Udostępnij przez

Włączanie usługi Defender for Containers na platformie AWS (EKS) za pośrednictwem portalu

W tym artykule pokazano, jak włączyć usługę Microsoft Defender for Containers w klastrach Amazon EKS za pośrednictwem witryny Azure Portal. Możesz włączyć wszystkie funkcje zabezpieczeń jednocześnie w celu kompleksowej ochrony lub selektywnie wdrożyć określone składniki na podstawie wymagań.

Kiedy należy używać tego przewodnika

Skorzystaj z tego przewodnika, jeśli chcesz:

  • Konfigurowanie usługi Defender for Containers na platformie AWS po raz pierwszy
  • Włączanie wszystkich funkcji zabezpieczeń w celu zapewnienia kompleksowej ochrony
  • Selektywne wdrażanie określonych składników
  • Naprawianie lub dodawanie brakujących składników do istniejącego wdrożenia
  • Wdrażanie przy użyciu kontrolowanego, selektywnego podejścia
  • Wykluczanie niektórych klastrów z ochrony

Wymagania wstępne

Wymagania dotyczące sieci

Sprawdź, czy następujące punkty końcowe dla wdrożeń chmury publicznej są skonfigurowane pod kątem dostępu wychodzącego. Skonfigurowanie ich pod kątem dostępu wychodzącego pomaga zapewnić, że czujnik usługi Defender może nawiązać połączenie z Microsoft Defender dla Chmury w celu wysyłania danych i zdarzeń zabezpieczeń.

Uwaga / Notatka

Domeny platformy *.ods.opinsights.azure.com Azure i *.oms.opinsights.azure.com nie są już wymagane do uzyskiwania dostępu wychodzącego. Aby uzyskać więcej informacji, zobacz ogłoszenie o wycofaniu.

Domena platformy Azure Domena platformy Azure Government Platforma Azure obsługiwana przez domenę 21Vianet Port
*.cloud.defender.microsoft.com N/A N/A 443

Należy również zweryfikować wymagania sieciowe platformy Kubernetes z obsługą usługi Azure Arc.

Wymagania specyficzne dla platformy AWS:

  • Konto platformy AWS z odpowiednimi uprawnieniami
  • Aktywne klastry EKS (wersja 1.19 lub nowsza)
  • Obrazy kontenerów w usłudze Amazon ECR
  • Zainstalowany i skonfigurowany interfejs wiersza polecenia platformy AWS
  • Wychodząca łączność HTTPS z EKS do platformy Azure

Tworzenie łącznika platformy AWS

  1. Zaloguj się do witryny Azure Portal.

  2. Przejdź do pozycji Microsoft Defender dla Chmury.

  3. Wybierz pozycję Ustawienia środowiska z menu po lewej stronie.

  4. Wybierz pozycję Dodaj środowisko>Amazon Web Services.

    Zrzut ekranu przedstawiający opcje dodawania środowiska platformy AWS w Microsoft Defender dla Chmury.

Konfigurowanie szczegółów łącznika

  1. W sekcji Szczegóły konta wprowadź:

    • Alias konta: opisowa nazwa konta platformy AWS
    • Identyfikator konta platformy AWS: 12-cyfrowy identyfikator konta platformy AWS
    • Grupa zasobów: wybierz lub utwórz grupę zasobów

    Zrzut ekranu przedstawiający formularz, aby wypełnić szczegóły konta dla środowiska platformy AWS w Microsoft Defender dla Chmury.

  2. Wybierz pozycję Dalej: wybierz plany.

Włączanie funkcji usługi Defender for Containers

  1. W Wybierz plany przełącz Kontenery na Włączone.

    Zrzut ekranu przedstawiający łącznik platformy AWS w ustawieniach środowiska usługi Defender for Cloud.

