Compartilhar via


Proteja seus contêineres do Google Cloud Platform (GCP) com o Defender para contêineres

O Microsoft Defender para contêineres é a solução nativa de nuvem utilizada para proteger os contêineres e você poder melhorar, monitorar e manter a segurança dos clusters, dos contêineres e dos aplicativos.

Saiba mais em Visão geral do Microsoft Defender para contêineres.

Você pode saber mais sobre os preços do Defender para contêineres na página de preços.

Pré-requisitos

Habilite o plano do Defender para contêineres no seu projeto do GCP

Para proteger os clusters do GKE (Google Kubernetes Engine):

  1. Entre no portal do Azure.

  2. Pesquise pelo Microsoft Defender para Nuvem e selecione-o.

  3. No menu do Defender para Nuvem, selecione Configurações de ambiente.

  4. Escolha o conector do GCP relevante.

    Captura de tela mostrando um exemplo de conector GCP.

  5. Selecione o botão Avançar: selecionar os planos.

  6. Verifique se o plano de Contêineres está alternado para Ativado.

    Captura de tela que mostra o plano de contêineres alternado para Ativado.

  7. Para alterar as configurações opcionais do plano, selecione Configurações.

    Captura de tela da página de configurações de ambiente do Defender para Nuvem mostrando as configurações do plano de contêineres.

    • Logs de auditoria do Kubernetes para o Defender para Nuvem: habilitado por padrão. Essa configuração está disponível apenas no nível de projeto do GCP. Ela fornece a coleta sem agente dos dados do log de auditoria por meio do registrar em log na nuvem do GCP para o back-back do Microsoft Defender para Nuvem para análise posterior. O Defender para contêineres requer logs de auditoria do painel de controle para fornecer proteção contra ameaças em tempo de execução. Para enviar logs de auditoria do Kubernetes para o Microsoft Defender, alterne a configuração para Ativar.

      Observação

      Se você desabilitar essa configuração, o recurso Threat detection (control plane) será desabilitado. Saiba mais sobre a disponibilidade dos recursos.

    • Provisionar automaticamente o sensor do Defender para o Azure Arc e Provisionar automaticamente a extensão do Azure Policy para o Azure Arc: habilitado por padrão. Você pode instalar o Kubernetes habilitado para Azure Arc e suas extensões em seus clusters do GKE de três maneiras:

    • A descoberta sem agente para Kubernetes fornece a descoberta baseada em API de seus clusters do Kubernetes. Para habilitar a descoberta sem agente para o recurso do Kubernetes, alterne a configuração para Ativada.

    • A Avaliação de Vulnerabilidade de Contêiner sem Agente fornece gerenciamento de vulnerabilidades para imagens armazenadas em Registros do Google (GAR e GCR) e imagens em execução em seus clusters do GKE. Para habilitar o recurso Avaliação de Vulnerabilidade de Contêiner sem Agente, alterne a configuração para Ativada.

  8. Selecione o botão Copiar.

    Captura de tela mostrando o local do botão copiar.

  9. Selecione o botão GCP Cloud Shell.

  10. Cole o script no terminal do Cloud Shell e execute-o.

    O conector será atualizado após a execução do script. Esse processo pode levar de 6 a 8 horas até ser concluído.

  11. Selecione Avançar: Revisar e Gerar>.

  12. Selecione Atualizar.

Implantar a solução em clusters específicos

Se você desabilitou qualquer uma das configurações de provisionamento automático padrão como Desligado, durante o processo de integração do conector GCP ou depois. Você precisa instalar manualmente o Kubernetes habilitado para Azure Arc, o sensor do Defender e o Azure Policy para Kubernetes em cada um de seus clusters GKE para obter o valor total da segurança do Defender para Contêineres.

Há duas recomendações dedicadas do Defender para Nuvem que você pode usar para instalar as extensões (e o Arc, se necessário):

  • GKE clusters should have Microsoft Defender's extension for Azure Arc installed
  • GKE clusters should have the Azure Policy extension installed

Observação

Ao instalar as extensões do Arc, você deve verificar se o projeto GCP fornecido é idêntico ao do conector relevante.

Para implantar a solução em clusters específicos:

  1. Entre no portal do Azure.

  2. Pesquise pelo Microsoft Defender para Nuvem e selecione-o.

  3. No menu Defender para Nuvem, selecione Recomendações.

  4. Na página Recomendações do Defender para Nuvem, procure uma das recomendações acima pelo nome.

    Captura de tela mostrando como procurar a recomendação.

  5. Selecione um cluster do GKE não íntegro.

    Importante

    Você deve selecionar um cluster por vez.

    Não selecione os clusters pelo nome do hiperlink, selecione qualquer outro lugar na linha relevante.

  6. Selecione o nome do recurso não íntegro.

  7. Selecione Corrigir.

    Captura de tela mostrando o local do botão corrigir.

  8. O Defender para Nuvem vai gerar um script no idioma de sua escolha:

    • No Linux, selecione Bash.
    • No Windows, selecione PowerShell.
  9. Selecione Baixar lógica de correção.

  10. Execute o script gerado no cluster.

  11. Repita as etapas 3 a 10 para a segunda recomendação.

Próximas etapas