Compartilhar via

Habilitar o Defender para Contêineres no EKS (AWS) por meio do portal

Este artigo mostra como habilitar o Microsoft Defender para Contêineres em seus clusters do Amazon EKS por meio do portal do Azure. Você pode optar por habilitar todos os recursos de segurança de uma só vez para proteção abrangente ou implantar seletivamente componentes específicos com base em seus requisitos.

Quando usar este guia

Use este guia se desejar:

  • Configurar o Defender para Contêineres na AWS pela primeira vez
  • Habilitar todos os recursos de segurança para proteção abrangente
  • Implantar seletivamente componentes específicos
  • Corrigir ou adicionar componentes ausentes a uma implantação existente
  • Implantar usando uma abordagem controlada e seletiva
  • Excluir determinados clusters da proteção

Pré-requisitos

Requisitos de rede

Valide se os pontos de extremidade a seguir para implantações de nuvem pública estão configurados para acesso de saída. Configurá-los para acesso de saída ajuda a garantir que o sensor do Defender possa se conectar ao Microsoft Defender para Nuvem para enviar dados e eventos de segurança.

Observação

Os domínios *.ods.opinsights.azure.com do Azure e *.oms.opinsights.azure.com não são mais necessários para acesso de saída. Para obter mais informações, consulte o anúncio de preterição.

Domínio do Azure Domínio do Azure Governamental Domínio do Azure operado pelo 21Vianet Porto
*.cloud.defender.microsoft.com N/A N/A 443

Você também precisa validar os requisitos de rede do Kubernetes habilitado para Azure Arc.

Requisitos específicos do AWS:

  • Conta do AWS com permissões apropriadas
  • Clusters EKS ativos (versão 1.19+)
  • Imagens de contêiner no Amazon ECR
  • CLI do AWS instalada e configurada
  • Conectividade HTTPS de saída do EKS para o Azure

Criar conector do AWS

  1. Entre no portal do Azure.

  2. Vá para o Microsoft Defender para Nuvem.

  3. Selecione configurações de ambiente no menu à esquerda.

  4. Selecione Adicionar ambiente>Amazon Web Services.

    Captura de tela de seleções para adicionar um ambiente da AWS no Microsoft Defender para Nuvem.

Configurar detalhes do conector

  1. Na seção Detalhes da conta , insira:

    • Alias da conta: um nome descritivo para sua conta do AWS
    • ID da conta do AWS: seu identificador de conta do AWS de 12 dígitos
    • Grupo de recursos: selecionar ou criar um grupo de recursos

    Captura de tela do formulário para preencher os detalhes da conta de um ambiente da AWS no Microsoft Defender para Nuvem.

  2. Selecione Avançar: Selecionar planos.

Habilitar recursos do Defender para Contêineres

  1. Em Selecionar planos, alterne Contêineres para Ativado.

    Captura de tela de um conector do AWS nas configurações de ambiente do Defender para Nuvem.

  2. Selecione Configurações para acessar as opções de configuração do plano.

    Captura de tela das configurações do plano contêineres nas configurações de ambiente do Defender para Nuvem com a proteção contra ameaças sem agente realçada.

  3. Escolha sua abordagem de implantação:

    Opção A: Habilitar todos os componentes (recomendado)

    Para proteção abrangente, habilite todos os recursos:

    • Defina todos os interruptores para Ativado
    • Essa configuração fornece cobertura de segurança completa para seu ambiente do EKS

    Opção B: habilitar componentes específicos

    Selecione apenas os componentes necessários com base em seus requisitos:

  4. Configure os componentes disponíveis com base na abordagem escolhida:

    • Proteção contra ameaças sem agente: fornece proteção de runtime para seus contêineres de cluster enviando logs de auditoria do Kubernetes para o Microsoft Defender.

      • Defina a opção como Ativado para habilitar
      • Configurar o período de retenção para seus logs de auditoria
      • Descobre todos os clusters EKS em sua conta do AWS

      Observação

      Se você desabilitar essa configuração, a detecção de ameaças do plano de controle será desabilitada. Saiba mais sobre a disponibilidade de recursos.

    • Acesso à API do Kubernetes (descoberta sem agente para Kubernetes): define permissões para permitir a descoberta baseada em API dos clusters do Kubernetes.

      • Defina o interruptor como Ativar para habilitar
      • Fornece avaliação de inventário e postura de segurança.

    • Acesso ao Registro (avaliação de vulnerabilidade de contêiner sem agente): define permissões para permitir a avaliação de vulnerabilidade de imagens armazenadas no ECR.