  2. Wybierz pozycję Ustawienia , aby uzyskać dostęp do opcji konfiguracji planu.

    Zrzut ekranu przedstawiający ustawienia planu kontenerów w ustawieniach środowiska usługi Defender for Cloud z wyróżnioną ochroną przed zagrożeniami działającą bez agenta.

  3. Wybierz podejście do wdrażania:

    Opcja A: Włącz wszystkie składniki (zalecane)

    Aby zapewnić kompleksową ochronę, włącz wszystkie funkcje:

    • Ustaw wszystkie przełączenia na włączone
    • To ustawienie zapewnia pełne pokrycie zabezpieczeń dla środowiska EKS

    Opcja B: Włączanie określonych składników

    Wybierz tylko potrzebne składniki w zależności od wymagań:

  4. Skonfiguruj dostępne składniki na podstawie wybranego podejścia:

    • Ochrona przed zagrożeniami bez agenta: zapewnia ochronę środowiska uruchomieniowego kontenerom klastra przez wysyłanie dzienników inspekcji platformy Kubernetes do usługi Microsoft Defender.

      • Ustaw przełącznik na Włączone , aby włączyć
      • Konfigurowanie okresu przechowywania dzienników inspekcji
      • Odnajduje wszystkie klastry EKS na koncie platformy AWS

      Uwaga / Notatka

      Jeśli wyłączysz tę konfigurację, wykrywanie zagrożeń płaszczyzny sterowania zostanie wyłączone. Dowiedz się więcej o dostępności funkcji.

    • Dostęp do interfejsu API platformy Kubernetes (odnajdywanie bez agenta dla platformy Kubernetes): ustawia uprawnienia umożliwiające odnajdywanie klastrów Kubernetes na podstawie interfejsu API.

      • Ustaw przełącznik na Włączone , aby włączyć
      • Zapewnia ocenę stanu zapasów i zabezpieczeń

    • Dostęp do rejestru (Bezagentyjna ocena luk w zabezpieczeniach kontenera): Ustawia uprawnienia umożliwiające ocenę luk w zabezpieczeniach obrazów przechowywanych w ECR.

      • Ustaw przełącznik na Włączone , aby włączyć
      • Skanuje obrazy kontenerów pod kątem znanych luk w zabezpieczeniach

    • Automatyczna konfiguracja czujnika usługi Defender dla Azure Arc (Defender DaemonSet): automatycznie wdraża czujnik usługi Defender w klastrach z obsługą usługi Arc na potrzeby wykrywania zagrożeń w czasie rzeczywistym.

      • Ustaw przełącznik na Włączone , aby włączyć
      • Zapewnia alerty zabezpieczeń w czasie rzeczywistym w celu ochrony obciążeń

    Zrzut ekranu przedstawiający opcje włączania czujnika usługi Defender dla usługi Azure Arc w Microsoft Defender dla Chmury.

    Wskazówka

    • W przypadku środowisk produkcyjnych zalecamy włączenie wszystkich składników.
    • Aby przeprowadzić testowanie lub stopniowe wdrażanie, zacznij od określonych składników i dodaj więcej później.
    • Usługa Azure Policy dla platformy Kubernetes jest wdrażana automatycznie za pomocą czujnika usługi Defender.

  5. Wybierz pozycję Kontynuuj i Dalej: Skonfiguruj dostęp.

Konfigurowanie uprawnień platformy AWS

  1. Postępuj zgodnie z instrukcjami na stronie Konfigurowanie dostępu .

    Zrzut ekranu przedstawiający stronę konfigurowania dostępu dla środowiska platformy AWS w Microsoft Defender dla Chmury.

