Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo descreve como instalar e configurar o sensor do Microsoft Defender para Contêineres em clusters AKS, EKS e GKE usando o Helm. Você aprenderá sobre os pré-requisitos, a habilitação do Defender para Contêineres e as instruções de implantação passo a passo para ambientes diferentes.
O Defender para Contêineres dá suporte a vários modelos de implantação para implantar o sensor, incluindo provisionamento automático e instalação baseada em Helm. A implantação baseada no Helm fornece maior coordenação sobre o controle de versão do sensor e o tempo de upgrade, mas ela transfere alguma responsabilidade operacional para você. Ao usar a implantação baseada no Helm, considere:
Atualizações de sensor: usando a implantação baseada no Helm, você gerencia atualizações de sensor e tempo de atualização. O provisionamento automático segue os agendamentos de distribuição gerenciados pela Microsoft.
Fluxos automáticos de instalação: ao implantar o sensor usando o Helm, ignore as solicitações e recomendações de instalação automática no portal do Azure para evitar conflitos com a implantação existente.
Pré-requisitos gerais
Implemente todos os pré-requisitos para o sensor do Defender para Contêineres, conforme descrito nos requisitos de rede do sensor do Defender.
Habilite o Defender para Contêineres na assinatura de destino ou no conector de segurança:
- Assinatura do Azure: Habilitar o Defender para Contêineres no AKS por meio do portal
- Amazon Web Services (AWS): Habilitar o Defender para Contêineres no AWS (EKS) por meio do portal
- Projeto do Google Cloud (GCP): Habilitar o Defender para Contêineres no GCP (GKE) por meio do portal
- Kubernetes habilitado por Arc (ARC): Habilitar o Defender para Contêineres no Kubernetes habilitado por Arc por meio do portal
Verifique se os seguintes componentes do plano do Defender para Contêineres estão habilitados:
- Sensor do Defender
- Descobertas de segurança
- Acesso ao Registro
Instalar o gráfico do Helm de sensores
Dependendo do tipo de implantação, siga as instruções relevantes para instalar o sensor do Defender para Contêineres usando o Helm:
-
AKS & AKS Automático - EKS e GKE
Pré-requisitos
Somente AKS Automático: execute o seguinte comando para o AKS Automatic:
# Update Azure CLI to the latest version
az upgrade
# If you don't have the AKS preview extension installed yet
az extension add --name aks-preview
# Update the AKS extension specifically
az extension update --name aks-preview
AKS e AKS Automático:
Helm versão 3.8 ou posterior (a versão disponível dá suporte a OCI)
A CLI do Azure deve estar instalada e conectada a uma conta que possua a função de proprietário em um grupo de recursos para o cluster de destino.
ID de recurso do Azure para o cluster de destino
Observação
Para gerar uma lista das IDs de recursos do Azure dos clusters do AKS, use o seguinte comando com a
<SUBSCRIPTION_ID>e<RESOURCE_GROUP>:az aks list \ --subscription <SUBSCRIPTION_ID> \ --resource-group <RESOURCE_GROUP> \ --query "[].id" \ -o tsvSeu ambiente pode ter atribuições de política que podem fazer com que a versão disponível do Sensor seja implantada. É recomendável verificar e remover as políticas conflitantes antes de prosseguir com a instalação:
A ID da atribuição de política é
64def556-fbad-4622-930e-72d1d5589bf5.Examine a lista de definições de política para sua assinatura e pesquise essa atribuição de política para removê-la.
Ou execute o script delete_conflicting_policies.sh com o seguinte comando:
delete_conflicting_policies.sh <CLUSTER_AZURE_RESOURCE_ID>Esse comando remove as políticas de nível de assinatura e grupo de recursos a fim de configurar a versão GA (disponível para o público geral) do Defender para Contêineres. Ele pode afetar clusters diferentes do que você está configurando.
Installation
Use o script install_defender_sensor_aks.sh para instalar o sensor do Defender para Contêineres e remover qualquer implantação existente.
Execute o script com o comando:
install_defender_sensor_aks.sh --resource-id <CLUSTER_AZURE_RESOURCE_ID> [--version <VERSION>] [--namespace <NAMESPACE>]
Substitua o texto de espaço reservado <CLUSTER_AZURE_RESOURCE_ID> e os parâmetros opcionais por seus próprios valores:
Substitua
<CLUSTER_AZURE_RESOURCE_ID>pela ID de recurso do Azure do cluster do AKS.Substitua por
<VERSION>:-
latestpara a versão mais recente. - Uma versão semântica específica.
-
Para clusters automáticos do AKS, substitua
<NAMESPACE>porkube-system. Para clusters padrão do AKS, não especifique o--namespaceparâmetro. O namespace padrão émdc.
Observação
Esse script define um novo kubeconfig contexto e pode criar um espaço de trabalho do Log Analytics em sua conta do Azure.
Verificar a instalação
Verifique se a instalação foi bem-sucedida usando o namespace usado durante a instalação:
Para AKS padrão, EKS e GKE:
helm list --namespace mdc
Para o AKS Automatic:
helm list --namespace kube-system
A instalação será bem-sucedida se o campo STATUS exibir implantado.
Configurar regras de segurança para implantação fechada
Observação
A implantação com restrição do Kubernetes tem suporte em clusters automáticos do AKS somente quando o sensor é instalado usando o Helm no namespace kube-system. O suporte à implantação de complementos não é oferecido para esse cenário.
Importante
Aviso de suporte à assinatura: quando você cria regras, sua assinatura selecionada pode ser mostrada como not supported for Gated deployment. Esse status ocorre porque você instalou os componentes do Defender para Contêineres usando o Helm e não por meio da instalação automática do painel.
Defina regras de segurança para controlar o que você pode implantar em seus clusters do Kubernetes. Essas regras ajudam você a bloquear ou auditar imagens de contêiner com base em critérios de segurança, como imagens com muitas vulnerabilidades.
Entre no portal do Azure.
Vá para asconfigurações do >.
Selecione regras de segurança.
Selecione Implantação fechada>Avaliação de vulnerabilidade.
Selecione uma regra para editá-la ou selecionar + Adicionar regra para criar uma nova.
Gerenciar recomendações existentes
Importante
Se você configurar o sensor usando o Helm, ignore as recomendações existentes.
Dependendo do tipo de implantação, selecione a recomendação relevante para exibir as recomendações existentes no portal do Azure:
Atualize uma implantação existente baseada em Helm
Com a implantação baseada no Helm, você gerencia as atualizações de sensores. O Defender para Nuvem não os aplica automaticamente.
Execute o seguinte comando para atualizar uma implantação existente baseada em Helm:
helm upgrade microsoft-defender-for-containers \
oci://mcr.microsoft.com/azuredefender/microsoft-defender-for-containers \
--version <version> \
--reuse-values