Compartir a través de


Proteja sus contenedores de Google Cloud Platform (GCP) con Defender para contenedores

Defender para Contenedores de Microsoft Defender for Cloud es la solución nativa de la nube que se utiliza para asegurar sus contenedores para que pueda mejorar, supervisar y mantener la seguridad de sus clústeres, contenedores y sus aplicaciones.

Más información sobre Información general de Microsoft Defender para contenedores.

Para más información sobre los precios de Defender para contenedores, consulte la página de precios.

Prerrequisitos

Habilite el plan de Defender para contenedores en su proyecto de GCP

Para proteger clústeres de Google Kubernetes Engine (GKE):

  1. Inicie sesión en Azure Portal.

  2. Busque y seleccione Microsoft Defender for Cloud.

  3. En el menú de Defender for Cloud, seleccione Environment Settings.

  4. Seleccione el proyecto de GCP pertinente.

    Captura de pantalla que muestra un conector de GCP de ejemplo.

  5. Seleccione el botón Siguiente: Seleccionar planes.

  6. Asegúrese de que el plan de Containers está alternado a Activar.

    Captura de pantalla que muestra que el plan de contenedores está activado.

  7. Para cambiar las configuraciones opcionales del plan, seleccione Configuración.

    Captura de pantalla de la página de configuración del entorno de Defender for Cloud que muestra la configuración del plan Contenedores.

    • Registros de auditoría de Kubernetes para Microsoft Defender for Cloud: habilitados de forma predeterminada. Esta configuración está disponible solo a nivel de proyecto de GCP. Esto proporciona una recopilación sin agente de los datos del registro de auditoría a través de Registros de nube de GCP en el back-end de Microsoft Defender for Cloud para su posterior análisis. Defender para contenedores requiere registros de auditoría del plano de control para proporcionar protección contra amenazas en tiempo de ejecución. Para enviar registros de auditoría de Kubernetes a Microsoft Defender, cambie la configuración a Activado.

      Nota:

      Si decide deshabilitar esta configuración, se deshabilitará la característica Threat detection (control plane). Más información sobre la disponibilidad de las características.

    • Aprovisionamiento automático del sensor de Defender para Azure Arc y Aprovisionamiento automático de la extensión de Azure Policy para Azure Arc: habilitado de forma predeterminada. Puede instalar Kubernetes habilitado para Azure Arc y sus extensiones en los clústeres de GKE de tres maneras:

    • La detección sin agente para Kubernetesproporciona una detección basada en API de los clústeres de Kubernetes. Para habilitar la característica de detección sin agente para Kubernetes, cambie la configuración a Activado.

    • La valoración de vulnerabilidades de contenedor sin agente proporciona administración de vulnerabilidades para las imágenes almacenadas en registros de Google (GAR y GCR) y la ejecución de imágenes en los clústeres de GKE. Para habilitar la característica de evaluación de vulnerabilidades de contenedor sin agente, cambie la configuración a Activado.

  8. Haga clic en el botón Copiar.

    Captura de pantalla que muestra la ubicación del botón Copiar.

  9. Seleccione el botón Cloud Shell de GCP .

  10. Pegue el script en el terminal de Cloud Shell y ejecútelo.

    El conector se actualizará después de que se ejecute el script. Este proceso puede tardar entre 6 y 8 horas en completarse.

  11. Seleccione Siguiente: Revisar y crear>.

  12. Seleccione Actualizar.

Implementación de la solución en clústeres específicos

Si deshabilitó cualquiera de las configuraciones de aprovisionamiento automático predeterminadas, durante el proceso de incorporación del conector de GCP o posteriormente. Debe instalar manualmente Kubernetes habilitados para Azure Arc, el sensor de Defender y Azure Policy for Kubernetes en cada uno de sus clústeres de GKE para obtener todo el valor de seguridad de Defender para contenedores.

Hay dos recomendaciones dedicadas de Defender for Cloud que puede usar para instalar las extensiones (y Arc, si es necesario):

  • GKE clusters should have Microsoft Defender's extension for Azure Arc installed
  • GKE clusters should have the Azure Policy extension installed

Nota:

Al instalar extensiones de Arc, es necesario comprobar que el proyecto de GCP proporcionado sea idéntico al del conector correspondiente.

Para implementar la solución en clústeres específicos:

  1. Inicie sesión en Azure Portal.

  2. Busque y seleccione Microsoft Defender for Cloud.

  3. En el menú de Defender for Cloud, seleccione Recomendaciones.

  4. En la página Recomendaciones de Defender for Cloud, busque cada una de las recomendaciones anteriores por su nombre.

    Captura de pantalla que muestra cómo buscar la recomendación.

  5. Seleccione un clúster de GKE incorrecto.

    Importante

    Debe seleccionar los clústeres de uno en uno.

    No seleccione los clústeres en función de sus nombres hipervinculados: seleccione otros clústeres en la fila correspondiente.

  6. Seleccione el nombre del recurso incorrecto.

  7. Seleccione Corregir.

    Captura de pantalla que muestra la ubicación del botón Corregir.

  8. Defender for Cloud genera un script en el lenguaje que elija:

    • En Linux, seleccione Bash.
    • En Windows, seleccione PowerShell.
  9. Seleccione Descargar lógica de corrección.

  10. Ejecute el script generado en el clúster.

  11. Repita los pasos del 3 al 10 para la segunda recomendación.

Pasos siguientes