  2. Pobierz szablon CloudFormation z portalu.

  3. Wdróż stos CloudFormation na platformie AWS:

    1. Otwieranie konsoli platformy AWS CloudFormation
    2. Tworzenie nowego stosu przy użyciu pobranego szablonu
    3. Przegląd i tworzenie stosu

  4. Po zakończeniu tworzenia stosu skopiuj rolę ARN z danych wyjściowych stosu.

  5. Wróć do portalu Azure i wklej rolę ARN.

  6. Wybierz Dalej: Przejrzyj i utwórz.

  7. Przejrzyj konfigurację i wybierz pozycję Utwórz.

Rozmieść wszystkie składniki

Uwaga / Notatka

Jeśli wybrano opcję włączenia wszystkich składników w poprzedniej sekcji, wykonaj wszystkie kroki opisane w tej sekcji. W przypadku wybrania określonych składników wykonaj tylko kroki istotne dla wybranych funkcji.

Wykonaj następujące kroki, aby włączyć ochronę na podstawie konfiguracji:

Udzielanie uprawnień płaszczyzny sterowania

Wymagane w przypadku włączenia: ochrona przed zagrożeniami bez agenta lub dostęp do interfejsu API Kubernetes

Jeśli włączono odnajdywanie bez agenta dla platformy Kubernetes, udziel uprawnień płaszczyzny sterowania w klastrze przy użyciu jednej z następujących metod:

  • Opcja 1. Używanie skryptu języka Python

    Uruchom ten skrypt języka Python, aby dodać rolę MDCContainersAgentlessDiscoveryK8sRole Defender for Cloud do aws-auth ConfigMap klastrów EKS, które chcesz onboardować.

  • Opcja 2. Użyj eksctl

    Przyznaj każdemu klastrowi MDCContainersAgentlessDiscoveryK8sRole Amazon EKS rolę:

    eksctl create iamidentitymapping \
    --cluster my-cluster \
    --region region-code \
    --arn arn:aws:iam::account:role/MDCContainersAgentlessDiscoveryK8sRole \
    --group system:masters \
    --no-duplicate-arns

    Aby uzyskać więcej informacji, zobacz Grant IAM users access to Kubernetes with EKS access wpisów w podręczniku użytkownika usługi Amazon EKS.

Łączenie klastrów EKS z usługą Azure Arc

Wymagane w przypadku włączenia: automatyczne aprowizowanie czujnika dla Defendera dla Azure Arc

Musisz zainstalować i uruchomić Kubernetes z włączoną obsługą Azure Arc, czujnik Defender oraz Azure Policy dla Kubernetes na swoich klastrach EKS. Istnieje dedykowane zalecenie usługi Defender for Cloud dotyczące instalowania tych rozszerzeń:

  1. Przejdź do pozycji Microsoft Defender dla Chmury> Poleceń.

  2. Poszukaj zalecenia: klastry EKS powinny mieć zainstalowane rozszerzenie Microsoft Defender dla Azure Arc.

  3. Postępuj zgodnie z instrukcjami korygowania podanymi przez zalecenie:

    Zrzut ekranu przedstawiający sposób korygowania zaleceń dotyczących klastrów EKS przez zainstalowanie wymaganych składników usługi Defender for Containers.

Wdrażanie czujnika usługi Defender

Ważne

Wdrażanie czujnika Defendera przy użyciu Helm: w przeciwieństwie do innych opcji, które są automatycznie zarządzane oraz aktualizowane, Helm umożliwia elastyczne wdrażanie czujnika Defendera. Takie podejście jest szczególnie przydatne w scenariuszach DevOps i infrastruktury jako kodu. Za pomocą programu Helm można zintegrować wdrożenie z potokami CI/CD i kontrolować wszystkie aktualizacje sensorów. Możesz również otrzymywać wersje zapoznawcze i ogólnodostępne. Aby uzyskać instrukcje dotyczące instalowania czujnika Defender przy użyciu programu Helm, zobacz Instalowanie czujnika Defender dla kontenerów przy użyciu programu Helm.

