Partilhar via

Ative o Defender for Containers na AWS (EKS) através do portal

Este artigo mostra-lhe como ativar o Microsoft Defender para Containers nos seus clusters Amazon EKS através do portal Azure. Pode optar por ativar todas as funcionalidades de segurança de uma só vez para proteção abrangente, ou implementar seletivamente componentes específicos consoante as suas necessidades.

Quando usar este guia

Use este guia se quiser:

  • Configurar o Defender for Containers na AWS pela primeira vez
  • Ativem todas as funcionalidades de segurança para uma proteção abrangente
  • Implantar seletivamente componentes específicos
  • Corrigir ou adicionar componentes em falta a uma implementação existente
  • Implementação utilizando uma abordagem controlada e seletiva
  • Excluir certos aglomerados da proteção

Pré-requisitos

Requisitos de rede

Valide se os seguintes pontos de extremidade para implantações de nuvem pública estão configurados para acesso de saída. Configurá-los para acesso de saída ajuda a garantir que o sensor do Defender possa se conectar ao Microsoft Defender for Cloud para enviar dados e eventos de segurança.

Observação

Os domínios *.ods.opinsights.azure.com do Azure e *.oms.opinsights.azure.com não são mais necessários para acesso de saída. Para obter mais informações, consulte o anúncio de descontinuação.

Domínio do Azure Domínio do Azure Government Azure operado pelo domínio 21Vianet Port
*.cloud.defender.microsoft.com N/A N/A 443

Você também precisa validar os requisitos de rede do Kubernetes habilitados para Azure Arc.

Requisitos específicos da AWS:

  • Conta AWS com permissões apropriadas
  • Clusters EKS ativos (versão 1.19+)
  • Imagens de contentores no Amazon ECR
  • AWS CLI instalada e configurada
  • Conectividade HTTPS de saída do EKS para o Azure

Criar conector AWS

  1. Inicie sessão no portal Azure.

  2. Aceda ao Microsoft Defender para a Cloud.

  3. Seleciona as definições de Ambiente no menu esquerdo.

  4. Selecione Adicionar ambiente>Amazon Web Services.

    Captura de tela das seleções para adicionar um ambiente da AWS no Microsoft Defender for Cloud.

Configurar detalhes do conector

  1. Na secção de detalhes da conta , introduza:

    • Alias da conta: Um nome descritivo para a sua conta AWS
    • ID da conta AWS: O seu identificador de conta AWS de 12 dígitos
    • Grupo de recursos: Selecione ou crie um grupo de recursos

    Captura de tela do formulário para preencher os detalhes da conta de um ambiente da AWS no Microsoft Defender for Cloud.

  2. Selecione Avançar: Selecione planos.

Ativar funcionalidades do Defender para Containers

  1. Em Selecionar planos, mude Contentores para Ativado.

    Captura de tela de um conector da AWS nas configurações do ambiente do Defender for Cloud.

  2. Selecione Definições para aceder às opções de configuração do plano.

    Captura de tela das configurações do plano Contêineres nas configurações do ambiente do Defender for Cloud com a proteção contra ameaças sem agente realçada.

  3. Escolha a sua abordagem de implantação:

    Opção A: Ativar todos os componentes (recomendado)

    Para proteção abrangente, ative todas as funcionalidades:

    • Definir todas as opções para Ativado
    • Esta configuração oferece cobertura de segurança completa para o seu ambiente EKS

    Opção B: Ativar componentes específicos

    Selecione apenas os componentes de que precisa com base nas suas necessidades:

  4. Configure os componentes disponíveis com base na abordagem escolhida:

    • Proteção contra ameaças sem agente: Fornece proteção em tempo de execução aos seus contentores de cluster enviando registos de auditoria Kubernetes para o Microsoft Defender.

      • Defina a opção de alternância para Ativado para ativar
      • Configure o período de retenção para os seus registos de auditoria
      • Descobre todos os clusters EKS na sua conta AWS

      Observação

      Se você desabilitar essa configuração, a deteção de ameaças do plano de controle será desabilitada. Saiba mais sobre a disponibilidade de recursos.

    • Acesso API Kubernetes (Descoberta sem agente para Kubernetes): Define permissões para permitir a descoberta baseada em API dos seus clusters Kubernetes.

      • Defina o interruptor para Ativado para habilitar
      • Fornece avaliação de inventário e postura de segurança

    • Acesso ao registo (Avaliação de vulnerabilidade de contentores sem agente): Define permissões para permitir a avaliação de vulnerabilidades de imagens armazenadas em ECR.

