Ochrana kontejnerů Google Cloud Platform (GCP) pomocí defenderu for Containers

Defender for Containers v Programu Microsoft Defender for Cloud je cloudové nativní řešení, které slouží k zabezpečení kontejnerů, abyste mohli zlepšit, monitorovat a udržovat zabezpečení clusterů, kontejnerů a jejich aplikací.

Přečtěte si další informace o přehledu služby Microsoft Defender for Containers.

Další informace o cenách Defenderu pro kontejner najdete na stránce s cenami.

Požadavky

• Budete potřebovat předplatné Microsoft Azure. Pokud předplatné Azure nemáte, můžete si zaregistrovat bezplatné předplatné.

• Ve svém předplatném Azure musíte povolit Microsoft Defender for Cloud .

• Připojte své projekty GCP ke službě Microsoft Defender for Cloud.

• Ověřte, že uzly Kubernetes mají přístup ke zdrojovým úložištím správce balíčků.

• Ujistěte se, že jsou ověřeny následující požadavky na síť Kubernetes s podporou Služby Azure Arc.

Povolení plánu Defender for Containers v projektu GCP

Ochrana clusterů Google Kubernetes Engine (GKE):

1. Přihlaste se k portálu Azure.

2. Vyhledejte a vyberte možnost Microsoft Defender for Cloud.

3. V nabídce Defender for Cloud vyberte Nastavení prostředí.

4. Vyberte příslušný projekt GCP.

   

5. Vyberte tlačítko Další: Vyberte plány.

6. Ujistěte se, že je plán Kontejnery přepnul na Zapnuto.

   

7. Pokud chcete změnit volitelné konfigurace plánu, vyberte Nastavení.

   

   • Protokoly auditu Kubernetes do Defenderu pro cloud: Ve výchozím nastavení je povoleno. Tato konfigurace je dostupná pouze na úrovni projektu GCP. Poskytuje kolekci dat protokolu auditu bez agentů prostřednictvím protokolování cloudu GCP do back-endu Microsoft Defenderu for Cloud pro účely další analýzy. Defender for Containers vyžaduje protokoly auditu řídicí roviny pro zajištění ochrany před hrozbami za běhu. Pokud chcete odesílat protokoly auditu Kubernetes do Microsoft Defenderu, přepněte nastavení na Zapnuto.

     Poznámka:

     Pokud tuto konfiguraci zakážete, Threat detection (control plane) funkce bude zakázaná. Přečtěte si další informace o dostupnosti funkcí.

   • Senzor automatického zřizování Defenderu pro rozšíření Azure Arc a Automatické zřizování azure Policy pro Azure Arc: Ve výchozím nastavení je povoleno. Kubernetes s podporou Azure Arc a jeho rozšíření můžete do clusterů GKE nainstalovat třemi způsoby:

     • Povolení automatického zřizování Defenderu pro kontejnery na úrovni projektu, jak je vysvětleno v pokynech v této části. Tuto metodu doporučujeme.
     • Pro instalaci jednotlivých clusterů použijte Defender pro cloudová doporučení. Zobrazí se na stránce doporučení Microsoft Defenderu pro cloud. Zjistěte, jak nasadit řešení do konkrétních clusterů.
     • Ručně nainstalujte Kubernetes a rozšíření s podporou Arc.

   • Zjišťování bez agentů pro Kubernetes poskytuje zjišťování clusterů Kubernetes založené na rozhraní API. Pokud chcete povolit zjišťování bez agentů pro funkci Kubernetes , přepněte nastavení na Zapnuto.

   • Posouzení ohrožení zabezpečení kontejneru bez agentů poskytuje správa ohrožení zabezpečení pro image uložené v registrech Google (GAR a GCR) a spouštění imagí v clusterech GKE. Pokud chcete povolit funkci Posouzení ohrožení zabezpečení kontejneru bez agentů, přepněte nastavení na Zapnuto.

8. Vyberte tlačítko Kopírovat.

   

9. Vyberte tlačítko GCP Cloud Shell.

10. Vložte skript do terminálu Cloud Shell a spusťte ho.

    Konektor se po spuštění skriptu aktualizuje. Dokončení tohoto procesu může trvat až 6 až 8 hodin.

11. Vyberte Další: Zkontrolovat a vygenerovat>.

12. Vyberte Aktualizovat.

Nasazení řešení do konkrétních clusterů

Pokud jste zakázali některou z výchozích konfigurací automatického zřizování na vypnuto, během procesu onboardingu konektoru GCP nebo potom. Potřebujete ručně nainstalovat Kubernetes s podporou služby Azure Arc, senzor Defenderu a Azure Policy pro Kubernetes do každého clusteru GKE, abyste získali plnou hodnotu zabezpečení z defenderu pro kontejnery.

Existují dvě vyhrazená doporučení defenderu pro cloud, která můžete použít k instalaci rozšíření (a v případě potřeby Arc):

• GKE clusters should have Microsoft Defender's extension for Azure Arc installed
• GKE clusters should have the Azure Policy extension installed

Poznámka:

Při instalaci rozšíření Arc musíte ověřit, že zadaný projekt GCP je stejný jako projekt v příslušném konektoru.

Nasazení řešení do konkrétních clusterů:

1. Přihlaste se k portálu Azure.

2. Vyhledejte a vyberte možnost Microsoft Defender for Cloud.

3. V nabídce Defender for Cloud vyberte Doporučení.

4. Na stránce Doporučení pro Defender for Cloud vyhledejte každou z výše uvedených doporučení podle názvu.

   

5. Vyberte cluster GKE, který není v pořádku.

   Důležité

   Clustery musíte vybrat po jednom.

   Nevybírejte clustery podle jejich názvů hypertextových odkazů: vyberte kdekoli jinde na příslušném řádku.

6. Vyberte název prostředku, který není v pořádku.

7. Vyberte možnost Opravit.

   

8. Defender for Cloud vygeneruje skript v jazyce podle vašeho výběru:

   • V případě Linuxu vyberte Bash.
   • Pro Windows vyberte PowerShell.

9. Vyberte Možnost Stáhnout logiku nápravy.

10. Spusťte vygenerovaný skript v clusteru.

11. Opakujte kroky 3 až 10 pro druhé doporučení.

Další kroky

• Pokročilé funkce povolení pro Defender for Containers najdete na stránce Povolit Microsoft Defender for Containers .

• Přehled programu Microsoft Defender for Containers