      • Defina a alternância para Ligado para ativar
      • Verifica imagens de contêiner em busca de vulnerabilidades conhecidas

    • Provisionar automaticamente o sensor do Defender para o Azure Arc (Defender DaemonSet): implanta automaticamente o sensor do Defender em clusters habilitados para Arc para detecção de ameaças em tempo de execução.

      • Defina a opção como Ativado para habilitar
      • Fornece alertas de segurança em tempo real para proteção de carga de trabalho

    Captura de tela de seleções para habilitar o sensor do Defender para o Azure Arc no Microsoft Defender para Nuvem.

    Dica

    • Para ambientes de produção, recomendamos habilitar todos os componentes.
    • Para teste ou distribuição gradual, comece com componentes específicos e adicione mais tarde.
    • O Azure Policy para Kubernetes é implantado automaticamente com o sensor do Defender.

  5. Selecione Continuar e Avançar: Configurar o acesso.

Configurar permissões do AWS

  1. Siga as instruções na página Configurar acesso .

    Captura de tela da página para configurar o acesso para um ambiente da AWS no Microsoft Defender para Nuvem.

  2. Baixe o modelo cloudformation do portal.

  3. Implantar a stack do CloudFormation na AWS:

    1. Abrir o console do CloudFormation do AWS
    2. Criar um novo stack com o modelo baixado
    3. Examinar e criar o stack

  4. Após a conclusão da criação da pilha, copie a função ARN das saídas da pilha.

  5. Retorne ao portal do Azure e cole a função ARN.

  6. Selecione Avançar: Examinar e criar.

  7. Examine sua configuração e selecione Criar.

Implantar todos os componentes

Observação

Se você tiver selecionado habilitar todos os componentes na seção anterior, siga todas as etapas nesta seção. Se você escolheu componentes específicos, conclua apenas as etapas relevantes para seus recursos selecionados.

Siga estas etapas para habilitar a proteção com base em sua configuração:

Conceder permissões do painel de controle

Necessário se você tiver habilitado: proteção contra ameaças sem agente ou acesso à API do Kubernetes

Se você habilitou a descoberta sem agente para Kubernetes, conceda permissões de plano de controle no cluster usando um destes métodos:

  • Opção 1: Usar o script Python

    Execute este script Python para adicionar a função do Defender para Nuvem MDCContainersAgentlessDiscoveryK8sRole em aws-auth ConfigMap dos clusters EKS que você deseja integrar.

  • Opção 2: Usar eksctl

    Conceda a cada cluster do Amazon EKS a função MDCContainersAgentlessDiscoveryK8sRole:

    eksctl create iamidentitymapping \
    --cluster my-cluster \
    --region region-code \
    --arn arn:aws:iam::account:role/MDCContainersAgentlessDiscoveryK8sRole \
    --group system:masters \
    --no-duplicate-arns

    Para obter mais informações, consulte Conceder aos usuários do IAM acesso ao Kubernetes com entradas de acesso do EKS no guia do usuário do Amazon EKS.

Conectar cluster de EKS ao Azure Arc

Obrigatório se você tiver habilitado: provisionar automaticamente o sensor do Defender para o Azure Arc

É necessário instalara e executar o Kubernetes habilitado para o Azure Arc e o Azure Policy para Kubernetes em seus clusters do EKS. Há uma recomendação dedicada do Defender para Nuvem para instalar estas extensões:

  1. Acesse Microsoft Defender para Nuvem>Recomendações.

  2. Verifique a recomendação: os clusters EKS devem ter a extensão do Microsoft Defender para Azure Arc instalada.

  3. Siga as etapas de correção fornecidas pela recomendação:

    Captura de tela explicando como corrigir a recomendação de clusters EKS instalando os componentes necessários do Defender para Contêineres.

Implantar o sensor do Defender

Importante

Implantando o sensor do Defender usando o Helm: ao contrário de outras opções que são provisionadas automaticamente e atualizadas automaticamente, o Helm permite que você implante o sensor do Defender com flexibilidade. Essa abordagem é especialmente útil em cenários de DevOps e infraestrutura como código. Com o Helm, você pode integrar a implantação em pipelines de CI/CD e controlar todas as atualizações de sensor. Você também pode optar por receber versões de versão prévia e GA. Para obter instruções sobre como instalar o sensor do Defender usando o Helm, consulte Instalar o sensor do Defender para Contêineres usando o Helm.