      • Defina o interruptor para Ativado para habilitar
      • Analisa imagens de contentores à procura de vulnerabilidades conhecidas

    • Provisão automática do sensor do Defender para Azure Arc (Defender DaemonSet): Implementa automaticamente o sensor Defender em clusters com suporte Arc para deteção de ameaças em tempo de execução.

      • Altere o alternador para Ativado para habilitar
      • Fornece alertas de segurança em tempo real para proteção da carga de trabalho

    Captura de tela das seleções para habilitar o sensor Defender para Azure Arc no Microsoft Defender for Cloud.

    Sugestão

    • Para ambientes de produção, recomendamos ativar todos os componentes.
    • Para testes ou implementação gradual, comece com componentes específicos e adicione mais depois.
    • A Política Azure para Kubernetes é automaticamente implementada com o sensor Defender.

  5. Selecione Continuar e Próximo: Configurar acesso.

Configurar permissões AWS

  1. Siga as instruções na página Configurar acesso .

    Captura de tela da página para configurar o acesso para um ambiente da AWS no Microsoft Defender for Cloud.

  2. Descarregue o modelo CloudFormation a partir do portal.

  3. Implemente a pilha CloudFormation na AWS:

    1. Abrir consola AWS CloudFormation
    2. Crie um novo stack com o template transferido
    3. Analise e crie a stack

  4. Depois de terminar a criação da pilha, copie o ARN da função a partir dos resultados da pilha.

  5. Regresse ao portal do Azure e cole a função ARN.

  6. Selecione Próximo: Rever e criar.

  7. Revise a sua configuração e selecione Criar.

Implantar todos os componentes

Observação

Se selecionou ativar todos os componentes da secção anterior, siga todos os passos desta secção. Se escolher componentes específicos, complete apenas os passos relevantes para as funcionalidades selecionadas.

Siga estes passos para ativar a proteção com base na sua configuração:

Conceder permissões ao plano de controlo

Obrigatório se ativou: proteção contra ameaças sem agente ou acesso à API Kubernetes

Se ativou a descoberta sem agente para o Kubernetes, conceda permissões no plano de controlo do cluster usando um destes métodos:

  • Opção 1: Usar o script Python

    Executa este script em Python para adicionar o papel MDCContainersAgentlessDiscoveryK8sRole Defender for Cloud para aws-auth ConfigMap os clusters EKS que queres integrar.

  • Opção 2: Usar eksctl

    Conceda a cada cluster EKS da Amazon a função MDCContainersAgentlessDiscoveryK8sRole :

    eksctl create iamidentitymapping \
    --cluster my-cluster \
    --region region-code \
    --arn arn:aws:iam::account:role/MDCContainersAgentlessDiscoveryK8sRole \
    --group system:masters \
    --no-duplicate-arns

    Para obter mais informações, consulte Conceder aos usuários do IAM acesso ao Kubernetes com entradas de acesso EKS no guia do usuário do Amazon EKS.

Ligue clusters EKS ao Azure Arc

Obrigatório se estiver ativado: Provisão automática do sensor do Defender para Azure Arc

Deve-se instalar e executar o Azure Arc-enabled Kubernetes, o sensor Defender e o Azure Policy para Kubernetes nos clusters EKS. Existe uma recomendação dedicada do Defender for Cloud para instalar estas extensões:

  1. Vá para Recomendações do >

  2. Procure pela recomendação: clusters EKS devem ter a extensão do Microsoft Defender para Azure Arc instalada.

  3. Siga as etapas de correção fornecidas pela recomendação:

    Captura de tela explicando como corrigir a recomendação de clusters EKS instalando os componentes necessários do Defender for Containers.

Implantar o sensor Defender

Importante

Implantando o sensor Defender usando o Helm: Ao contrário de outras opções que são provisionadas automaticamente e atualizadas automaticamente, o Helm permite que você implante o sensor Defender de forma flexível. Essa abordagem é especialmente útil em cenários de DevOps e infraestrutura como código. Com o Helm, você pode integrar a implantação em pipelines de CI/CD e controlar todas as atualizações de sensores. Você também pode optar por receber as versões de pré-visualização e de disponibilidade geral (GA). Para obter instruções sobre como instalar o sensor Defender usando o Helm, consulte Instalar o sensor Defender for Containers usando o Helm.

