Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Defender для контейнеров в Microsoft Defender для облака — это облачное решение, которое используется для защиты контейнеров, чтобы улучшить, отслеживать и поддерживать безопасность кластеров, контейнеров и их приложений.
Дополнительные сведения о Microsoft Defender для контейнеров.
Дополнительные сведения о ценах Defender для контейнера см. на странице цен. Вы также можете оценить затраты с помощью калькулятора затрат Defender для облака.
Необходимые компоненты
Вам потребуется подписка Microsoft Azure . Если у вас нет подписки Azure, вы можете зарегистрироваться для бесплатной подписки.
Необходимо включить Microsoft Defender для облака в подписке Azure.
Подключение учетной записи AWS к Microsoft Defender для облака
Убедитесь, что узлы Kubernetes могут получить доступ к исходным репозиториям диспетчера пакетов. Сведения о требованиях см. в разделе "Требования к сети".
Убедитесь, что проверяются следующие требования к сети с поддержкой Azure Arc.
Включение плана Defender для контейнеров в учетной записи AWS
Чтобы защитить кластеры EKS, необходимо включить план контейнеров в соответствующем соединителе учетной записи AWS.
Чтобы включить план Defender для контейнеров в учетной записи AWS, выполните следующие действия.
Войдите на портал Azure.
Найдите и выберите Microsoft Defender для облака.
В меню Defender для облака выберите параметры среды.
Выберите необходимую учетную запись AWS.
Установите переключатель для плана контейнеров в положение Вкл.
Чтобы изменить необязательные конфигурации для плана, выберите "Параметры".
Функция защиты от угроз без агента обеспечивает защиту среды выполнения для контейнеров кластера. Функция отправляет журналы аудита Kubernetes в Microsoft Defender. Установите переключатель защиты от угроз без агента в положение Включено и задайте период хранения журналов аудита.
Примечание.
Если отключить эту конфигурацию, функция
Threat detection (control plane)будет отключена. См. дополнительные сведения о доступности функций.Доступ к API K8S устанавливает разрешения, чтобы разрешить обнаружение кластеров Kubernetes на основе API. Чтобы включить, переключите доступ к API K8S в положение Вкл.
Примечание.
Если общедоступная конечная точка кластера EKS ограничена, параметры кластера будут автоматически обновлены, чтобы включить блок CIDR в Microsoft Defender для Облака. Для Защитника для облака требуется разрешение доступа к серверу API Kubernetes из следующих диапазонов IP-адресов: 172.212.245.192/28, 48.209.1.192/28.
Доступ к реестру задает разрешения для разрешения оценки уязвимостей образов, хранящихся в ECR. Чтобы включить, установите переключатель Доступ к реестру в положение Вкл.
Нажмите кнопку Next: Review and generate (Далее: проверка и создание).
Выберите Обновить.
Примечание.
Сведения о включении или отключении отдельных возможностей Defender для контейнеров (глобально или для определенных ресурсов) см. в статье "Включение компонентов Microsoft Defender для контейнеров".
Развертывание датчика Defender в кластерах EKS
Внимание
Развертывание датчика Defender с помощью Helm: в отличие от других параметров, которые автоматически подготавливаются и обновляются автоматически, Helm позволяет гибко развертывать датчик Defender. Этот подход особенно полезен в сценариях DevOps и инфраструктуры как кода. С помощью Helm вы можете интегрировать развертывание в конвейеры CI/CD и управлять всеми обновлениями датчиков. Вы также можете получать предварительные и общедоступные версии. Инструкции по установке датчика Defender с помощью Helm см. в разделе "Установка датчика Defender для контейнеров" с помощью Helm.
Kubernetes с поддержкой Azure Arc, датчик Defender и Политика Azure для Kubernetes должны быть установлены и запущены в кластерах EKS. Существует выделенная Defender для облака рекомендация, которую можно использовать для установки этих расширений (и Azure Arc при необходимости):
EKS clusters should have Microsoft Defender's extension for Azure Arc installed
Чтобы развернуть необходимые расширения, выполните следующие действия.
На странице Рекомендации в Defender для облака найдите одну из рекомендаций по имени.
Выберите неработоспособный кластер.
Внимание
Необходимо выбирать кластеры по одному за раз.
Не выбирайте кластеры по именам гиперссылок: делайте выбор по любому другому элементу в соответствующей строке.
Выберите элемент Исправить.
Defender для облака создает скрипт на выбранном языке:
- Для Linux выберите Bash.
- Для Windows выберите PowerShell.
Выберите элемент Download remediation logic (Скачать логику исправления).
Запустите созданный скрипт в кластере.
Следующие шаги
Дополнительные возможности включения для контейнеров Defender для контейнеров см. на странице "Включение Microsoft Defender для контейнеров ".