Obrigatório se você tiver habilitado: provisionar automaticamente o sensor do Defender para o Azure Arc

Depois de conectar seus clusters EKS ao Azure Arc, implante o sensor do Defender:

  1. Acesse Microsoft Defender para Nuvem>Recomendações.

  2. Procure recomendações sobre como instalar a extensão do Defender em clusters habilitados para Arc.

  3. Selecione a recomendação e siga as etapas de correção.

  4. O sensor fornece detecção de ameaças em tempo de execução para seus clusters.

Observação

Você também pode implantar o sensor do Defender usando o Helm para obter mais controle sobre a configuração de implantação. Para obter instruções de implantação do Helm, consulte Implantar sensor do Defender usando o Helm.

Configurar a verificação de vulnerabilidades do ECR

Obrigatório se você tiver habilitado: acesso ao Registro

  1. Vá para as configurações do conector do AWS.

  2. Selecione Configurar ao lado do plano de contêineres.

  3. Verifique se o acesso ao Registro está habilitado.

  4. As imagens enviadas por push para o ECR são digitalizadas automaticamente dentro de 24 horas.

Habilitar registro em log de auditoria

Necessário se você tiver habilitado: proteção contra ameaças sem agente

Habilite os logs de auditoria para cada um dos clusters EKS:

# Enable audit logs
aws eks update-cluster-config \
    --name <cluster-name> \
    --logging '{"clusterLogging":[{"types":["audit","authenticator"],"enabled":true}]}'

Exibir recomendações e alertas

Para exibir os alertas e recomendações para seus clusters EKS:

  1. Vá para os alertas, recomendações ou páginas de inventário.

  2. Use os filtros para filtrar por tipo de recurso cluster AWS EKS.

    Captura de tela de seleções para usar filtros na página de alertas do Microsoft Defender para Nuvem para ver alertas relacionados aos cluster de EKS do AWS.

Dica

Você pode simular alertas de contêiner seguindo as instruções nesta postagem de blog.

Implantar componentes específicos (opcional)

Se você inicialmente optou por habilitar apenas determinados componentes e agora deseja adicionar mais, ou se precisa corrigir problemas com implantações existentes:

Adicionar componentes à implantação existente

  1. Vá para as configurações de Ambiente e selecione o conector do AWS.

  2. Selecione planos do Defender>Configurações ao lado de Contêineres.

  3. Habilite alternâncias adicionais para os componentes que você deseja adicionar:

    • Proteção contra ameaças sem agente: para proteção de runtime
    • Acesso à API do Kubernetes: para descoberta de cluster
    • Acesso ao Registro: para verificação de vulnerabilidades do ECR
    • Provisionar automaticamente o sensor do Defender: para proteção de cargas de trabalho

  4. Salve suas alterações e siga as etapas de implantação dos componentes recém-habilitados.

Observação

Você pode excluir um cluster AWS específico do provisionamento automático. Para implantação do sensor, aplique a marca ms_defender_container_exclude_agents no recurso com o valor true. Para implantação sem agente, aplique a marca ms_defender_container_exclude_agentless no recurso com o valor true.

Implantar o sensor do Defender em clusters específicos

Para implantar o sensor somente em clusters EKS selecionados:

  1. Conecte clusters específicos ao Azure Arc (nem todos os clusters).

  2. Vá para Recomendações e localize "Os clusters do Kubernetes habilitados para Arc devem ter a extensão do Defender instalada".

  3. Selecione apenas os clusters em que você deseja o sensor.

  4. Siga as etapas de correção somente para clusters selecionados.

Implantar componentes para clusters existentes

Se você tiver clusters com componentes ausentes ou com falha, siga estas etapas:

Verificar o status do componente

  1. Vá para Inventário e filtre por recursos da AWS.

  2. Verifique cada cluster EKS em busca de:

    • Status de conectividade do Arc
    • Status da extensão do Defender
    • Status da prorrogação da política

Corrigir problemas de conectividade do Arc

Para clusters que são mostrados como desconectados:

  1. Execute novamente o script de conexão do Arc.

  2. Verifique a conectividade de rede do cluster para o Azure.

  3. Verifique os logs do agente do Arc: kubectl logs -n azure-arc -l app.kubernetes.io/component=cluster-agent

Corrigir problemas de implantação do sensor

Para clusters que não têm o sensor do Defender:

  1. Verifique se a conexão do Arc está íntegra.

  2. Verifique se há políticas conflitantes ou controladores de admissão.

  3. Implante manualmente, se necessário: use a correção da recomendação.

Configurar a verificação de ECR para registros específicos

Para verificar apenas registros ECR específicos:

  1. Na configuração do conector, habilite a avaliação de vulnerabilidade de contêiner sem agente.

  2. Use políticas de IAM do AWS para limitar o acesso do scanner a registros específicos.

  3. Marque registros para serem incluídos ou excluídos da verificação.

Implantar a extensão do Azure Policy seletivamente

Para implantar a avaliação de política apenas em clusters específicos:

