Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo descreve como instalar e configurar o sensor do Microsoft Defender para Contêineres em clusters AKS, EKS e GKE usando o Helm. Você aprenderá sobre os pré-requisitos, a habilitação do Defender para Contêineres e as instruções de implantação passo a passo para ambientes diferentes.
Pré-requisitos gerais
Verifique se todos os requisitos de pré-requisito para o sensor do Defender para Contêineres são atendidos, conforme descrito nos requisitos de rede do sensor do Defender.
Etapa 1: Habilitar o Defender para Contêineres
Se o plano do Defender para Contêineres ainda não estiver habilitado, siga estas etapas:
No portal do Azure, acesse o Microsoft Defender para Nuvem e selecione a assinatura para os clusters onde você deseja instalar o Helm chart. No EKS e GKE, selecione o ambiente com esses clusters (o conector de segurança da conta EKS ou GKE com o cluster).
Em Cloud Workload Protection Platform (CWPP), localize o plano Containers e defina o alternador como Ativado.
Ao lado do plano Contêineres , selecione Configurações.
No painel Configurações & monitoramento , verifique se as seguintes alternâncias estão definidas como Ativadas:
- Sensor Defensor
- Descobertas de segurança
- Acesso ao Registro
Agora você está pronto para configurar o sensor do Defender para contêineres com o Helm.
Etapa 2: Instalar o Helm chart dos sensores
Somente para AKS Automático
Execute o seguinte comando para o AKS Automatic:
# Update Azure CLI to the latest version
az upgrade
# If you don't have the AKS preview extension installed yet
az extension add --name aks-preview
# Update the AKS extension specifically
az extension update --name aks-preview
Pré-requisitos da instalação
Helm >= 3,8 (suporte a OCI em GA)
Função de proprietário do grupo de recursos para o cluster de destino (AKS) ou conector de segurança (EKS ou GKE)
ID de recurso do Azure para o cluster de destino
Observação
Use o seguinte comando para gerar uma lista dos IDs de recurso do Azure dos seus clusters AKS, dado um
<SUBSCRIPTION_ID>e um<RESOURCE_GROUP>:az aks list \ --subscription <SUBSCRIPTION_ID> \ --resource-group <RESOURCE_GROUP> \ --query "[].id" \ -o tsv
AKS
Antes de instalar o sensor, remova as políticas conflitantes. Essas atribuições de política fazem com que a versão GA do sensor seja implantada em seu cluster. Você pode encontrar a lista de definições de política para sua assinatura no Policy – Microsoft Azure. A ID da política conflitante é 64def556-fbad-4622-930e-72d1d5589bf5.
Execute o script a seguir para removê-los usando a CLI do Azure:
delete_conflicting_policies.sh
Execute o script com o comando:
delete_conflicting_policies.sh <CLUSTER_AZURE_RESOURCE_ID>
Observação
Este script remove as políticas no nível do grupo de recursos e da assinatura para configurar a versão GA do Defender para contêineres, o que pode afetar outros clusters além daquele que você está configurando.
O script a seguir instala o sensor do Defender para Contêineres (e remove qualquer implantação existente, se houver):
install_defender_sensor_aks.sh
Execute o script com o comando:
install_defender_sensor_aks.sh <CLUSTER_AZURE_RESOURCE_ID> <RELEASE_TRAIN> <VERSION>
No comando a seguir, substitua o texto do espaço reservado <CLUSTER_AZURE_RESOURCE_ID>, <RELEASE_TRAIN> e <VERSION> por seus próprios valores. Use 'public' para as versões de visualização pública (0.9.x). Para <VERSION>, use 'latest' ou uma versão semântica específica.
Observação
Esse script define um novo contexto kubeconfig e pode criar um espaço de trabalho do Log Analytics em sua conta do Azure.