Wymagane w przypadku włączenia: automatyczne aprowizowanie czujnika Defendera dla Azure Arc

Po połączeniu klastrów EKS z usługą Azure Arc wdróż czujnik defender:

  1. Przejdź do pozycji Microsoft Defender dla Chmury> Poleceń.

  2. Poszukaj zaleceń dotyczących instalowania rozszerzenia defender w klastrach z obsługą usługi Arc.

  3. Wybierz zalecenie i wykonaj kroki korygowania.

  4. Czujnik zapewnia wykrywanie zagrożeń środowiska uruchomieniowego dla klastrów.

Uwaga / Notatka

Czujnik usługi Defender można również wdrożyć przy użyciu programu Helm, by uzyskać większą kontrolę nad konfiguracją wdrożenia. Aby uzyskać instrukcje wdrażania programu Helm, zobacz Deploy Defender sensor using Helm (Wdrażanie czujnika usługi Defender przy użyciu programu Helm).

Konfigurowanie skanowania luk w zabezpieczeniach usługi ECR

Wymagane w przypadku włączenia: dostęp do rejestru

  1. Przejdź do ustawień łącznika platformy AWS.

  2. Wybierz pozycję Konfiguruj obok planu Kontenery.

  3. Sprawdź, czy dostęp do rejestru jest włączony.

  4. Obrazy wypychane do ECR są automatycznie skanowane w ciągu 24 godzin.

Włączanie rejestrowania inspekcji

Wymagane w przypadku włączenia: Ochrona przed zagrożeniami bez agenta

Włącz rejestrowanie inspekcji dla każdego klastra EKS:

# Enable audit logs
aws eks update-cluster-config \
    --name <cluster-name> \
    --logging '{"clusterLogging":[{"types":["audit","authenticator"],"enabled":true}]}'

Wyświetlanie zaleceń i alertów

Aby wyświetlić alerty i zalecenia dotyczące klastrów EKS:

  1. Przejdź do stron alertów, zaleceń lub spisu.

  2. Użyj filtrów, aby filtrować według typu zasobu AWS EKS Cluster.Use the filters to filter by resource type AWS EKS Cluster (Filtrowanie według typu zasobu AWS EKS Cluster).

    Zrzut ekranu przedstawiający opcje używania filtrów na stronie Microsoft Defender dla Chmury alertów zabezpieczeń w celu wyświetlenia alertów związanych z klastrami EKS platformy AWS.

Wskazówka

Alerty kontenerów można symulować, postępując zgodnie z instrukcjami w tym wpisie w blogu.

Wdrażanie określonych składników (opcjonalnie)

Jeśli początkowo wybrano opcję włączania tylko niektórych składników, a teraz chcesz dodać więcej lub jeśli musisz rozwiązać problemy z istniejącymi wdrożeniami:

Dodawanie składników do istniejącego wdrożenia

  1. Przejdź do pozycji Ustawienia środowiska i wybierz łącznik platformy AWS.

  2. Wybierzpozycję Ustawienia> usługi Defender obok pozycji Kontenery.

  3. Włącz dodatkowe przełączanie dla składników, które chcesz dodać:

    • Ochrona przed zagrożeniami bez agenta: ochrona środowiska uruchomieniowego
    • Dostęp do interfejsu API platformy Kubernetes: na potrzeby odnajdywania klastrów
    • Dostęp do rejestru: skanowanie luk w zabezpieczeniach ECR
    • Automatyczne wdrażanie czujnika usługi Defender: dla ochrony obciążeń

  4. Zapisz zmiany i wykonaj kroki wdrażania dla nowo włączonych składników.

Uwaga / Notatka

Możesz wykluczyć określony klaster AWS z automatycznej aprowizacji. W przypadku wdrożenia czujnika ms_defender_container_exclude_agents zastosuj tag w zasobie z wartością true. W przypadku wdrożenia bez agenta ms_defender_container_exclude_agentless zastosuj tag w zasobie z wartością true.

Wdróż czujnik usługi Defender w określonych klastrach

Aby wdrożyć czujnik tylko w wybranych klastrach EKS:

  1. Połącz określone klastry z usługą Azure Arc (nie wszystkie klastry).

  2. Przejdź do obszaru Zalecenia i znajdź pozycję "Klastry Kubernetes z obsługą usługi Arc powinny mieć zainstalowane rozszerzenie Usługi Defender".

