Freigeben über


Schützen Ihrer Google Cloud Platform-Ccontainer (GCP) mit Defender for Containers

Microsoft Defender for Containers in Microsoft Defender for Cloud ist die cloudnative Lösung, die zum Schutz Ihrer Container verwendet wird, damit Sie die Sicherheit Ihrer Cluster, Container und Anwendungen verbessern, überwachen und verwalten können.

Weitere Informationen finden Sie unter Übersicht zu Microsoft Defender for Containers.

Weitere Informationen zu den Preisen von Defender for Containers finden Sie in der Preisübersicht.

Voraussetzungen

Aktivieren des Defender for Container-Plans in Ihrem GCP-Projekt

Schützen von GKE-Clustern (Google Kubernetes Engine):

  1. Melden Sie sich beim Azure-Portal an.

  2. Suchen Sie nach Microsoft Defender für Cloud und wählen Sie es aus.

  3. Wählen Sie im Menü von Defender for Cloud die Option Umgebungseinstellungen aus.

  4. Wählen Sie das relevante GCP-Projekt aus.

    Screenshot eines GCP-Beispielconnectors

  5. Wählen Sie die Schaltfläche Weiter: Pläne auswählen aus.

  6. Stellen Sie sicher, dass der Containerplan aktiviert ist.

    Der Screenshot zeigt, dass der Containerplan aktiviert ist.

  7. Um optionale Konfigurationen für den Plan zu ändern, wählen Sie Einstellungen aus.

    Screenshot: Defender for Cloud-Umgebungseinstellungsseite mit den Einstellungen für den Containers-Plan

    • Kubernetes-Überwachungsprotokolle für Defender for Cloud: Standardmäßig aktiviert. Diese Konfiguration ist nur auf der GCP-Projektebene verfügbar. Es ermöglicht die Sammlung der Überwachungsprotokolldaten ohne Agent über die GCP-Cloudprotokollierung für das Microsoft Defender for Cloud-Back-End zur weiteren Analyse. Defender für Container erfordert Steuerungsebenenüberwachungsprotokolle, um Laufzeit-Bedrohungsschutz bereitzustellen. Um Kubernetes-Überwachungsprotokolle an Microsoft Defender zu senden, legen Sie die Einstellung auf Ein fest.

      Hinweis

      Wenn Sie diese Konfiguration deaktivieren, wird das Threat detection (control plane)-Feature deaktiviert. Erfahren Sie mehr über die Verfügbarkeit von Features.

    • Automatische Bereitstellung des Defender-Sensors für Azure Arc und Automatische Bereitstellung der Azure Policy-Erweiterung für Azure Arc: Diese Optionen sind standardmäßig aktiviert. Sie können Kubernetes mit Azure Arc-Unterstützung und die Erweiterungen auf drei Arten in Ihren GKE-Clustern installieren:

    • Ermittlung ohne Agents für Kubernetes bietet eine API-basierte Ermittlung Ihrer Kubernetes-Cluster. Um die Ermittlung ohne Agents für Kubernetes zu aktivieren, legen Sie die Einstellung auf Ein fest.

    • Die Sicherheitsrisikobewertung ohne Agent für Container bietet Sicherheitsrisikomanagement für Images, die in Google Registries (GAR und GCR) gespeichert sind, und für Images, die in Ihren GKE-Clustern ausgeführt werden. Um das Feature Sicherheitsrisikobewertung ohne Agent für Container zu aktivieren, legen Sie die Einstellung auf Ein fest.

  8. Wählen Sie die Schaltfläche Kopieren aus.

    Der Screenshot zeigt die Position der Schaltfläche „Kopieren“.

  9. Wählen Sie die Schaltfläche GCP Cloud Shell aus.

  10. Fügen Sie das Skript in das Cloud Shell-Terminal ein, und führen Sie es aus.

    Der Connector wird aktualisiert, nachdem das Skript ausgeführt wurde. Dieser Vorgang kann sechs bis acht Stunden dauern.

  11. Wählen Sie Weiter: Überprüfen und generieren> aus.

  12. Wählen Sie Aktualisieren aus.

Bereitstellen der Lösung in bestimmten Clustern

Wenn Sie eine der Standardkonfigurationen für die automatische Bereitstellung während des Onboardingprozesses für den GCP-Connector oder danach deaktiviert haben, Sie müssen Kubernetes mit Azure Arc-Unterstützung, den Defender-Sensor und Azure Policy für Kubernetes manuell auf jedem Ihrer GKE-Cluster installieren, um optimal von den Defender for Containers-Sicherheitsfeatures zu profitieren.

Es gibt zwei dedizierte Defender für Cloud-Empfehlungen, um die Erweiterungen (und Arc bei Bedarf) zu installieren:

  • GKE clusters should have Microsoft Defender's extension for Azure Arc installed
  • GKE clusters should have the Azure Policy extension installed

Hinweis

Bei der Installation von Arc-Erweiterungen müssen Sie überprüfen, ob das bereitgestellte GCP-Projekt mit dem im relevanten Connector identisch ist.

Bereitstellen der Lösung in bestimmten Clustern:

  1. Melden Sie sich beim Azure-Portal an.

  2. Suchen Sie nach Microsoft Defender für Cloud und wählen Sie es aus.

  3. Wählen Sie im Defender for Cloud-Menü die Option Empfehlungen aus.

  4. Suchen Sie auf der Seite Empfehlungen von Defender for Cloud anhand des Namens nach einer der Empfehlungen.

    Der Screenshot zeigt, wie nach der Empfehlung gesucht werden muss.

  5. Wählen Sie einen fehlerhaften GKE-Cluster aus.

    Wichtig

    Sie müssen die Cluster nacheinander auswählen.

    Wählen Sie die Cluster nicht über die verlinkten Namen aus, sondern wählen Sie eine beliebige andere Stelle in der betreffenden Zeile.

  6. Wählen Sie den Namen der fehlerhaften Ressource aus.

  7. Wählen Sie Korrigieren aus.

    Der Screenshot zeigt die Position der Schaltfläche „Korrigieren“.

  8. Defender for Cloud generiert ein Skript in der Sprache Ihrer Wahl:

    • Wählen Sie für Linux Bash aus.
    • Wählen Sie für Windows PowerShell aus.
  9. Wählen Sie Wartungslogik herunterladen aus.

  10. Führen Sie das generierte Skript in Ihrem Cluster aus.

  11. Wiederholen Sie die Schritte 3 bis 10 für die zweite Empfehlung.

Nächste Schritte