EKS/GKE
O script a seguir instala o sensor do Defender para Contêineres (e remove qualquer implantação existente, se houver):
Defina o contexto kubeconfig para o cluster de destino e execute o script com o comando:
install_defender_sensor_mc.sh <SECURITY_CONNECTOR_AZURE_RESOURCE_ID> <RELEASE_TRAIN> <VERSION> <DISTRIBUTION> [<ARC_CLUSTER_RESOURCE_ID>]
No comando a seguir, substitua os textos de espaço reservado <SECURITY_CONNECTOR_AZURE_RESOURCE_ID>, <RELEASE_TRAIN>, <VERSION>, <DISTRIBUTION> e <ARC_CLUSTER_RESOURCE_ID> pelos seus próprios valores. Observe que ARC_CLUSTER_RESOURCE_ID é um parâmetro opcional e só deve ser usado para clusters existentes que usam a extensão arc do Defender para contêineres e desejam provisionar o sensor via Helm ou usar o cluster arc e desejam provisionar o sensor via Helm.
Para <SECURITY_CONNECTOR_AZURE_RESOURCE_ID>:
Configurar um conector de segurança para sua conta do AWS ou do GCP
Observação
Para instalar o gráfico do Helm em um cluster EKS ou GKE, verifique se a conta de cluster está conectada ao Microsoft Defender para Nuvem. Consulte Conectar sua conta do AWS ou conectar seu projeto GCP.
Obter sua ID de recurso do Azure
Observação
Para instalar o Helm chart em um cluster EKS ou GKE, você precisa da ID de recurso do conector de segurança da conta à qual seu cluster pertence. Execute o comando az resource show CLI para obter esse valor.
Por exemplo:
az resource show \ --name <connector-name> \ --resource-group <resource-group-name> \ --resource-type "Microsoft.Security/securityConnectors" \ --subscription <subscription-id> \ --query id -o tsvNeste exemplo, substitua o texto de espaço reservado
<connector-name>,<resource-group-name>e<subscription-id>pelos seus valores.
Use 'public' para as versões de visualização pública (0.9.x). Para <VERSION>, use 'latest' ou uma versão semântica específica. Para <DISTRIBUTION>, use eks ou gke.
Observação
Esse script pode criar um workspace do Log Analytics em sua conta do Azure.
Execute o seguinte comando para verificar se a instalação foi bem-sucedida:
helm list --namespace mdc
O campo STATUS deve ser exibir implantado.
Regras de segurança para implantação fechada
Você pode definir regras de segurança para controlar o que pode ser implantado em seus clusters do Kubernetes. Essas regras permitem que você bloqueie ou audite imagens de contêiner com base em critérios de segurança, como imagens com muitas vulnerabilidades.
Acessar regras de segurança
- Navegue até o Painel do Microsoft Defender para Nuvem (MDC).
- No painel de navegação esquerdo, selecione Configurações de ambiente.
- Selecione o tile de regras de segurança.
Configurando regras de avaliação de vulnerabilidade
- Na página Regras de segurança, navegue até a avaliação de vulnerabilidade na seção Implantação controlada.
- Crie ou edite suas regras de segurança conforme necessário.
Importante
Para instalações do Helm:
- Aviso de suporte à assinatura: ao criar regras, sua assinatura selecionada pode ser marcada como "sem suporte para implantação fechada". Isso ocorre porque você instalou os componentes do Defender para Contêineres usando o Helm e não por meio da instalação automática do painel.
- Ignorar a Instalação Automática: se solicitado a habilitar o gating na terceira aba da janela de edição da regra de segurança, pressione Ignorar. Essa opção habilita a instalação automática, que entra em conflito com a implantação existente do Helm.
Recomendação existente para provisionar o sensor
Observação
Se você usar o Helm para configurar o sensor, ignore as recomendações existentes.
Para o AKS:
Para várias nuvens:
Atualize uma implantação existente baseada em Helm
Execute o seguinte comando para atualizar uma implantação existente baseada em Helm:
helm upgrade microsoft-defender-for-containers-sensor \
oci://mcr.microsoft.com/azuredefender/microsoft-defender-for-containers-sensor \
--devel \
--reuse-values