  3. Wybierz tylko klastry, w których chcesz umieścić czujnik.

  4. Wykonaj kroki korygowania tylko dla wybranych klastrów.

Wdrażanie składników dla istniejących klastrów

Jeśli masz klastry z brakującymi lub uszkodzonymi składnikami, wykonaj następujące kroki:

Sprawdzanie stanu składnika

  1. Przejdź do obszaru Spis i filtruj według zasobów platformy AWS.

  2. Sprawdź każdy klaster EKS pod kątem:

    • Stan łączności usługi Arc
    • Stan rozszerzenia usługi Defender
    • Stan rozszerzenia zasad

Rozwiązywanie problemów z łącznością z usługą Arc

W przypadku klastrów, które są wyświetlane jako rozłączone:

  1. Uruchom ponownie skrypt połączenia Arc.

  2. Zweryfikuj łączność sieciową z klastra na platformę Azure.

  3. Sprawdź dzienniki agenta Arc: kubectl logs -n azure-arc -l app.kubernetes.io/component=cluster-agent

Rozwiązywanie problemów z wdrażaniem czujników

Dla klastrów, w których brakuje czujnika Defendera:

  1. Sprawdź, czy połączenie usługi Arc jest w dobrej kondycji.

  2. Sprawdź, czy nie ma zasad powodujących konflikt lub kontrolerów dostępu.

  3. W razie potrzeby wdróż ręcznie: wykorzystaj środki naprawcze z zalecenia.

Konfigurowanie skanowania ECR dla określonych rejestrów

Aby skanować tylko określone rejestry ECR:

  1. W konfiguracji łącznika włącz bezagentową ocenę luk w zabezpieczeniach kontenera.

  2. Zasady AWS IAM pozwalają ograniczyć dostęp skanera do określonych rejestrów.

  3. Rejestry tagów do uwzględnienia lub wykluczenia ze skanowania.

Selektywne wdrażanie rozszerzenia usługi Azure Policy

Aby wdrożyć ocenę zasad tylko w określonych klastrach:

  1. Po nawiązaniu połączenia z usługą Arc przejdź do Zasady>Definicje.

  2. Wyszukaj "Konfigurowanie rozszerzenia usługi Azure Policy na platformie Kubernetes z włączonym Arc" (Configure Azure Policy extension on Arc-enabled Kubernetes).

  3. Utwórz zadanie o zasięgu ograniczonym do określonych grup zasobów lub klastrów.

  4. Weryfikowanie wdrożenia: kubectl get pods -n kube-system -l app=azure-policy

Konfigurowanie rejestrowania inspekcji dla określonych klastrów

Włącz rejestrowanie inspekcji selektywnie:

# For specific cluster
aws eks update-cluster-config \
    --name <specific-cluster> \
    --logging '{"clusterLogging":[{"types":["audit"],"enabled":true}]}'

Weryfikowanie wdrożenia

Sprawdzanie kondycji łącznika

  1. Przejdź do pozycji Ustawienia środowiska.

  2. Wybierz łącznik platformy AWS.

  3. Zweryfikować:

    • Stan: Połączono
    • Ostatnia synchronizacja: Ostatni znacznik czasu
    • Liczba odnalezionych zasobów

Wyświetlanie odnalezionych zasobów

  1. Przejdź do Inwentarz.

  2. Filtruj według środowiska = AWS.

  3. Upewnij się, że widzisz następujące informacje:

    • Wszystkie klastry EKS (lub wybrane tylko w przypadku selektywnego wdrażania)
    • Rejestry ECR
    • Obrazy kontenerów

Testowanie wykrywania zabezpieczeń

Wygeneruj testowy alert zabezpieczeń:

# Connect to an EKS cluster
aws eks update-kubeconfig --name <cluster-name> --region <region>

# Trigger a test alert
kubectl run test-alert --image=nginx --rm -it --restart=Never -- sh -c "echo test > /etc/shadow"

Sprawdź alert w usłudze Defender for Cloud w ciągu 5 do 10 minut.

