Schützen Ihrer Google Cloud Platform-Ccontainer (GCP) mit Defender for Containers
Microsoft Defender for Containers in Microsoft Defender for Cloud ist die cloudnative Lösung, die zum Schutz Ihrer Container verwendet wird, damit Sie die Sicherheit Ihrer Cluster, Container und Anwendungen verbessern, überwachen und verwalten können.
Weitere Informationen finden Sie unter Übersicht zu Microsoft Defender for Containers.
Weitere Informationen zu den Preisen von Defender for Containers finden Sie in der Preisübersicht.
Voraussetzungen
Sie benötigen ein Microsoft Azure -Abonnement. Sollten Sie über kein Azure-Abonnement verfügen, können Sie sich für ein kostenloses Abonnement registrieren.
Sie müssen Microsoft Defender for Cloud in Ihrem Azure-Abonnement aktivieren.
Verbinden von GCP-Projekten mit Microsoft Defender für Cloud.
Überprüfen Sie, ob Ihre Kubernetes-Knoten auf Quellrepositorys Ihres Paket-Managers zugreifen können.
Stellen Sie sicher, dass die folgenden Anforderungen an Azure Arc-fähige Kubernetes-Netzwerke überprüft werden.
Aktivieren des Defender for Container-Plans in Ihrem GCP-Projekt
Schützen von GKE-Clustern (Google Kubernetes Engine):
Melden Sie sich beim Azure-Portal an.
Suchen Sie nach Microsoft Defender für Cloud und wählen Sie es aus.
Wählen Sie im Menü von Defender for Cloud die Option Umgebungseinstellungen aus.
Wählen Sie das relevante GCP-Projekt aus.
Wählen Sie die Schaltfläche Weiter: Pläne auswählen aus.
Stellen Sie sicher, dass der Containerplan aktiviert ist.
Um optionale Konfigurationen für den Plan zu ändern, wählen Sie Einstellungen aus.
Kubernetes-Überwachungsprotokolle für Defender for Cloud: Standardmäßig aktiviert. Diese Konfiguration ist nur auf der GCP-Projektebene verfügbar. Es ermöglicht die Sammlung der Überwachungsprotokolldaten ohne Agent über die GCP-Cloudprotokollierung für das Microsoft Defender for Cloud-Back-End zur weiteren Analyse. Defender für Container erfordert Steuerungsebenenüberwachungsprotokolle, um Laufzeit-Bedrohungsschutz bereitzustellen. Um Kubernetes-Überwachungsprotokolle an Microsoft Defender zu senden, legen Sie die Einstellung auf Ein fest.
Hinweis
Wenn Sie diese Konfiguration deaktivieren, wird das
Threat detection (control plane)-Feature deaktiviert. Erfahren Sie mehr über die Verfügbarkeit von Features.Automatische Bereitstellung des Defender-Sensors für Azure Arc und Automatische Bereitstellung der Azure Policy-Erweiterung für Azure Arc: Diese Optionen sind standardmäßig aktiviert. Sie können Kubernetes mit Azure Arc-Unterstützung und die Erweiterungen auf drei Arten in Ihren GKE-Clustern installieren:
- Aktivieren Sie die automatische Bereitstellung von Defender for Containers auf Projektebene, wie in den Anweisungen in diesem Abschnitt beschrieben. Diese Methode wird empfohlen.
- Verwenden Sie Defender for Cloud-Empfehlungen für die Installation pro Cluster. Sie werden auf der Seite mit den Microsoft Defender for Cloud-Empfehlungen angezeigt. Erfahren Sie mehr über das Bereitstellen der Lösung in bestimmten Clustern.
- Installieren Sie Kubernetes mit Arc-Unterstützung und Erweiterungen manuell.
Ermittlung ohne Agents für Kubernetes bietet eine API-basierte Ermittlung Ihrer Kubernetes-Cluster. Um die Ermittlung ohne Agents für Kubernetes zu aktivieren, legen Sie die Einstellung auf Ein fest.
Die Sicherheitsrisikobewertung ohne Agent für Container bietet Sicherheitsrisikomanagement für Images, die in Google Registries (GAR und GCR) gespeichert sind, und für Images, die in Ihren GKE-Clustern ausgeführt werden. Um das Feature Sicherheitsrisikobewertung ohne Agent für Container zu aktivieren, legen Sie die Einstellung auf Ein fest.
Wählen Sie die Schaltfläche Kopieren aus.
Wählen Sie die Schaltfläche GCP Cloud Shell aus.
Fügen Sie das Skript in das Cloud Shell-Terminal ein, und führen Sie es aus.
Der Connector wird aktualisiert, nachdem das Skript ausgeführt wurde. Dieser Vorgang kann sechs bis acht Stunden dauern.
Wählen Sie Weiter: Überprüfen und generieren> aus.
Wählen Sie Aktualisieren aus.
Bereitstellen der Lösung in bestimmten Clustern
Wenn Sie eine der Standardkonfigurationen für die automatische Bereitstellung während des Onboardingprozesses für den GCP-Connector oder danach deaktiviert haben, Sie müssen Kubernetes mit Azure Arc-Unterstützung, den Defender-Sensor und Azure Policy für Kubernetes manuell auf jedem Ihrer GKE-Cluster installieren, um optimal von den Defender for Containers-Sicherheitsfeatures zu profitieren.
Es gibt zwei dedizierte Defender für Cloud-Empfehlungen, um die Erweiterungen (und Arc bei Bedarf) zu installieren:
GKE clusters should have Microsoft Defender's extension for Azure Arc installedGKE clusters should have the Azure Policy extension installed
Hinweis
Bei der Installation von Arc-Erweiterungen müssen Sie überprüfen, ob das bereitgestellte GCP-Projekt mit dem im relevanten Connector identisch ist.
Bereitstellen der Lösung in bestimmten Clustern:
Melden Sie sich beim Azure-Portal an.
Suchen Sie nach Microsoft Defender für Cloud und wählen Sie es aus.
Wählen Sie im Defender for Cloud-Menü die Option Empfehlungen aus.
Suchen Sie auf der Seite Empfehlungen von Defender for Cloud anhand des Namens nach einer der Empfehlungen.
Wählen Sie einen fehlerhaften GKE-Cluster aus.
Wichtig
Sie müssen die Cluster nacheinander auswählen.
Wählen Sie die Cluster nicht über die verlinkten Namen aus, sondern wählen Sie eine beliebige andere Stelle in der betreffenden Zeile.
Wählen Sie den Namen der fehlerhaften Ressource aus.
Wählen Sie Korrigieren aus.
Defender for Cloud generiert ein Skript in der Sprache Ihrer Wahl:
- Wählen Sie für Linux Bash aus.
- Wählen Sie für Windows PowerShell aus.
Wählen Sie Wartungslogik herunterladen aus.
Führen Sie das generierte Skript in Ihrem Cluster aus.
Wiederholen Sie die Schritte 3 bis 10 für die zweite Empfehlung.
Nächste Schritte
Erweiterte Aktivierungsfeatures für Defender for Containers finden Sie auf der Seite Aktivieren von Microsoft Defender for Containers.