Partager via

Activer Defender pour conteneurs sur AKS via le portail

Cet article explique comment activer Microsoft Defender pour conteneurs sur vos clusters Azure Kubernetes Service (AKS) via le portail Azure. Vous pouvez choisir d’activer toutes les fonctionnalités de sécurité à la fois pour une protection complète ou de déployer de manière sélective des composants spécifiques en fonction de vos besoins.

Quand utiliser ce guide

Utilisez ce guide si vous souhaitez :

  • Configurer Defender pour conteneurs sur Azure pour la première fois
  • Activer toutes les fonctionnalités de sécurité pour une protection complète
  • Déployer de manière sélective des composants spécifiques
  • Corriger ou ajouter des composants manquants à un déploiement existant
  • Exclure certains clusters de la protection

Prerequisites

Configuration réseau requise

Le capteur Defender doit se connecter à Microsoft Defender pour cloud pour envoyer des données et des événements de sécurité. Vérifiez que les points de terminaison requis sont configurés pour l’accès sortant.

Exigences relatives aux connexions

Le capteur Defender a besoin d’une connectivité à :

  • Microsoft Defender pour Cloud (pour l’envoi de données et d’événements de sécurité)

Par défaut, les clusters AKS ont un accès illimité sortant à Internet.

Pour les clusters avec accès sortant restreint, vous devez autoriser les noms de domaine complets (FQDN) spécifiques pour "Microsoft Defender for Containers" afin d'assurer son bon fonctionnement. Consultez la section Microsoft Defender pour les conteneurs – Règles FQDN/application requises dans la documentation sur le réseau sortant AKS pour connaître les points de terminaison requis.

Si le trafic de sortie du cluster nécessite l’utilisation d’une étendue Private Link Azure Monitor (AMPLS), vous devez :

  1. Définir le cluster avec Container Insights et un espace de travail Log Analytics

  2. Définir l’espace de travail Log Analytics du cluster en tant que ressource dans l’AMPLS

  3. Créez un point de terminaison privé de réseau virtuel dans l’AMPLS entre :

    • Réseau virtuel du cluster
    • Ressource Log Analytics

    Le point de terminaison privé du réseau virtuel s’intègre à une zone DNS privée.

Pour obtenir des instructions, consultez Créer une étendue de liaison privée Azure Monitor.

Activer le plan Defender pour conteneurs

Tout d’abord, activez le plan Defender pour conteneurs sur votre abonnement :

  1. Connectez-vous au portail Azure.

  2. Accédez à Microsoft Defender pour le cloud.

  3. Dans le menu de gauche, sélectionnez Paramètres d’environnement.

  4. Sélectionnez l’abonnement où se trouvent vos clusters AKS.

  5. Dans la page des plans Defender, recherchez la ligne Conteneurs et changez le statut sur Activé.

    Capture d’écran montrant l’interrupteur du plan Conteneurs sur la page des plans Defender.

Configurer les composants de plan

Après avoir activé le plan, passez en revue et configurez les composants. Par défaut, tous les composants sont activés lorsque vous activez le plan Defender pour conteneurs.

  1. Sélectionnez Paramètres dans la ligne du plan Conteneurs.

  2. Dans Paramètres, vous voyez tous les composants disponibles.

  3. Passez en revue les composants activés par défaut :

    • Analyse sans agent des machines : analyse vos machines pour détecter les logiciels installés, les vulnérabilités et l’analyse des secrets sans compter sur les agents ou impacter les performances de l’ordinateur
    • Capteur Defender - Déployé sur chaque nœud de travail, collecte les données liées à la sécurité, requises pour la protection en cours d’exécution
    • Azure Policy - Déployé en tant qu’agent sur votre cluster Kubernetes. Fournit un durcissement du plan de données Kubernetes
    • Accès à l’API Kubernetes - Requis pour la posture du conteneur sans agent, l’évaluation des vulnérabilités d’exécution et les actions de réponse
    • Accès au Registre - Active l’évaluation des vulnérabilités sans agent pour les images de Registre

    Capture d’écran montrant les composants Defender pour conteneurs activés par défaut.

  4. Vous pouvez:

    • Conserver tous les composants activés (recommandé pour une protection complète)
    • Désactiver des composants spécifiques dont vous n’avez pas besoin
    • Réactivez les composants si vous les avez précédemment désactivés

  5. Sélectionnez Continuer.

  6. Passez en revue la page de couverture de surveillance pour voir quelles ressources sont protégées.

  7. Sélectionnez Continuer.

  8. Passez en revue le résumé de la configuration et sélectionnez Enregistrer.

Rôles et autorisations

Découvrez-en davantage sur les rôles pour l’approvisionnement d’extensions Defender pour les conteneurs.