Rozwiązywanie problemów

Problemy z wdrażaniem

Jeśli wdrożenie składników nie powiedzie się:

  1. Sprawdź połączenie Arc: Upewnij się, że klastry są wyświetlane jako połączone
  2. Weryfikacja roli IAM: Potwierdź, że rola posiada wszystkie wymagane uprawnienia
  3. Przeglądanie sieci: Sprawdzanie wychodzącej łączności HTTPS
  4. Sprawdzanie limitów: Sprawdź, czy limity usług AWS nie zostały przekroczone

Moduły czujników nie startują

# Check pod status
kubectl describe pods -n kube-system -l app=microsoft-defender

# Common issues:
# - Image pull errors: Check network connectivity
# - Permission denied: Verify RBAC settings
# - Resource constraints: Check node resources

Zablokowane rozszerzenie Arc

# Check extension status
az k8s-extension show \
    --cluster-name <cluster-name> \
    --resource-group <rg> \
    --cluster-type connectedClusters \
    --name microsoft.azuredefender.kubernetes

# If stuck, delete and recreate
az k8s-extension delete \
    --cluster-name <cluster-name> \
    --resource-group <rg> \
    --cluster-type connectedClusters \
    --name microsoft.azuredefender.kubernetes

Skanowanie ECR nie działa

  1. Sprawdź, czy rola IAM ma uprawnienia ECR.

  2. Sprawdź, czy skaner może uzyskiwać dostęp do rejestrów.

  3. Upewnij się, że obrazy znajdują się w obsługiwanych regionach.

  4. Przejrzyj dzienniki skanera w obszarze roboczym usługi Log Analytics.

Typowe problemy z weryfikacją

  • Brakujące zasoby: poczekaj 15–30 minut na odnajdywanie.
  • Pokrycie częściowe: Sprawdź konfigurację wykluczonych zasobów.
  • Brak alertów: Sprawdź, czy rejestrowanie inspekcji jest włączone.
  • Błędy skanowania: Sprawdź uprawnienia usługi ECR i dostęp do sieci.

Najlepsze rozwiązania

  1. Rozpocznij od nieprodukcyjnego: najpierw przetestuj klastry deweloperskie/testowe na potrzeby selektywnego wdrażania.
  2. Regularne przeglądy: Sprawdź pulpit nawigacyjny co tydzień.
  3. Odpowiedź na alert: szybko zbadaj alerty o wysokiej ważności.
  4. Higiena obrazów: regularnie skanuj i aktualizuj obrazy podstawowe.
  5. Zgodność: Rozwiązywanie problemów z błędami testu porównawczego CIS.
  6. Kontrola dostępu: Przejrzyj role IAM i uprawnienia RBAC.
  7. Wykluczenia dokumentów: śledzenie, dlaczego niektóre klastry są wykluczone we wdrożeniach selektywnych.
  8. Wdrażanie przyrostowe: w przypadku korzystania z wdrożenia selektywnego dodaj jeden składnik naraz.
  9. Monitoruj każdy krok: przed przejściem do następnego zweryfikuj każdy składnik.

Uprzątnij zasoby

Aby wyłączyć usługę Defender for Containers, wykonaj następujące kroki:

  1. Przejdź do łącznika platformy AWS.

  2. Wybierz jedną z następujących opcji:

    • Wyłącz kontenery, aby dezaktywować plan
    • Usuń cały łącznik, aby usunąć wszystkie konfiguracje

  3. Usuwanie zasobów platformy AWS:

    • Usuń stos CloudFormation
    • Odłącz klastry od usługi Arc

Dalsze kroki

  • Last updated on