Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Este artigo descreve como instalar e configurar o sensor Microsoft Defender for Containers em clusters AKS, EKS e GKE usando Helm. Você aprenderá sobre pré-requisitos, habilitação do Defender for Containers e instruções de implantação passo a passo para diferentes ambientes.
Pré-requisitos gerais
Certifique-se de que todos os requisitos de pré-requisito para o sensor Defender for Containers sejam atendidos, conforme descrito nos requisitos de rede do sensor Defender.
Etapa 1: Ativar o Defender for Containers
Se o seu plano do Defender for Containers ainda não estiver ativado, siga estas etapas:
No portal do Azure, vá para Microsoft Defender for Cloud e selecione a assinatura para os clusters onde você deseja instalar o gráfico Helm. Em EKS e GKE, selecione o ambiente com esses clusters (o conector de segurança para a conta EKS ou GKE com o cluster).
Em Cloud Workload Protection Platform (CWPP), localize o plano Containers e mude o alternador para On.
Ao lado do plano Contêineres , selecione Configurações.
No painel Configurações e monitoramento , verifique se as seguintes alternâncias estão definidas como Ativado:
- Sensor Defender
- Conclusões de segurança
- Acesso ao registo
Agora você está pronto para configurar o sensor Defender for Containers com o Helm.
Passo 2: Instale o gráfico de leme dos sensores
Apenas para AKS Automatic
Execute o seguinte comando para o AKS Automatic:
# Update Azure CLI to the latest version
az upgrade
# If you don't have the AKS preview extension installed yet
az extension add --name aks-preview
# Update the AKS extension specifically
az extension update --name aks-preview
Pré-requisitos de instalação
Helm >= 3,8 (o suporte OCI está Disponível Geralmente)
Função de proprietário do grupo de recursos para o cluster de destino (AKS) ou conector de segurança (EKS ou GKE)
ID de recurso do Azure para o cluster de destino
Observação
Use o seguinte comando para gerar uma lista dos IDs de recursos do Azure dos seus clusters AKS, dados um
<SUBSCRIPTION_ID>e<RESOURCE_GROUP>.az aks list \ --subscription <SUBSCRIPTION_ID> \ --resource-group <RESOURCE_GROUP> \ --query "[].id" \ -o tsv
AKS
Antes de instalar o sensor, remova todas as políticas conflitantes. Essas atribuições de política fazem com que a versão GA do sensor seja implantada no cluster. Pode encontrar a lista de definições de política para a sua subscrição em Política - Microsoft Azure. O ID para a política conflitante é 64def556-fbad-4622-930e-72d1d5589bf5.
Execute o seguinte script para removê-los usando a CLI do Azure:
delete_conflicting_policies.sh
Execute o script com o comando:
delete_conflicting_policies.sh <CLUSTER_AZURE_RESOURCE_ID>
Observação
Esse script remove o grupo de recursos e as políticas de nível de assinatura para configurar a versão GA do Defender for Containers, o que pode afetar clusters diferentes daquele que você está configurando.
O script a seguir instala o sensor Defender for Containers (e remove qualquer implantação existente, se houver):
install_defender_sensor_aks.sh
Execute o script com o comando:
install_defender_sensor_aks.sh <CLUSTER_AZURE_RESOURCE_ID> <RELEASE_TRAIN> <VERSION>
No comando a seguir, substitua os espaços reservados <CLUSTER_AZURE_RESOURCE_ID>, <RELEASE_TRAIN> e <VERSION> pelos seus próprios valores. Utilize 'public' para as versões de pré-visualização pública (0.9.x). Para <VERSION>, use 'mais recente' ou uma versão semântica específica.
Observação
Esse script define um novo contexto kubeconfig e pode criar um espaço de trabalho do Log Analytics em sua conta do Azure.