Obrigatório se estiver ativado: Provisão automática do sensor do Defender para Azure Arc

Depois de ligar os seus clusters EKS ao Azure Arc, implemente o sensor Defender:

  1. Vá para Recomendações do >

  2. Procure recomendações sobre a instalação da extensão Defender em clusters com compatibilidade Arc.

  3. Selecione a recomendação e siga os passos de remediação.

  4. O sensor fornece deteção de ameaças em tempo de execução para os seus clusters.

Observação

Também pode implementar o sensor Defender usando o Helm para maior controlo sobre a configuração de implantação. Para obter instruções de implantação utilizando o Helm, consulte Implantar sensor Defender usando Helm.

Configurar a varredura de vulnerabilidades ECR

Obrigatório se ativou: Acesso ao Registo

  1. Vai às definições do teu conector AWS.

  2. Selecione Configurar ao lado do plano de Contentores.

  3. Verificar o acesso ao Registo está ativado.

  4. As imagens enviadas para ECR são automaticamente digitalizadas dentro de 24 horas.

Habilitar o registro de auditoria

Obrigatório se ativou: Proteção contra ameaças sem agente

Ative o registo de auditoria para cada cluster EKS:

# Enable audit logs
aws eks update-cluster-config \
    --name <cluster-name> \
    --logging '{"clusterLogging":[{"types":["audit","authenticator"],"enabled":true}]}'

Consulte recomendações e alertas

Para ver os alertas e recomendações para os seus clusters de EKS:

  1. Vai às páginas de alertas, recomendações ou inventário.

  2. Use os filtros para filtrar por tipo de recurso AWS EKS Cluster.

    Captura de tela de seleções para usar filtros na página de alertas de segurança do Microsoft Defender for Cloud para exibir alertas relacionados a clusters do AWS EKS.

Sugestão

Você pode simular alertas de contêiner seguindo as instruções nesta postagem do blog.

Implantar componentes específicos (opcional)

Se inicialmente optou por ativar apenas certos componentes e agora quer adicionar mais, ou se precisa de corrigir problemas com implementações existentes:

Adicionar componentes à implementação existente

  1. Vai às definições de Ambiente e seleciona o teu conector AWS.

  2. Selecione Planos do Defender>Definições ao lado de Contentores.

  3. Ative alternâncias adicionais para os componentes que pretende adicionar:

    • Proteção contra ameaças sem agente: Para proteção em tempo de execução
    • Acesso API Kubernetes: Para descoberta de clusters
    • Acesso ao registo: Para análise de vulnerabilidades ECR
    • Provisão automática do sensor do Defender: Para proteção de carga de trabalho

  4. Guarde as suas alterações e siga os passos de implementação para os componentes recém-ativados.

Observação

Você pode excluir um cluster específico da AWS do provisionamento automático. Para a implantação do sensor, aplique a ms_defender_container_exclude_agents tag no recurso com o valor true. Para implantação sem agente, aplique a ms_defender_container_exclude_agentless tag no recurso com o valor true.

Implantar o sensor Defender em clusters específicos

Para implantar o sensor apenas em clusters EKS selecionados:

  1. Liga clusters específicos ao Azure Arc (não todos os clusters).

  2. Vai a Recomendações e encontra "Clusters Kubernetes habilitados por Arc devem ter a extensão Defender instalada".

  3. Seleciona apenas os clusters onde queres o sensor.

  4. Siga os passos de remediação apenas para clusters selecionados.

Implementar componentes para clusters existentes

Se tiver clusters com componentes em falta ou avariados, siga estes passos:

Verificar o estado dos componentes

  1. Vai a Inventário e filtra por recursos da AWS.

  2. Verifique cada cluster EKS em relação a:

    • Estado da ligação em arco
    • Estado da extensão do Defender
    • Estado de extensão da apólice

Corrigir problemas de conectividade do Arc

Para clusters que aparecem como desconectados:

  1. Execute novamente o script de ligação do Arc.

  2. Verifique a conectividade da rede do cluster para o Azure.

  3. Consulte os registos do agente Arc: kubectl logs -n azure-arc -l app.kubernetes.io/component=cluster-agent

Corrigir problemas de implementação de sensores

Para clusters que não têm o sensor Defender:

  1. Verifica se a ligação do Arc está saudável.

  2. Verifique se há políticas conflitantes ou controladores de admissão.

  3. Implemente manualmente se necessário: Use a medida corretiva conforme a recomendação.

Configurar a análise ECR para registros específicos

Para digitalizar apenas registos ECR específicos:

  1. Na configuração do conector, ative a avaliação de vulnerabilidade do contentor sem agente.

  2. Use políticas AWS IAM para limitar o acesso de scanners a registos específicos.

  3. Registos de etiquetas para incluir ou excluir da digitalização.

Implementar a extensão de política do Azure seletivamente

Para implementar a avaliação de políticas apenas em clusters específicos:

