使用 Defender for Containers 保护 Amazon Web Service (AWS) 容器

Microsoft Defender for Cloud 中的 Defender for Containers 是一款用于保护容器的云原生解决方案，可用于改进、监视和维护群集、容器及其应用程序的安全性。

有关详细信息，请参阅 Microsoft Defender for Containers 概述。

你可以在定价页上了解有关 Defender for Containers 定价的更多信息。 还可以 使用 Defender for Cloud 成本计算器估算成本。

先决条件

• 需要 Microsoft Azure 订阅。 如果你没有 Azure 订阅，可以注册免费订阅。

• 必须在 Azure 订阅上启用 Microsoft Defender for Cloud。

• 将 AWS 帐户连接到 Microsoft Defender for Cloud

• 验证 Kubernetes 节点是否可以访问包管理器的源存储库。 有关相应要求的信息，请参阅网络要求。

• 确保验证以下已启用 Azure Arc 的 Kubernetes 网络要求。

在 AWS 帐户上启用 Defender for Containers 计划

若要保护 EKS 群集，需要对相关的 AWS 帐户连接器启用容器计划。

若要在 AWS 帐户上启用 Defender for Containers 计划，请执行以下操作：

1. 登录 Azure 门户。

2. 搜索并选择“Microsoft Defender for Cloud”。

3. 在 Defender for Cloud 菜单中，选择“环境设置”。

4. 选择相关 AWS 帐户。

   

5. 将“容器”计划的开关切换到“打开”。

   

6. 若要更改计划的可选配置，请选择“设置”。

   

   • 无代理威胁防护功能为群集容器提供运行时保护。 此功能将 Kubernetes 审核日志发送到 Microsoft Defender。 将 无代理威胁防护 开关设置为 “开” ，并设置审核日志的保留期。

     注意

     如果禁用此配置，将禁用 Threat detection (control plane) 功能。 详细了解功能可用性。

   • K8S API 访问 设置权限，以便使用 API 发现您的 Kubernetes 群集。 若要启用，请将 K8S API 访问 开关设置为 “开”。

   • 注册表访问权限 设置权限，以允许对 ECR 中存储的映像进行漏洞评估。 若要启用，请将 注册表访问 开关设置为 “打开”。

7. 选择“下一步: 审阅并生成”。

8. 选择“更新”。

在 EKS 群集中部署 Defender 传感器

EKS 群集上应安装并运行已启用 Azure Arc 的 Kubernetes、Defender 传感器和适用于 Kubernetes 的 Azure Policy。 有一个专门的 Defender for Cloud 建议可以用于安装这些扩展（如有必要，还可以安装 Azure Arc）：

• EKS clusters should have Microsoft Defender's extension for Azure Arc installed

若要部署所需的扩展，请执行以下操作：

1. 在 Defender for Cloud 的“建议”页中，按名称搜索其中一条建议。

2. 选择不正常的群集。

   重要

   必须逐一选择群集。

   请勿按超链接名称选择群集：选择相关行中的任何其他位置。

3. 选择“修复”。

4. Defender for Cloud 将使用所选语言生成脚本：

   • 对于 Linux，请选择“Bash”。
   • 对于 Windows，请选择“PowerShell”。

5. 选择“下载修正逻辑”。

6. 在群集上运行生成的脚本。

后续步骤

• 有关 Defender for Containers 的高级启用功能，请参阅启用 Microsoft Defender for Containers 页面。

• Microsoft Defender for Containers 概述。