EKS/GKE
O script a seguir instala o sensor Defender for Containers (e remove qualquer implantação existente, se houver):
Defina seu contexto kubeconfig para o cluster de destino e execute o script com o comando:
install_defender_sensor_mc.sh <SECURITY_CONNECTOR_AZURE_RESOURCE_ID> <RELEASE_TRAIN> <VERSION> <DISTRIBUTION> [<ARC_CLUSTER_RESOURCE_ID>]
No comando a seguir, substitua o texto dos espaços reservados <SECURITY_CONNECTOR_AZURE_RESOURCE_ID>, <RELEASE_TRAIN>, <VERSION>, <DISTRIBUTION> e <ARC_CLUSTER_RESOURCE_ID> pelos seus próprios valores. Observe que ARC_CLUSTER_RESOURCE_ID é um parâmetro opcional e só deve ser usado para clusters existentes que usam a extensão de arco do Defender for Containers e desejam provisionar o sensor via Helm ou usar arc cluster e desejam provisionar o sensor via Helm.
Para <SECURITY_CONNECTOR_AZURE_RESOURCE_ID>:
Configurar um conector de segurança para sua conta da AWS ou GCP
Observação
Para instalar o gráfico Helm em um cluster EKS ou GKE, verifique se a conta do cluster está conectada ao Microsoft Defender for Cloud. Consulte Conectar sua conta da AWS ou Conectar seu projeto GCP.
Obter sua ID de recurso do Azure
Observação
Para instalar o gráfico Helm em um cluster EKS ou GKE, você precisa do ID de recurso do conector de segurança para a conta à qual o cluster pertence. Execute o comando az resource show CLI para obter esse valor.
Por exemplo:
az resource show \ --name <connector-name> \ --resource-group <resource-group-name> \ --resource-type "Microsoft.Security/securityConnectors" \ --subscription <subscription-id> \ --query id -o tsvNeste exemplo, substitua o texto de espaço reservado
<connector-name>,<resource-group-name>e<subscription-id>pelos seus valores.
Utilize 'public' para as versões de pré-visualização pública (0.9.x). Para <VERSION>, use 'mais recente' ou uma versão semântica específica. Para <DISTRIBUTION>, use eks ou gke.
Observação
Esse script pode criar um espaço de trabalho do Log Analytics em sua conta do Azure.
Execute o seguinte comando para verificar se a instalação foi bem-sucedida:
helm list --namespace mdc
O campo STATUS deve indicar implantado.
Regras de segurança para implantação fechada
Você pode definir regras de segurança para controlar o que pode ser implantado em seus clusters Kubernetes. Essas regras permitem bloquear ou auditar imagens de contêiner com base em critérios de segurança, como imagens com muitas vulnerabilidades.
Acesso às regras de segurança
- Navegue até o Painel do Microsoft Defender for Cloud (MDC).
- No painel de navegação esquerdo, selecione Configurações do ambiente.
- Selecione o bloco Regras de segurança.
Configurando regras de avaliação de vulnerabilidade
- Na página Regras de segurança, navegue até Avaliação de vulnerabilidades na seção Implantação fechada .
- Crie ou edite suas regras de segurança conforme necessário.
Importante
Para instalações Helm:
- Aviso de suporte de assinatura: ao criar regras, sua assinatura selecionada pode ser marcada como "não suportada para implantação fechada". Isso ocorre porque você instalou os componentes do Defender for Containers usando o Helm em vez de por meio da instalação automática do painel.
- Ignorar instalação automática: Se solicitado a ativar o gating na terceira guia da janela de edição da regra de segurança, certifique-se de pressionar Ignorar. Essa opção permite a instalação automática, o que entra em conflito com a implantação existente do Helm.
Recomendação existente para provisionar o sensor
Observação
Se você usar o Helm para configurar o sensor, ignore as recomendações existentes.
Para AKS:
Para multicloud:
Atualizar uma implantação existente baseada em Helm
Execute o seguinte comando para atualizar uma implantação existente baseada em Helm:
helm upgrade microsoft-defender-for-containers-sensor \
oci://mcr.microsoft.com/azuredefender/microsoft-defender-for-containers-sensor \
--devel \
--reuse-values