réseau Kubernetes avec Azure Arc.

Exigences spécifiques à AWS :

  • Compte AWS avec les autorisations appropriées
  • Clusters EKS actifs (version 1.19+)
  • Images de conteneur dans Amazon ECR
  • AWS CLI installé et configuré
  • Connectivité HTTPS sortante entre EKS et Azure

Créer un connecteur AWS

  1. Connectez-vous au portail Azure.

  2. Accédez à Microsoft Defender pour le cloud.

  3. Sélectionnez Paramètres d’environnement dans le menu de gauche.

  4. Sélectionnez Ajouter un environnement>Amazon Web Services.

    Capture d’écran des sélections pour l’ajout d’un environnement AWS dans Microsoft Defender for Cloud.

Configurer les détails du connecteur

  1. Dans la section Détails du compte , entrez :

    • Alias de compte : nom descriptif de votre compte AWS
    • ID de compte AWS : Identificateur de votre compte AWS à 12 chiffres
    • Groupe de ressources : sélectionner ou créer un groupe de ressources

    Capture d’écran du formulaire permettant de renseigner les détails du compte pour un environnement AWS dans Microsoft Defender for Cloud.

  2. Sélectionnez Suivant : sélectionner des plans.

Activer les fonctionnalités de Defender pour conteneurs

  1. Dans les plans Select,activez l’option Conteneurs.

    Capture d’écran d’un connecteur AWS dans les paramètres d’environnement Defender for Cloud.

  2. Sélectionnez Paramètres pour accéder aux options de configuration du plan.

    Capture d’écran des paramètres du plan Conteneurs dans les paramètres de l’environnement Defender pour cloud avec la protection contre les menaces sans agent mise en surbrillance.

  3. Choisissez votre approche de déploiement :

    Option A : Activer tous les composants (recommandé)

    Pour une protection complète, activez toutes les fonctionnalités :

    • Mettez toutes les bascules en position Activé
    • Ce paramètre fournit une couverture de sécurité complète pour votre environnement EKS

    Option B : Activer des composants spécifiques

    Sélectionnez uniquement les composants dont vous avez besoin en fonction de vos besoins :

  4. Configurez les composants disponibles en fonction de votre approche choisie :

    • Protection contre les menaces sans agent : fournit une protection d’exécution à vos conteneurs de cluster en envoyant des journaux d’audit Kubernetes à Microsoft Defender.

      • Mettre le bouton bascule sur Activé pour activer.
      • Configurer la période de rétention pour vos journaux d’audit
      • Découvre tous les clusters EKS dans votre compte AWS

      Note

      Si vous désactivez cette configuration, la détection des menaces du plan de contrôle est désactivée. En savoir plus sur la disponibilité de la fonctionnalité.

    • Accès à l’API Kubernetes (découverte sans agent pour Kubernetes) : définit les autorisations pour autoriser la découverte basée sur l’API de vos clusters Kubernetes.

      • Réglez le bouton bascule sur Activé pour l'activer.
      • Fournit l’évaluation de l’inventaire et de la posture de sécurité

    • Accès au registre (évaluation des vulnérabilités des conteneurs sans agent) : définit les autorisations permettant l'évaluation des vulnérabilités des images stockées dans ECR.

      • Activez l’option afin de l’enclencher
      • Analyse les images conteneur pour détecter les vulnérabilités connues

    • Provisionner automatiquement le capteur Defender pour Azure Arc (Defender DaemonSet) : déploie automatiquement le capteur Defender sur les clusters avec Arc pour la détection des menaces d’exécution.

      • Définissez l'interrupteur sur Activé pour l'activer.
      • Fournit des alertes de sécurité en temps réel pour la protection des charges de travail

    Capture d’écran des sélections pour activer le capteur Defender pour Azure Arc dans Microsoft Defender for Cloud.

    Conseil / Astuce

    • Pour les environnements de production, nous vous recommandons d’activer tous les composants.
    • Pour le test ou le déploiement progressif, commencez par des composants spécifiques et ajoutez plus tard.
    • La stratégie Azure pour Kubernetes est automatiquement déployée avec le capteur Defender.

  5. Sélectionnez Continuer et Suivant : Configurer l’accès.

Configurer des autorisations AWS

  1. Suivez les instructions de la page Configurer l’accès .

    Capture d’écran de la page de configuration de l’accès pour un environnement AWS dans Microsoft Defender for Cloud.