Superviser la progression du déploiement

Après avoir enregistré vos modifications, Defender pour Cloud démarre automatiquement le déploiement des composants sélectionnés sur vos clusters AKS :

  1. Accédez à Microsoft Defender for Cloud>Recommandations.

  2. Filtrez les recommandations par type de ressource = services Kubernetes.

  3. Recherchez ces recommandations clés :

    • « Les clusters Azure Kubernetes Service doivent avoir le profil Defender activé »
    • « La stratégie Azure pour Kubernetes doit être installée et activée sur des clusters »

  4. Sélectionnez chaque recommandation pour afficher les ressources affectées et la progression de la correction.

Déployer le capteur Defender

Important

Déploiement du capteur Defender à l’aide de Helm : contrairement aux autres options qui sont automatiquement approvisionnées et mises à jour automatiquement, Helm vous permet de déployer de manière flexible le capteur Defender. Cette approche est particulièrement utile dans les scénarios DevOps et infrastructure-as-code. Avec Helm, vous pouvez intégrer le déploiement dans des pipelines CI/CD et contrôler toutes les mises à jour des capteurs. Vous pouvez également choisir de recevoir des versions en préversion et en disponibilité générale. Pour obtenir des instructions sur l’installation du capteur Defender à l’aide de Helm, consultez Installer le capteur Defender pour conteneurs à l’aide de Helm.

Lorsque vous activez le paramètre de capteur Defender, il se déploie automatiquement sur tous les clusters AKS de votre abonnement. Si vous désactivez le déploiement automatique, vous pouvez déployer manuellement le capteur à l’aide des méthodes suivantes :

Déployer sur un groupe de clusters AKS sélectionnés

  1. Accédez à Microsoft Defender for Cloud>Recommandations.

  2. Recherchez et sélectionnez « Les clusters Azure Kubernetes Service doivent avoir le profil Defender activé ».

    Capture d’écran montrant la page recommandations avec la recommandation de cluster Azure Kubernetes Service mise en surbrillance dans les résultats de la recherche.

  3. Sélectionnez les clusters AKS qui ont besoin du capteur.

  4. Sélectionnez Corriger.

    Capture d’écran de la recommandation avec les ressources affectées sélectionnées qui vous montre comment sélectionner le bouton corriger.

  5. Passez en revue la configuration du déploiement.

  6. Sélectionnez Corriger les ressources X à déployer.

Note

Vous pouvez également déployer le capteur Defender à l’aide de Helm pour plus de contrôle sur la configuration du déploiement. Pour obtenir des instructions de déploiement Helm, consultez Déployer le capteur Defender à l’aide de Helm.

Déployer sur un cluster AKS spécifique

Pour déployer le capteur Defender sur des clusters AKS spécifiques :

  1. Accédez à votre cluster AKS dans le Portail Azure.

  2. Dans le menu de gauche sous le nom du cluster, sélectionnez Microsoft Defender pour Cloud.

  3. Dans la page Microsoft Defender pour le cloud de votre cluster, sélectionnez Paramètres dans la ligne supérieure, localisez la ligne du capteur Defender et activez-le sur Activé.

    Capture d’écran du capteur Defender activé.

  4. Cliquez sur Enregistrer.

Exclure des clusters spécifiques (facultatif)

Vous pouvez exclure des clusters AKS spécifiques de l’approvisionnement automatique en appliquant des balises :

  1. Accédez à votre cluster AKS.

  2. Sous Vue d’ensemble, sélectionnez Balises.

  3. Ajoutez l’une des balises suivantes :

    • Pour le capteur Defender : ms_defender_container_exclude_sensors = true
    • Pour Azure Policy : ms_defender_container_exclude_azurepolicy = true

Surveiller la sécurité en continu

Après l’installation, régulièrement :

  1. Gérer les vulnérabilités - Passer en revue les résultats des analyses des vulnérabilités d’image conteneur
  2. Passer en revue les recommandations - Résoudre les problèmes de sécurité identifiés pour vos clusters AKS
  3. Examiner les alertes - Répondre aux menaces d’exécution détectées par le capteur Defender
  4. Suivre la conformité - Surveiller l’adhésion aux normes de sécurité et aux benchmarks

Nettoyer les ressources

Pour désactiver Defender pour conteneurs et supprimer tous les composants déployés de vos clusters AKS, consultez Supprimer Defender pour conteneurs d’Azure (AKS).

Étapes suivantes

  • Last updated on