다음을 통해 공유

프로그래밍 방식으로 AWS(EKS)에 Defender for Containers 구성 요소 배포

이 문서에서는 명령줄 도구 및 자동화 방법을 사용하여 Amazon EKS 클러스터에 Defender for Containers 구성 요소를 배포하는 방법을 설명합니다.

팁 (조언)

포털을 통한 안내 경험을 원하시면, 포털에서 모든 구성 요소를 활성화하기를 참조하세요.

필수 조건

네트워크 요구 사항

퍼블릭 클라우드 배포에 대한 다음 엔드포인트가 아웃바운드 액세스를 위해 구성되었는지 확인합니다. 아웃바운드 액세스를 위해 구성하면 Defender 센서가 클라우드용 Microsoft Defender에 연결하여 보안 데이터 및 이벤트를 보낼 수 있습니다.

비고

Azure 도메인 및 *.ods.opinsights.azure.com*.oms.opinsights.azure.com 더 이상 아웃바운드 액세스에 필요하지 않습니다. 자세한 내용은 사용 중단 공지 사항을 참조하세요.

Azure 도메인 Azure Government 도메인 21Vianet 도메인에서 운영하는 Azure 항구
*.cloud.defender.microsoft.com N/A N/A 443

Azure Arc 사용 Kubernetes 네트워크 요구 사항의 유효성도 검사해야 합니다.

필수 도구:

  • Azure CLI(버전 2.40.0 이상)
  • 적절한 자격 증명으로 구성된 AWS CLI
  • kubectl 귀하의 EKS 클러스터에 대해 구성됨

컨테이너용 Defender 활성화

구독에서 Defender for Containers 계획을 사용하도록 설정하려면 클라우드용 Microsoft Defender 사용을 참조하세요. Azure Portal, REST API 또는 Azure Policy를 통해 계획을 사용하도록 설정할 수 있습니다.

AWS 계정 연결

Defender 센서를 배포하기 전에 AWS 계정을 Microsoft Defender for Cloud에 연결합니다. 지침은 AWS 계정 연결을 참조하세요.

Azure Arc에 EKS 클러스터 연결

EKS 클러스터를 Azure Arc에 연결하여 Defender 센서를 배포합니다. 자세한 내용은 Azure Arc에 기존 Kubernetes 클러스터 연결을 참조하세요.

Defender 센서 배포

AWS 계정 및 EKS 클러스터를 Azure Arc에 연결한 후 Defender 센서 확장을 배포합니다.

설치 스크립트를 사용하여 배포

다음 스크립트는 Defender for Containers 센서를 설치하고 기존 배포가 있는 경우 모든 기존 배포를 제거합니다.

install_defender_sensor_mc.sh

kubeconfig 컨텍스트를 대상 클러스터로 설정하고 스크립트를 실행합니다.

install_defender_sensor_mc.sh <SECURITY_CONNECTOR_AZURE_RESOURCE_ID> <RELEASE_TRAIN> <VERSION> <DISTRIBUTION> [<ARC_CLUSTER_RESOURCE_ID>]

자리 표시자 텍스트를 사용자 값으로 바꾸십시오. ARC_CLUSTER_RESOURCE_ID 는 Defender for Containers Arc 확장을 사용하는 기존 클러스터에 대한 선택적 매개 변수입니다.

보안 커넥터 리소스 ID 가져오기

EKS 클러스터에 Helm 차트를 설치하려면 클러스터가 속한 계정에 대한 보안 커넥터 리소스 ID가 필요합니다. 다음 Azure CLI 명령을 실행하여 이 값을 가져옵니다.

az resource show \
  --name <connector-name> \
  --resource-group <resource-group-name> \
  --resource-type "Microsoft.Security/securityConnectors" \
  --subscription <subscription-id> \
  --query id -o tsv

자리 표시자 텍스트를 <connector-name><resource-group-name><subscription-id> 값으로 바꿉다.

매개 변수 값

  • <RELEASE_TRAIN>의 경우 public는 공개 미리 보기 릴리스(0.9.x)에 사용합니다.
  • <VERSION>에 대해, latest 또는 특정 의미 체계 버전을 사용하세요.
  • <DISTRIBUTION>의 경우, eks을 사용하십시오.

비고

이 스크립트는 Azure 계정에 Log Analytics 작업 영역을 만들 수 있습니다.

Azure CLI를 사용하여 배포

또는 Azure CLI를 사용하여 Defender 센서 확장을 배포합니다.

az k8s-extension create \
    --name microsoft.azuredefender.kubernetes \
    --extension-type microsoft.azuredefender.kubernetes \
    --cluster-type connectedClusters \
    --cluster-name <cluster-name> \
    --resource-group <resource-group> \
    --configuration-settings \
        logAnalyticsWorkspaceResourceID="/subscriptions/<subscription-id>/resourceGroups/<rg>/providers/Microsoft.OperationalInsights/workspaces/<workspace-name>"

Defender 센서를 배포한 후 추가 설정을 구성할 수 있습니다. 자세한 내용은 Helm을 사용하여 배포된 컨테이너용 Defender 센서 구성을 참조하세요.

Azure Policy 확장 배포

Azure Policy 확장을 배포하여 EKS 클러스터에서 정책 적용을 사용하도록 설정합니다.

az k8s-extension create \
    --name azure-policy \
    --extension-type Microsoft.PolicyInsights \
    --cluster-type connectedClusters \
    --cluster-name <cluster-name> \
    --resource-group <resource-group>

다음 단계

  • Last updated on