Защита контейнеров Google Cloud Platform (GCP) с помощью Defender для контейнеров

Defender для контейнеров в Microsoft Defender для облака — это облачное решение, которое используется для защиты контейнеров, чтобы улучшить, отслеживать и поддерживать безопасность кластеров, контейнеров и их приложений.

Дополнительные сведения о Microsoft Defender для контейнеров.

Дополнительные сведения о ценах Defender для контейнера см. на странице цен.

Необходимые компоненты

Включение плана Defender для контейнеров в проекте GCP

Чтобы защитить кластеры Google Kubernetes Engine (GKE):

  1. Войдите на портал Azure.

  2. Найдите и выберите Microsoft Defender для облака.

  3. В меню Defender для облака выберите параметры среды.

  4. Выберите соответствующий проект GCP.

    Снимок экрана: пример соединителя GCP.

  5. Нажмите кнопку Next: Select Plans (Далее: выбор планов).

  6. Убедитесь, что переключатель плана контейнеров находится в положении On (Вкл.).

    Снимок экрана: переключатель плана контейнеров в положении

  7. Чтобы изменить необязательные конфигурации для плана, выберите "Параметры".

    Снимок экрана: страница параметров среды Defender для облака с параметрами плана

    • Журналы аудита Kubernetes для Defender для облака: включен по умолчанию. Эта конфигурация доступна только на уровне проекта GCP. Он предоставляет бессерверную коллекцию данных журнала аудита через GCP Cloud Log в серверную часть Microsoft Defender для облака для дальнейшего анализа. Defender для контейнеров требует журналов аудита уровня управления для обеспечения защиты от угроз среды выполнения. Чтобы отправить журналы аудита Kubernetes в Microsoft Defender, переключите параметр " Вкл.".

      Примечание.

      Если отключить эту конфигурацию, функция Threat detection (control plane) будет отключена. См. дополнительные сведения о доступности функций.

    • Датчик Автоматической подготовки Defender для Azure Arc и автоматической подготовки Политика Azure расширения для Azure Arc: включен по умолчанию. Kubernetes с поддержкой Azure Arc и его расширения можно установить в кластерах GKE тремя способами:

      • Включите автоматическую подготовку Defender для контейнеров на уровне проекта, как описано в инструкциях в этом разделе. Мы рекомендуем этот метод.
      • Используйте рекомендации Defender для облака для установки на кластер. Они отображаются на странице рекомендаций Microsoft Defender для облака. Узнайте, как развернуть решение в определенных кластерах.
      • Вручную установите Kubernetes и расширения с поддержкой Arc.
    • Обнаружение без агента для Kubernetes обеспечивает обнаружение кластеров Kubernetes на основе API. Чтобы включить функцию обнаружения без агента для Kubernetes , переключите параметр " Вкл.".

    • Оценка уязвимостей без агента предоставляет управление уязвимостями для образов, хранящихся в реестрах Google (GAR и GCR) и выполняющих образы в кластерах GKE. Чтобы включить функцию оценки уязвимостей без агента, переключите параметр "Вкл.

  8. Нажмите кнопку Copy (Копировать).

    Снимок экрана: расположение кнопки

  9. Нажмите кнопку GCP Cloud Shell .

  10. Вставьте сценарий в терминал Cloud Shell и выполните его.

    Соединитель будет обновлен после выполнения сценария. Выполнение этого процесса может занять до 6 – 8 часов.

  11. Нажмите кнопку "Далее": проверка и создание>.

  12. Выберите Обновить.

Развертывание решения в определенных кластерах

Если вы отключили любой параметр из конфигурации автоматической подготовки по умолчанию, переведя переключатель в положение "Off" (Выкл.), в процессе регистрации соединителя GCP или позже. Необходимо вручную установить Kubernetes с поддержкой Azure Arc, датчик Defender и Политика Azure для Kubernetes в каждом из кластеров GKE, чтобы получить полное значение безопасности из Defender для контейнеров.

Существует два выделенных Defender для облака рекомендаций, которые можно использовать для установки расширений (и Arc при необходимости):

  • GKE clusters should have Microsoft Defender's extension for Azure Arc installed
  • GKE clusters should have the Azure Policy extension installed

Примечание.

При установке расширений Arc необходимо убедиться, что проект GCP идентичен одному из них в соответствующем соединителе.

Чтобы развернуть решение в определенных кластерах:

  1. Войдите на портал Azure.

  2. Найдите и выберите Microsoft Defender для облака.

  3. В меню Defender для облака выберите "Рекомендации".

  4. На странице рекомендаций Defender для облака найдите каждую из приведенных выше рекомендаций по имени.

    Снимок экрана: поиск рекомендации.

  5. Выберите неработоспособный кластер GKE.

    Внимание

    Необходимо выбирать кластеры по одному за раз.

    Не выбирайте кластеры по именам гиперссылок: делайте выбор по любому другому элементу в соответствующей строке.

  6. Выберите имя неработоспособного ресурса.

  7. Выберите элемент Исправить.

    Снимок экрана: расположение кнопки

  8. Defender для облака создает скрипт на выбранном языке:

    • Для Linux выберите Bash.
    • Для Windows выберите PowerShell.
  9. Выберите элемент Download remediation logic (Скачать логику исправления).

  10. Запустите созданный скрипт в кластере.

  11. Повторите шаги 3–10 для второй рекомендации.

Следующие шаги