  2. Téléchargez le modèle CloudFormation à partir du portail.

  3. Déployez le stack CloudFormation dans AWS :

    1. Ouvrir la console AWS CloudFormation
    2. Créez une nouvelle pile avec le modèle téléchargé
    3. Examiner et créer le stack

  4. Après la création de la pile, copiez l’ARN du rôle depuis les sorties de celle-ci.

  5. Revenez au portail Azure et collez le rôle ARN.

  6. Sélectionnez Suivant : Vérifier et créer.

  7. Passez en revue votre configuration et sélectionnez Créer.

Déployer tous les composants

Note

Si vous avez sélectionné pour activer tous les composants de la section précédente, suivez toutes les étapes de cette section. Si vous avez choisi des composants spécifiques, effectuez uniquement les étapes pertinentes pour vos fonctionnalités sélectionnées.

Procédez comme suit pour activer la protection en fonction de votre configuration :

Accorder des autorisations pour le plan de contrôle

Obligatoire si vous avez activé : Protection contre les menaces sans agent ou accès à l’API Kubernetes

Si vous avez activé la découverte sans agent pour Kubernetes, accordez des autorisations de plan de contrôle sur le cluster à l’aide de l’une des méthodes suivantes :

  • Option 1 : Utiliser le script Python

    Exécutez ce script Python pour ajouter le rôle Defender for Cloud MDCContainersAgentlessDiscoveryK8sRole à aws-auth ConfigMap pour les clusters EKS que vous souhaitez intégrer.

  • Option 2 : Utiliser eksctl

    Accordez à chaque cluster Amazon EKS le MDCContainersAgentlessDiscoveryK8sRole rôle :

    eksctl create iamidentitymapping \
    --cluster my-cluster \
    --region region-code \
    --arn arn:aws:iam::account:role/MDCContainersAgentlessDiscoveryK8sRole \
    --group system:masters \
    --no-duplicate-arns

    Pour plus d’informations, consultez Accorder aux utilisateurs IAM l’accès à Kubernetes avec des entrées d’accès EKS dans le guide de l’utilisateur Amazon EKS.

Connecter des clusters EKS à Azure Arc

Obligatoire si vous avez activé : provisionner automatiquement le capteur Defender pour Azure Arc

Vous devez installer et exécuter Kubernetes avec Azure Arc, le capteur Defender et Azure Policy pour Kubernetes sur vos clusters EKS. Il existe une recommandation dédiée dans Defender pour Cloud pour installer ces extensions :

  1. Accédez à Microsoft Defender for Cloud>Recommandations.

  2. Recherchez la recommandation : les clusters EKS doivent avoir installé l’extension de Microsoft Defender pour Azure Arc.

  3. Suivez les étapes de correction fournies par la recommandation :

    Capture d’écran expliquant comment corriger la recommandation des clusters EKS en installant les composants Defender pour conteneurs requis.

Déployer le capteur Defender

Important

Déploiement du capteur Defender à l’aide de Helm : contrairement aux autres options qui sont automatiquement approvisionnées et mises à jour automatiquement, Helm vous permet de déployer de manière flexible le capteur Defender. Cette approche est particulièrement utile dans les scénarios DevOps et infrastructure-as-code. Avec Helm, vous pouvez intégrer le déploiement dans des pipelines CI/CD et contrôler toutes les mises à jour des capteurs. Vous pouvez également choisir de recevoir des versions en préversion et en disponibilité générale. Pour obtenir des instructions sur l’installation du capteur Defender à l’aide de Helm, consultez Installer le capteur Defender pour conteneurs à l’aide de Helm.

Obligatoire si vous avez activé : provisionner automatiquement le capteur Defender pour Azure Arc

Après avoir connecté vos clusters EKS à Azure Arc, déployez le capteur Defender :

  1. Accédez à Microsoft Defender for Cloud>Recommandations.

  2. Recherchez des recommandations sur l’installation de l’extension Defender sur les clusters avec Arc.

  3. Sélectionnez la recommandation et suivez les étapes de correction.

  4. Le capteur fournit la détection des menaces en cours d'exécution pour vos clusters.

Note

Vous pouvez également déployer le capteur Defender à l’aide de Helm pour plus de contrôle sur la configuration du déploiement. Pour obtenir des instructions de déploiement Helm, consultez Déployer le capteur Defender à l’aide de Helm.

