Защита контейнеров Google Cloud Platform (GCP) с помощью Defender для контейнеров

Defender для контейнеров в Microsoft Defender для облака — это облачное решение, которое используется для защиты контейнеров, чтобы улучшить, отслеживать и поддерживать безопасность кластеров, контейнеров и их приложений.

Дополнительные сведения о Microsoft Defender для контейнеров.

Дополнительные сведения о ценах Defender для контейнера см. на странице цен. Вы также можете оценить затраты с помощью калькулятора затрат Defender для облака.

Предпосылки

• Вам потребуется подписка Microsoft Azure . Если у вас нет подписки Azure, вы можете зарегистрироваться для бесплатной подписки.

• Необходимо включить Microsoft Defender для облака в подписке Azure.

• Подключите проекты GCP к Microsoft Defender для Облака.

• Убедитесь, что узлы Kubernetes могут получить доступ к исходным репозиториям диспетчера пакетов.

• Убедитесь, что проверяются следующие требования к сети с поддержкой Azure Arc.

Включите план Defender для контейнеров в вашем проекте GCP

Чтобы защитить кластеры Google Kubernetes Engine (GKE):

1. Войдите на портал Azure.

2. Найдите и выберите Microsoft Defender для облака.

3. В меню Defender для облака выберите параметры среды .

4. Выберите соответствующий проект GCP.

   

5. Нажмите кнопку "Далее". Нажмите кнопку "Выбрать планы ".

6. Убедитесь, что переключатель плана контейнеров находится в положении On (Вкл.).

   

7. Чтобы изменить необязательные конфигурации для плана, выберите "Параметры".

   

   • Функция защиты от угроз без агента обеспечивает защиту от угроз среды выполнения для контейнеров кластера и включена по умолчанию. Эта конфигурация доступна только на уровне проекта GCP. Он предоставляет безагентную коллекцию данных журнала аудита уровня управления с помощью GCP Cloud Log в серверную часть Microsoft Defender для облака для дальнейшего анализа.

     Замечание

     Если отключить эту конфигурацию, функция Threat detection (control plane) будет отключена. См. дополнительные сведения о доступности функций.

   • Датчик Автоматической подготовки Defender для Azure Arc и автоматической подготовки Политика Azure расширения для Azure Arc: включен по умолчанию. Kubernetes с поддержкой Azure Arc и его расширения можно установить в кластерах GKE тремя способами:

     • Включите автоматическую подготовку Defender для контейнеров на уровне проекта, как описано в инструкциях в этом разделе. Мы рекомендуем этот метод.
     • Используйте рекомендации Defender для облака для установки на кластер. Они отображаются на странице рекомендаций Microsoft Defender для облака. Узнайте, как развернуть решение в определенных кластерах.
     • Вручную установите Kubernetes и расширения с поддержкой Arc.

   • Доступ к API K8S устанавливает разрешения, чтобы разрешить обнаружение кластеров Kubernetes на основе API. Чтобы включить, переключите доступ к API K8S в положение Вкл.

     Замечание

     Доступ к API Kubernetes требует входящего подключения от Microsoft Defender для Облака к серверу API кластера через Интернет. Для кластеров, предоставляющих общедоступную конечную точку API с списком разрешений доступа, Microsoft Defender для Cloud автоматически попытается добавить следующие диапазоны IP-адресов в список разрешений: 172.212.245.192/28

     48.209.1.192/28

   • Доступ к реестру устанавливает разрешения, позволяющие оценивать уязвимости образов, хранящихся в реестрах Google (GAR и GCR). Чтобы включить, установите переключатель Доступ к реестру в положение Вкл.

8. Нажмите кнопку Copy (Копировать).

   

9. Нажмите кнопку GCP Cloud Shell .

10. Вставьте сценарий в терминал Cloud Shell и выполните его.

    Соединитель будет обновлен после выполнения сценария. Выполнение этого процесса может занять до 6 – 8 часов.

11. Выберите Следующий шаг: проверка и генерация>.

12. Выберите Обновить.

Развертывание решения в определенных кластерах

Если вы отключили любой параметр из конфигурации автоматической подготовки по умолчанию, переведя переключатель в положение "Off" (Выкл.), в процессе регистрации соединителя GCP или позже. Необходимо вручную установить Kubernetes с поддержкой Azure Arc, датчик Defender и политику Azure для Kubernetes в каждом из кластеров GKE, чтобы получить полное значение безопасности из Defender для контейнеров.

Существует два выделенных рекомендация Defender для облака, которые можно использовать для установки расширений (и Arc при необходимости):

• GKE clusters should have Microsoft Defender's extension for Azure Arc installed
• GKE clusters should have the Azure Policy extension installed

Чтобы развернуть решение в определенных кластерах:

1. Войдите на портал Azure.

2. Найдите и выберите Microsoft Defender для облака.

3. В меню Defender для облака выберите "Рекомендации".

4. На странице Рекомендации Defender для облака найдите каждую из перечисленных выше рекомендаций по названию.

   

5. Выберите неработоспособный кластер GKE.

   Это важно

   Необходимо выбирать кластеры по одному за раз.

   Не выбирайте кластеры по именам гиперссылок: делайте выбор по любому другому элементу в соответствующей строке.

6. Выберите имя неработоспособного ресурса.

7. Выберите элемент Исправить.

   

8. Defender для облака создает скрипт на выбранном языке:

   • Для Linux выберите Bash.
   • Для Windows выберите PowerShell.

9. Выберите элемент Download remediation logic (Скачать логику исправления).

10. Запустите созданный скрипт в кластере.

11. Повторите шаги 3–10 для второй рекомендации.

Дальнейшие шаги

• Дополнительные возможности включения для контейнеров Defender для контейнеров см. на странице "Включение Microsoft Defender для контейнеров ".

• Обзор Microsoft Defender для контейнеров.