使用適用於容器的 Defender 保護 Amazon Web Service (AWS) 容器
適用於容器的 Microsoft Defender 中的適用於容器的 Defender 是用來保護容器的雲端原生解決方案,因此您可以改善、監視和維護叢集、容器和其應用程式的安全性。
深入了解適用於容器的 Microsoft Defender 概觀。
您可以在價格頁面深入了解適用於容器的 Defender 價格。
必要條件
您需要 Microsoft Azure 訂用帳戶。 如果您沒有 Azure 訂用帳戶,您可以註冊免費訂用帳戶。
您必須在 Azure 訂用帳戶上啟用適用於雲端的 Microsoft Defender。
確認 Kubernetes 節點可以存取套件管理員的來源存放庫。 如需這些需求的相關資訊,請參閱網路需求。
請確定已驗證下列已啟用 Azure Arc 的 Kubernetes 網路需求。
在 AWS 帳戶上啟用適用於容器的 Defender 方案
若要保護 EKS 叢集,請在相關的 AWS 帳戶連接器上啟用容器方案。
若要在 AWS 帳戶上啟用適用於容器的 Defender 方案:
登入 Azure 入口網站。
搜尋並選取 [適用於雲端的 Microsoft Defender]。
在適用於雲端的 Microsoft Defender 功能表,選取 [環境設定]。
選取相關的 AWS 帳戶。
![螢幕擷取畫面:適用於雲端的 Defender [環境設定] 頁面顯示 AWS 連接器。](media/tutorial-enable-containers-aws/aws-account.png)
將 [容器] 方案的切換開關設定為 [開啟]。
若要變更方案的選擇性組態,請選取 [設定]。
![螢幕擷取畫面:適用於雲端的 Defender [環境設定] 頁面顯示容器方案的設定。](media/tutorial-enable-containers-aws/containers-settings.png)
適用於容器的 Defender 需要控制平面稽核記錄,以提供執行階段威脅防護。 若要將 Kubernetes 稽核記錄傳送至 Microsoft Defender,請將設定切換為 [開啟]。若要變更稽核記錄的保留期間,請輸入所需的時間範圍。
注意
如果您停用此設定,則將會停用
Threat detection (control plane)功能。 深入了解功能可用性。Kubernetes 的無代理程式探索可讓您透過 API 來探索 Kubernetes 叢集。 若要啟用 [Kubernetes 的無代理程式探索] 功能,請將設定切換為 [開啟]。
無代理程式容器弱點評量會針對儲存在 ECR 中的映像以及 EKS 叢集上的執行中映像提供弱點管理。 若要啟用 [無代理程式容器弱點評量] 功能,請將設定切換為 [開啟]。
選取 [下一步:檢閱並產生]。
選取 [更新]。
![螢幕擷取畫面:適用於雲端的 Defender [環境設定] 頁面顯示容器方案的設定。](media/tutorial-enable-containers-aws/containers-settings.png#lightbox)
注意
若要啟用或停用適用於容器的 Defender 個別功能,不論是全域或針對特定資源進行,都請參閱如何啟用適用於容器的 Microsoft Defender 元件。
在 EKS 叢集中部署 Defender 感應器
EKS 叢集上應該已安裝並且正在執行已啟用 Azure Arc 的 Kubernetes、Defender 感應器和適用於 Kubernetes 的 Azure 原則。 有適用於雲端的 Defender 專用建議,可用於安裝這些延伸模組 (如有需要也可安裝 Azure Arc):
EKS clusters should have Microsoft Defender's extension for Azure Arc installed
若要部署必要的延伸模組:
從適用於雲端的 Defender [建議]頁面中,依名稱搜尋其中一項建議。
選取狀況不良的叢集。
重要
您必須一次選取一個叢集。
請勿依其超連結名稱選取叢集:請選取相關資料列中的任何其他位置。
選取 [修正]。
適用於雲端的 Defender 會以您所選語言產生指令碼:
- 針對 Linux,選取 [Bash]。
- 針對 Windows,選取 [PowerShell]。
選取 [下載補救邏輯]。
在叢集上執行產生的指令碼。
下一步
如需適用於容器的 Defender 進階啟用功能,請參閱啟用適用於容器的 Microsoft Defender 頁面。