Configurer l’analyse des vulnérabilités ECR

Obligatoire si vous avez activé : Accès au Registre

  1. Accédez à vos paramètres de connecteur AWS.

  2. Sélectionnez Configurer à côté du plan Conteneurs.

  3. Vérifiez que l’accès au Registre est activé.

  4. Les images poussées vers ECR sont automatiquement analysées dans les 24 heures.

Activer la journalisation d’audit

Obligatoire si vous avez activé : protection contre les menaces sans agent

Activez la journalisation d’audit pour chaque cluster EKS :

# Enable audit logs
aws eks update-cluster-config \
    --name <cluster-name> \
    --logging '{"clusterLogging":[{"types":["audit","authenticator"],"enabled":true}]}'

Afficher les recommandations et les alertes

Pour afficher les alertes et les recommandations pour vos clusters EKS :

  1. Accédez aux alertes, recommandations ou pages d’inventaire.

  2. Utilisez les filtres pour filtrer par type de ressource AWS EKS Cluster.

    Capture d’écran des sélections pour l’utilisation des filtres dans la page des alertes de sécurité Microsoft Defender for Cloud pour afficher les alertes liées aux clusters AWS EKS.

Conseil / Astuce

Vous pouvez simuler des alertes de conteneur en suivant les instructions données dans ce billet de blog.

Déployer des composants spécifiques (facultatif)

Si vous avez choisi d’activer uniquement certains composants et que vous souhaitez maintenant ajouter d’autres composants, ou si vous devez résoudre les problèmes liés aux déploiements existants :

Ajouter des composants au déploiement existant

  1. Accédez aux paramètres d’environnement et sélectionnez votre connecteur AWS.

  2. Sélectionnez Plans Defender>Paramètres à côté des conteneurs.

  3. Activez les bascules supplémentaires pour les composants que vous souhaitez ajouter :

    • Protection contre les menaces sans agent : pour la protection du runtime
    • Accès à l’API Kubernetes : pour la découverte de cluster
    • Accès au Registre : Pour l’analyse des vulnérabilités ECR
    • Approvisionner automatiquement le capteur de Defender : pour la protection des charges de travail

  4. Enregistrez vos modifications et suivez les étapes de déploiement pour les composants nouvellement activés.

Note

Vous pouvez exclure un cluster AWS spécifique de l’approvisionnement automatique. Pour le déploiement du capteur, appliquez l’étiquette ms_defender_container_exclude_agents à la ressource avec la valeur true. Pour le déploiement sans agent, appliquez l’étiquette ms_defender_container_exclude_agentless à la ressource avec la valeur true.

Déployer le capteur Defender sur des clusters spécifiques

Pour déployer le capteur uniquement sur les clusters EKS sélectionnés :

  1. Connectez des clusters spécifiques à Azure Arc (pas tous les clusters).

  2. Accédez aux recommandations et recherchez « Les clusters Kubernetes avec Arc doivent avoir installé l’extension Defender ».

  3. Sélectionnez uniquement les clusters où vous souhaitez le capteur.

  4. Suivez les étapes de correction des clusters sélectionnés uniquement.

Déployer des composants pour des clusters existants

Si vous avez des clusters avec des composants manquants ou ayant échoué, procédez comme suit :

Vérifier l’état du composant

  1. Accédez à Inventaire et filtrez par ressources AWS.

  2. Vérifiez chaque cluster EKS pour :

    • État de la connectivité Arc
    • État de l’extension Defender
    • État de l’extension de stratégie

Résoudre les problèmes de connectivité Arc

Pour les clusters qui s’affichent comme déconnectés :

  1. Réexécutez le script de connexion Arc.

  2. Vérifiez la connectivité réseau du cluster vers Azure.

  3. Vérifiez les journaux de l’agent Arc : kubectl logs -n azure-arc -l app.kubernetes.io/component=cluster-agent

Résoudre les problèmes de déploiement de capteur

Pour les clusters manquants le capteur Defender :

  1. Vérifiez que la connexion Arc est saine.

  2. Vérifiez les stratégies en conflit ou les contrôleurs d’admission.

  3. Déployez manuellement si nécessaire : utilisez la correction recommandée.

Configurez l’analyse ECR pour des registres déterminés.

Pour analyser uniquement des registres ERC spécifiques :

  1. Dans la configuration du connecteur, activez l’évaluation des vulnérabilités de conteneur sans agent.

  2. Utilisez des stratégies AWS IAM pour limiter l’accès au scanneur à des registres spécifiques.

  3. Appliquez des balises aux registres à inclure ou à exclure de l’analyse.

Déployer l’extension Azure Policy de manière sélective

Pour déployer l’évaluation de stratégie uniquement sur des clusters spécifiques :

  1. Après la connexion Arc, accédez à Politique>Définitions.

  2. Recherchez « Configurer l’extension Azure Policy sur Kubernetes avec Arc ».

  3. Créez une attribution délimitée à des groupes de ressources ou clusters spécifiques.

  4. Vérifier le déploiement : kubectl get pods -n kube-system -l app=azure-policy

Configurer la journalisation d’audit pour des clusters spécifiques

Activez la journalisation d’audit de manière sélective :