  1. Após a conexão do Arc, vá para Política>Definições.

  2. Pesquise por "Configurar a extensão do Azure Policy no Kubernetes habilitado para Arc".

  3. Crie uma atribuição com escopo para grupos de recursos ou clusters específicos.

  4. Verificar a implantação: kubectl get pods -n kube-system -l app=azure-policy

Configurar o registro de auditoria para clusters específicos

Ative o registro de auditoria seletivamente:

# For specific cluster
aws eks update-cluster-config \
    --name <specific-cluster> \
    --logging '{"clusterLogging":[{"types":["audit"],"enabled":true}]}'

Verificar a implantação

Verificar a integridade do conector

  1. Vá para as configurações de Ambiente.

  2. Selecione o conector do AWS.

  3. Verificar:

    • Status: Conectado
    • Última sincronização: Horário recente
    • Contagem de recursos descobertos

Exibir recursos descobertos

  1. Vá para Inventário.

  2. Filtrar por Ambiente = AWS.

  3. Verifique se você vê:

    • Todos os clusters EKS (ou apenas os selecionados se implantados seletivamente)
    • Registros ECR
    • Imagens de contêiner

Testar a detecção de segurança

Gere um alerta de teste de segurança.

# Connect to an EKS cluster
aws eks update-kubeconfig --name <cluster-name> --region <region>

# Trigger a test alert
kubectl run test-alert --image=nginx --rm -it --restart=Never -- sh -c "echo test > /etc/shadow"

Verifique o alerta no Defender para Nuvem dentro de 5 a 10 minutos.

Resolução de problemas

Problemas de implantação

Se os componentes não forem implantados:

  1. Verificar a conexão do Arc: verifique se os clusters são mostrados como Conectados
  2. Verificar a função IAM: confirmar se a função tem todas as permissões necessárias
  3. Examinar a rede: verificar a conectividade HTTPS de saída
  4. Verificar cotas: verificar se as cotas de serviço do AWS não foram excedidas

Os pods de sensor não estão iniciando

# Check pod status
kubectl describe pods -n kube-system -l app=microsoft-defender

# Common issues:
# - Image pull errors: Check network connectivity
# - Permission denied: Verify RBAC settings
# - Resource constraints: Check node resources

Extensão do Arc paralisada

# Check extension status
az k8s-extension show \
    --cluster-name <cluster-name> \
    --resource-group <rg> \
    --cluster-type connectedClusters \
    --name microsoft.azuredefender.kubernetes

# If stuck, delete and recreate
az k8s-extension delete \
    --cluster-name <cluster-name> \
    --resource-group <rg> \
    --cluster-type connectedClusters \
    --name microsoft.azuredefender.kubernetes

A verificação de ECR está falhando

  1. Verificar se a função IAM possui permissões ECR.

  2. Verifique se o verificador pode acessar registros.

  3. Verifique se as imagens estão em regiões com suporte.

  4. Revise os logs do scanner na área de trabalho do Log Analytics.

Problemas comuns de verificação

  • Recursos ausentes: aguarde de 15 a 30 minutos para a descoberta.
  • Cobertura parcial: verifique a configuração de recursos excluídos.
  • Sem alertas: verifique se o log de auditoria está habilitado.
  • Falhas de verificação: verifique as permissões de ECR e o acesso à rede.

Práticas recomendadas

  1. Comece com a não produção: teste em clusters de desenvolvimento/teste primeiro para implantação seletiva.
  2. Revisões regulares: verifique o painel semanalmente.
  3. Resposta de alerta: investigue alertas de alta gravidade imediatamente.
  4. Higiene da imagem: verificar e atualizar imagens base regularmente.
  5. Conformidade: solucionar falhas de parâmetro de comparação do CIS.
  6. Controle de acesso: examine as funções IAM e as permissões RBAC.
  7. Exclusões de documentos: acompanhe por que determinados clusters são excluídos em implantações seletivas.
  8. Implantar incrementalmente: ao usar a implantação seletiva, adicione um componente de cada vez.
  9. Monitore cada etapa: verifique cada componente antes de prosseguir para a próxima.

Limpar os recursos

Para desabilitar o Defender para Contêineres, conclua as seguintes etapas:

  1. Vá para o conector do AWS.

  2. Escolha:

    • Desative os contêineres para desabilitar o plano
    • Excluir todo o conector para remover todas as configurações

  3. Remover recursos do AWS:

    • Excluir a pilha CloudFormation
    • Desconectar clusters do Arc

Próximas etapas

  • Last updated on