Skydda dina GCP-containrar (Google Cloud Platform) med Defender for Containers

Defender for Containers i Microsoft Defender för molnet är den molnbaserade lösningen som används för att skydda dina containrar så att du kan förbättra, övervaka och upprätthålla säkerheten för dina kluster, containrar och deras program.

Läs mer om Översikt över Microsoft Defender för containrar.

Du kan läsa mer om Defender for Container-priser på prissidan. Du kan också beräkna kostnader med kostnadskalkylatorn för Defender for Cloud.

Förutsättningar

• Du behöver en Microsoft Azure-prenumeration. Om du inte har en Azure-prenumeration kan du registrera dig för en kostnadsfri prenumeration.

• Du måste aktivera Microsoft Defender för molnet i din Azure-prenumeration.

• Anslut dina GCP-projekt till Microsoft Defender för molnet.

• Kontrollera att kubernetes-noderna har åtkomst till källlagringsplatserna för pakethanteraren.

• Kontrollera att följande Azure Arc-aktiverade Kubernetes-nätverkskrav är verifierade.

Aktivera Defender for Containers-planen i ditt GCP-projekt

Så här skyddar du GKE-kluster (Google Kubernetes Engine):

1. Logga in på Azure-portalen.

2. Sök efter och välj Microsoft Defender för molnet.

3. På menyn Defender för molnet väljer du Miljöinställningar.

4. Välj relevant GCP-projekt.

   

5. Välj knappen Nästa: Välj planer .

6. Kontrollera att containerplanen är växlad till På.

   

7. Om du vill ändra valfria konfigurationer för planen väljer du Inställningar.

   

   • Funktionen Skydd mot hot utan agenter ger skydd mot hot i körningstid för dina klusterbehållare och är aktiverad som standard. Den här konfigurationen är endast tillgänglig på GCP-projektnivå. Den möjliggör insamling utan agent av kontrollplanens granskningsloggar via GCP Cloud Logging till Microsoft Defender för Clouds backend för vidare analys.

     Anmärkning

     Om du inaktiverar den här konfigurationen Threat detection (control plane) inaktiveras funktionen. Läs mer om tillgänglighet för funktioner.

   • Automatisk etablering av Defender-sensorn för Azure Arc och automatisk etablering av Azure Policy-tillägg för Azure Arc: Aktiverad som standard. Du kan installera Azure Arc-aktiverade Kubernetes och dess tillägg på dina GKE-kluster på tre sätt:

     • Aktivera automatisk etablering av Defender för containrar på projektnivå, enligt anvisningarna i det här avsnittet. Vi rekommenderar den här metoden.
     • Använd Defender för molnet rekommendationer för installation per kluster. De visas på sidan Microsoft Defender för molnet rekommendationer. Lär dig hur du distribuerar lösningen till specifika kluster.
     • Installera Arc-aktiverade Kubernetes och tillägg manuellt.

   • K8S API-åtkomst ger behörigheter för att möjliggöra API-baserad upptäckt av dina Kubernetes-kluster. För att aktivera, ställ in K8S API-åtkomst till På.

     Anmärkning

     Kubernetes API-åtkomst kräver inkommande anslutning från Microsoft Defender för molnet till klustrets API-server via Internet. För kluster som exponerar en offentlig API-slutpunkt med en lista över tillåtna åtkomster försöker Microsoft Defender för molnet automatiskt lägga till följande IP-intervall i listan över tillåtna: 172.212.245.192/28

     48.209.1.192/28

   • Registeråtkomst anger behörigheter för att tillåta sårbarhetsbedömning av bilder som lagras i Google Registries (GAR och GCR). Om du vill aktivera ställer du in reglaget Registeråtkomst till läget På.

8. Klicka på knappen Kopiera.

   

9. Välj GCP Cloud Shell-knappen .

10. Klistra in skriptet i Cloud Shell-terminalen och kör det.

    Anslutningsappen uppdateras när skriptet har körts. Den här processen kan ta upp till 6–8 timmar att slutföra.

11. Välj Nästa: Granska och generera>.

12. Välj Uppdatera.

Distribuera lösningen till specifika kluster

Om du inaktiverade någon av standardkonfigurationerna för automatisk etablering till Av, under registreringsprocessen för GCP-anslutningsappen eller efteråt. Du måste manuellt installera Azure Arc-aktiverade Kubernetes, Defender-sensorn och Azure Policy för Kubernetes till vart och ett av dina GKE-kluster för att maximera säkerhetsvärdet av Defender för Containers.

Det finns två dedikerade Defender for Cloud-rekommendationer som du kan använda för att installera tilläggen (och Arc om det behövs):

• GKE clusters should have Microsoft Defender's extension for Azure Arc installed
• GKE clusters should have the Azure Policy extension installed

Så här distribuerar du lösningen till specifika kluster:

1. Logga in på Azure-portalen.

2. Sök efter och välj Microsoft Defender för molnet.

3. På menyn Defender för molnet väljer du Rekommendationer.

4. Från sidan Rekommendationer för Defender för molnet söker du efter var och en av rekommendationerna ovan efter namn.

   

5. Välj ett GKE-kluster med feltillstånd.

   Viktigt!

   Du måste välja klustren en i taget.

   Välj inte klustren efter deras hyperlänkade namn: välj någon annanstans på den relevanta raden.

6. Välj namnet på resursen som inte är felfri.

7. Välj Åtgärda.

   

8. Defender för molnet genererar ett skript på valfritt språk:

   • För Linux väljer du Bash.
   • För Windows väljer du PowerShell.

9. Välj Hämta reparationslogik.

10. Kör det genererade skriptet i klustret.

11. Upprepa steg 3 till och med 10 för den andra rekommendationen.

Nästa steg

• Avancerade aktiveringsfunktioner för Defender för containrar finns på sidan Aktivera Microsoft Defender för containrar .

• Översikt över Microsoft Defender för containrar.