# For specific cluster
aws eks update-cluster-config \
    --name <specific-cluster> \
    --logging '{"clusterLogging":[{"types":["audit"],"enabled":true}]}'

Vérifier le déploiement

Vérifier l’intégrité du connecteur

  1. Accédez aux paramètres d’environnement.

  2. Sélectionnez votre connecteur AWS.

  3. Vérifier :

    • État : Connecté
    • Dernière synchronisation : horodatage récent
    • Nombre de ressources découvertes

Afficher les ressources découvertes

  1. Accédez à Inventaire.

  2. Filtrez par environnement = AWS.

  3. Vérifiez que vous voyez :

    • Tous les clusters EKS (ou sélectionnés uniquement s’ils sont déployés de manière sélective)
    • Registres de déclaration de cas électroniques (ECR)
    • Images de conteneur

Tester la détection de sécurité

Générez une alerte de sécurité de test :

# Connect to an EKS cluster
aws eks update-kubeconfig --name <cluster-name> --region <region>

# Trigger a test alert
kubectl run test-alert --image=nginx --rm -it --restart=Never -- sh -c "echo test > /etc/shadow"

Vérifiez l’alerte dans Defender for Cloud dans un délai de 5 à 10 minutes.

Résolution des problèmes

Problèmes de déploiement

Si les composants ne parviennent pas à être déployés

  1. Vérifier la connexion Arc : vérifier que les clusters s’affichent en tant que connectés
  2. Vérifier le rôle IAM : vérifiez que le rôle dispose de toutes les autorisations requises
  3. Vérifier le réseau : vérifier la connectivité HTTPS sortante
  4. Vérifier les quotas : vérifier que les quotas de service AWS ne sont pas dépassés

"Les pods de capteurs ne se lancent pas"

# Check pod status
kubectl describe pods -n kube-system -l app=microsoft-defender

# Common issues:
# - Image pull errors: Check network connectivity
# - Permission denied: Verify RBAC settings
# - Resource constraints: Check node resources

Extension Arc bloquée

# Check extension status
az k8s-extension show \
    --cluster-name <cluster-name> \
    --resource-group <rg> \
    --cluster-type connectedClusters \
    --name microsoft.azuredefender.kubernetes

# If stuck, delete and recreate
az k8s-extension delete \
    --cluster-name <cluster-name> \
    --resource-group <rg> \
    --cluster-type connectedClusters \
    --name microsoft.azuredefender.kubernetes

Le balayage ECR ne fonctionne pas.

  1. Vérifiez que le rôle IAM dispose d'autorisations ECR.

  2. Vérifiez si le scanneur peut accéder aux registres.

  3. Vérifiez que les images se trouvent dans les régions prises en charge.

  4. Passez en revue les journaux d’activité du scanneur dans l’espace de travail Log Analytics.

Problèmes de vérification courants

  • Ressources manquantes : attendez 15 à 30 minutes pour la découverte.
  • Couverture partielle : vérifiez la configuration des ressources exclues.
  • Aucune alerte : vérifiez que la journalisation d’audit est activée.
  • Échecs d’analyse : vérifiez les permissions ECR et l'accès réseau.

Meilleures pratiques

  1. Commencez par la non-production : testez d’abord sur des clusters de développement/test pour un déploiement sélectif.
  2. Révisions régulières : vérifiez le tableau de bord chaque semaine.
  3. Réponse aux alertes : examinez rapidement les alertes de gravité élevée.
  4. Hygiène des images : analysez et mettez à jour régulièrement les images de base.
  5. Conformité : aborder les manquements aux benchmarks CIS.
  6. Contrôle d’accès : passez en revue les rôles IAM et les autorisations RBAC.
  7. Exclusions de document : suivez la raison pour laquelle certains clusters sont exclus dans des déploiements sélectifs.
  8. Déployer de manière incrémentielle : lors de l’utilisation d’un déploiement sélectif, ajoutez un composant à la fois.
  9. Surveillez chaque étape : vérifiez chaque composant avant de passer à la suivante.

Nettoyer les ressources

Pour désactiver Defender pour conteneurs, procédez comme suit :

  1. Accédez à votre connecteur AWS.

  2. Choisissez l’une ou l’autre des options suivantes

    • Désactiver les conteneurs pour désactiver le plan
    • Supprimer l’intégralité du connecteur pour supprimer toutes les configurations

  3. Supprimez les ressources AWS :

    • Supprimer la pile CloudFormation
    • Déconnecter les clusters d’Arc

Étapes suivantes

  • Last updated on