Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Este artigo explica como implementar componentes Defender for Containers nos seus clusters Amazon EKS utilizando ferramentas de linha de comandos e métodos de automação.
Sugestão
Para uma experiência guiada no portal, consulte Ativar todos os componentes através do portal.
Pré-requisitos
Requisitos de rede
Valide se os seguintes pontos de extremidade para implantações de nuvem pública estão configurados para acesso de saída. Configurá-los para acesso de saída ajuda a garantir que o sensor do Defender possa se conectar ao Microsoft Defender for Cloud para enviar dados e eventos de segurança.
Observação
Os domínios *.ods.opinsights.azure.com do Azure e *.oms.opinsights.azure.com não são mais necessários para acesso de saída. Para obter mais informações, consulte o anúncio de descontinuação.
| Domínio do Azure | Domínio do Azure Government | Azure operado pelo domínio 21Vianet | Port |
|---|---|---|---|
| *.cloud.defender.microsoft.com | N/A | N/A | 443 |
Você também precisa validar os requisitos de rede do Kubernetes habilitados para Azure Arc.
Ferramentas necessárias:
- Azure CLI (versão 2.40.0 ou posterior)
- AWS CLI configurada com credenciais apropriadas
-
kubectlconfigurados para os seus clusters EKS
Ativar o Defender para Contêineres
Para ativar o plano Defender for Containers na sua subscrição, veja Ativar o Microsoft Defender para a Cloud. Pode ativar o plano através do portal Azure, API REST ou Azure Policy.
Ligar a conta AWS
Antes de implementar o sensor Defender, ligue a sua conta AWS ao Microsoft Defender for Cloud. Para instruções, consulte Associar a sua conta AWS.
Ligue clusters EKS ao Azure Arc
Ligue os seus clusters EKS ao Azure Arc para ativar o sensor Defender. Para instruções, consulte Ligar um cluster Kubernetes existente ao Azure Arc.
Implantar o sensor Defender
Depois de ligar a sua conta AWS e os clusters EKS ao Azure Arc, implemente a extensão do sensor Defender.
Implementar usando o script de instalação
O script seguinte instala o sensor Defender for Containers e remove qualquer implementação existente, caso exista:
Defina o seu contexto kubeconfig para o cluster alvo e execute o script:
install_defender_sensor_mc.sh <SECURITY_CONNECTOR_AZURE_RESOURCE_ID> <RELEASE_TRAIN> <VERSION> <DISTRIBUTION> [<ARC_CLUSTER_RESOURCE_ID>]
Substitui o texto provisório pelos teus próprios valores.
ARC_CLUSTER_RESOURCE_ID é um parâmetro opcional para clusters existentes que utilizam a extensão Defender for Containers Arc.
Obtenha o ID do recurso do conector de segurança
Para instalar o gráfico de Helm num cluster EKS, precisas do ID do recurso do conector de segurança da conta a que o teu cluster pertence. Execute o seguinte comando Azure CLI para obter este valor:
az resource show \
--name <connector-name> \
--resource-group <resource-group-name> \
--resource-type "Microsoft.Security/securityConnectors" \
--subscription <subscription-id> \
--query id -o tsv
Substitui o texto <connector-name>provisório , <resource-group-name>, e <subscription-id> pelos teus valores.
Valores dos parâmetros
- Para
<RELEASE_TRAIN>, usepublicpara as versões públicas de pré-visualização (0.9.x) - Para o
<VERSION>, utilize olatestou uma versão semântica específica. - Para
<DISTRIBUTION>, useeks
Observação
Esse script pode criar um espaço de trabalho do Log Analytics em sua conta do Azure.
Implementar com a CLI do Azure
Alternativamente, implemente a extensão do sensor Defender usando Azure CLI:
az k8s-extension create \
--name microsoft.azuredefender.kubernetes \
--extension-type microsoft.azuredefender.kubernetes \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group> \
--configuration-settings \
logAnalyticsWorkspaceResourceID="/subscriptions/<subscription-id>/resourceGroups/<rg>/providers/Microsoft.OperationalInsights/workspaces/<workspace-name>"
Depois de ativar o sensor Defender, pode configurar definições adicionais. Para mais informações, consulte Configurar o sensor Defender para Containers implementado com Helm.
Implementar a extensão Azure Policy
Implemente a extensão Azure Policy para permitir a aplicação de políticas nos seus clusters EKS:
az k8s-extension create \
--name azure-policy \
--extension-type Microsoft.PolicyInsights \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group>