Anmerkung
Der Zugriff auf diese Seite erfordert eine Genehmigung. Du kannst versuchen, dich anzumelden oder die Verzeichnisse zu wechseln.
Der Zugriff auf diese Seite erfordert eine Genehmigung. Du kannst versuchen , die Verzeichnisse zu wechseln.
In diesem Artikel erfahren Sie, wie Sie Microsoft Defender für Container in Ihren Google Kubernetes Engine (GKE)-Clustern über das Azure-Portal aktivieren. Sie können auswählen, dass alle Sicherheitsfeatures gleichzeitig für umfassenden Schutz aktiviert oder selektiv bestimmte Komponenten basierend auf Ihren Anforderungen bereitgestellt werden.
Wann sie dieses Handbuch verwenden?
Verwenden Sie diese Anleitung, wenn Sie möchten:
- Erstmaliges Einrichten von Defender for Containers auf GCP
- Aktivieren aller Sicherheitsfeatures zum umfassenden Schutz
- Selektive Bereitstellung bestimmter Komponenten
- Beheben oder Hinzufügen fehlender Komponenten zu einer vorhandenen Bereitstellung
- Bereitstellen mithilfe eines kontrollierten, selektiven Ansatzes
- Ausschließen bestimmter Cluster vom Schutz
Voraussetzungen
- Ein verbundenes GCP-Projekt. Weitere Informationen finden Sie unter Verbinden Ihres GCP-Projekts mit Microsoft Defender für Cloud
Netzwerkanforderungen
Überprüfen Sie, ob die folgenden Endpunkte für öffentliche Cloudbereitstellungen für ausgehenden Zugriff konfiguriert sind. Wenn Sie diese konfigurieren, können Sie sicherstellen, dass der Defender-Sensor eine Verbindung mit Microsoft Defender for Cloud herstellen kann, um Sicherheitsdaten und -ereignisse zu senden.
Hinweis
Für den ausgehenden Zugriff sind die Azure-Domänen *.ods.opinsights.azure.com und *.oms.opinsights.azure.com nicht mehr erforderlich. Weitere Informationen finden Sie in der Ankündigung zur Einstellung.
| Azure Domain | Azure Government Domain | Domain für das von 21Vianet betriebene Azure | Hafen |
|---|---|---|---|
| *.cloud.defender.microsoft.com | N/A | N/A | 443 |
Sie müssen auch die Netzwerkanforderungen für Kubernetes mit Azure Arc-Unterstützung validieren.
GCP-spezifische Anforderungen:
- GCP-Projekt mit entsprechenden Berechtigungen
- GKE-Cluster (Version 1.19+)
- Container-Images in der Google Container Registry oder in der Artifact Registry
- Dienstkonto mit erforderlichen IAM-Rollen
- Cloud Shell oder gcloud CLI ist konfiguriert
Bereitstellen aller Komponenten
Führen Sie die folgenden Schritte aus, um einen umfassenden Schutz für alle GKE-Cluster zu ermöglichen.
Verbinden von GKE-Clustern mit Azure Arc
Nach dem Erstellen des Connectors:
Wechseln Sie zu Microsoft Defender for Cloud>Empfehlungen.
Suchen Sie nach der Empfehlung "GKE-Cluster sollten mit Azure Arc verbunden sein".
Wählen Sie die Empfehlung aus, um betroffene Cluster anzuzeigen.
Führen Sie die Korrekturschritte aus, um die einzelnen Cluster zu verbinden:
# Connect GKE cluster to Arc az connectedk8s connect \ --name <cluster-name> \ --resource-group <resource-group> \ --location <location>
Bereitstellen des Defender-Sensors
Von Bedeutung
Die Bereitstellung des Defender-Sensors mit Helm: Im Gegensatz zu anderen Optionen, die automatisch bereitgestellt und automatisch aktualisiert werden, können Sie den Defender-Sensor flexibel bereitstellen. Dieser Ansatz ist besonders hilfreich in DevOps- und Infrastruktur-as-Code-Szenarien. Mit Helm können Sie die Bereitstellung in CI/CD-Pipelines integrieren und alle Sensorupdates steuern. Sie können auch Vorschau- und GA-Versionen erhalten. Anweisungen zum Installieren des Defender-Sensors mit Helm finden Sie unter Install Defender for Containers sensor using Helm.
Nach dem Verbinden Ihrer GKE-Cluster mit Azure Arc:
Wechseln Sie zu Microsoft Defender for Cloud>Empfehlungen.
Suchen Sie nach "Arc-aktivierte Kubernetes-Cluster sollten die Defender-Erweiterung installiert haben".
Wählen Sie nur die Cluster aus, an denen der Sensor angezeigt werden soll.
Wählen Sie "Fix" aus, um den Sensor bereitzustellen.
Container-Registry-Scannen konfigurieren
Für Google Container Registry (GCR) und Artifact Registry:
Wechseln Sie zu ihren GCP-Connectoreinstellungen.
Wählen Sie " Konfigurieren" neben dem Containerplan aus.
Überprüfen Sie, ob die Sicherheitsrisikobewertung für Agentless-Container aktiviert ist.
Bilder werden automatisch gescannt, wenn Sie sie an die Registrierung übertragen.
Aktivieren der Überwachungsprotokollierung
Aktivieren Sie das GKE-Audit-Logging für den Laufzeitschutz:
# Enable audit logs for existing cluster
gcloud container clusters update <cluster-name> \
--zone <zone> \
--enable-cloud-logging \
--logging=SYSTEM,WORKLOAD,API_SERVER
Aktivieren Sie nur den Schwachstellen-Scan
Um nur die Registrierungsscans ohne Laufzeitschutz zu aktivieren:
Aktivieren Sie in der Connectorkonfiguration nur die Sicherheitsrisikobewertung für Agentlose Container.
Deaktivieren Sie andere Komponenten.
Speichern Sie die Konfiguration.
Konfigurieren nach Clustertyp
GKE-Standardcluster
Es ist keine spezielle Konfiguration erforderlich. Führen Sie die standardmäßigen Bereitstellungsschritte aus.
GKE Autopilot
Für Autopilot-Cluster:
Der Defender-Sensor passt Ressourcenanforderungen automatisch an.
Für Ressourcenbeschränkungen ist keine manuelle Konfiguration erforderlich.
Private GKE-Cluster
Für private Cluster:
Stellen Sie sicher, dass der Cluster Azure-Endpunkte erreichen kann.
Konfigurieren Sie bei Bedarf Firewallregeln:
gcloud compute firewall-rules create allow-azure-defender \ --allow tcp:443 \ --source-ranges <cluster-cidr> \ --target-tags <node-tags>
Konfigurieren von Ausschlüssen
So schließen Sie bestimmte GKE-Cluster aus der automatischen Bereitstellung aus:
Wechseln Sie zu Ihrem GKE-Cluster in der GCP-Konsole.
Hinzufügen von Bezeichnungen zum Cluster:
- Für Defender-Sensor:
ms_defender_container_exclude_agents=true - Für die agentlose Bereitstellung:
ms_defender_container_exclude_agentless=true
- Für Defender-Sensor:
Hinweis
Für arc-verbundene Cluster können Sie auch Azure-Tags verwenden:
ms_defender_container_exclude_sensors=truems_defender_container_exclude_azurepolicy=true