  1. Depois da ligação ao Arc, vá a Política>Definições.

  2. Procure por "Configurar extensão Azure Policy on Arc-enabled Kubernetes".

  3. Crie uma tarefa com âmbito específico de grupos de recursos ou clusters.

  4. Verificar a implementação: kubectl get pods -n kube-system -l app=azure-policy

Configurar registos de auditoria para clusters específicos

Ative o registo de auditoria seletivamente:

# For specific cluster
aws eks update-cluster-config \
    --name <specific-cluster> \
    --logging '{"clusterLogging":[{"types":["audit"],"enabled":true}]}'

Verificar a implementação

Verificar a saúde dos conectores

  1. Vai a Definições de Ambiente.

  2. Selecione o seu conector AWS.

  3. Verificar:

    • Estado: Ligado
    • Última sincronização: Marca temporal recente
    • Os recursos descobertos contam

Ver recursos descobertos

  1. Vai a Inventário.

  2. Filtrar por ambiente = AWS.

  3. Certifique-se de ver:

    • Todos os clusters EKS (ou apenas os selecionados se implementados seletivamente)
    • Registros ECR
    • Imagens de contêiner

Deteção de segurança de testes

Gerar uma alerta de teste de segurança.

# Connect to an EKS cluster
aws eks update-kubeconfig --name <cluster-name> --region <region>

# Trigger a test alert
kubectl run test-alert --image=nginx --rm -it --restart=Never -- sh -c "echo test > /etc/shadow"

Verifica o alerta no Defender para a Nuvem em 5 a 10 minutos.

Solução de problemas

Problemas de implementação

Se os componentes não forem implantados:

  1. Verifique a ligação Arc: Certifique-se de que os clusters aparecem como Conectados
  2. Verificar a função IAM: Confirme que a função tem todas as permissões necessárias
  3. Rede de análise: Verifique a conectividade HTTPS de saída
  4. Verifique as quotas: Verifique se as quotas de serviços AWS não foram ultrapassadas

Módulos de sensores não iniciam

# Check pod status
kubectl describe pods -n kube-system -l app=microsoft-defender

# Common issues:
# - Image pull errors: Check network connectivity
# - Permission denied: Verify RBAC settings
# - Resource constraints: Check node resources

Extensão do arco bloqueada

# Check extension status
az k8s-extension show \
    --cluster-name <cluster-name> \
    --resource-group <rg> \
    --cluster-type connectedClusters \
    --name microsoft.azuredefender.kubernetes

# If stuck, delete and recreate
az k8s-extension delete \
    --cluster-name <cluster-name> \
    --resource-group <rg> \
    --cluster-type connectedClusters \
    --name microsoft.azuredefender.kubernetes

A digitalização ECR não funciona

  1. Verifica se a função IAM tem permissões ECR.

  2. Verifica se o scanner consegue aceder a registos.

  3. Garanta que as imagens estão nas regiões suportadas.

  4. Consulte os registos do scanner no espaço de trabalho Log Analytics.

Problemas comuns de verificação

  • Recursos em falta: Espere 15-30 minutos para a identificação.
  • Cobertura parcial: Verifique a configuração dos recursos excluídos.
  • Sem alertas: Assegure-se de que o registo de auditoria está ativado.
  • Falhas de varredura: Verifique as permissões do ECR e o acesso à rede.

Melhores práticas

  1. Comece com não-produção: Teste primeiro em clusters de desenvolvimento/teste para implementação seletiva.
  2. Avaliações regulares: Consulte o painel semanalmente.
  3. Resposta ao alerta: Investigue alertas de alta gravidade rapidamente.
  4. Higiene da imagem: Verificar e atualizar regularmente as imagens base.
  5. Conformidade: Resolver falhas nos benchmarks CIS.
  6. Controlo de acesso: Reveja as funções IAM e as permissões RBAC.
  7. Exclusões de documentos: Acompanhe por que certos clusters são excluídos em implementações seletivas.
  8. Implementar de forma incremental: Ao usar implantação seletiva, adicione um componente de cada vez.
  9. Monitorize cada etapa: Verifique cada componente antes de avançar para o seguinte.

Limpeza de recursos

Para desativar o Defender for Containers, complete os seguintes passos:

  1. Aceda ao seu conector AWS.

  2. Escolha uma das opções:

    • Desligar os Contentores para desativar o plano
    • Apague todo o conector para remover todas as configurações

  3. Remover recursos da AWS:

    • Eliminar a pilha CloudFormation
    • Desconectar clusters do Arc

Próximos passos

  • Last updated on