Protección de los contenedores de Google Cloud Platform (GCP) con Defender for Containers

Defender para Contenedores de Microsoft Defender for Cloud es la solución nativa de la nube que se utiliza para asegurar sus contenedores para que pueda mejorar, supervisar y mantener la seguridad de sus clústeres, contenedores y sus aplicaciones.

Más información sobre Información general de Microsoft Defender para contenedores.

Para más información sobre los precios de Defender para contenedores, consulte la página de precios. También puede calcular los costos con la calculadora de costos de Defender for Cloud.

Prerrequisitos

• Necesita una suscripción a Microsoft Azure . Si no tiene una suscripción de Azure, puede registrarse para obtener una suscripción gratuita.

• Debe haber habilitado Microsoft Defender for Cloud en la suscripción de Azure.

• Conecte los proyectos de GCP a Microsoft Defender for Cloud.

• Compruebe que los nodos de Kubernetes pueden acceder a los repositorios de origen del administrador de paquetes.

• Asegúrese de que se validan los siguientes requisitos de red de Kubernetes habilitados para Azure Arc.

Habilite el plan de Defender para contenedores en su proyecto de GCP

Para proteger clústeres de Google Kubernetes Engine (GKE):

1. Inicie sesión en Azure Portal.

2. Busque y seleccione Microsoft Defender for Cloud.

3. En el menú de Defender for Cloud, seleccione Environment Settings.

4. Seleccione el proyecto de GCP correspondiente.

   

5. Seleccione el botón Siguiente: Seleccionar planes .

6. Asegúrese de que el plan de Containers está alternado a Activar.

   

7. Para cambiar las configuraciones opcionales del plan, seleccione Configuración.

   

   • La característica protección contra amenazas sin agente proporciona protección contra amenazas en tiempo de ejecución para los contenedores del clúster y está habilitada de forma predeterminada. Esta configuración está disponible solo a nivel de proyecto de GCP. Proporciona la recopilación sin agente de los datos del registro de auditoría del plano de control a través de GCP Cloud Logging hacia la infraestructura de Microsoft Defender for Cloud para un análisis más profundo.

     Nota:

     Si decide deshabilitar esta configuración, se deshabilitará la característica Threat detection (control plane). Más información sobre la disponibilidad de las características.

   • Aprovisionamiento automático del sensor de Defender para Azure Arc y Aprovisionamiento automático de la extensión de Azure Policy para Azure Arc: habilitado de forma predeterminada. Puede instalar Kubernetes habilitado para Azure Arc y sus extensiones en los clústeres de GKE de tres maneras:

     • Habilite el aprovisionamiento automático de Defender para contenedores a nivel de proyecto, como se explica en las instrucciones de esta sección. Se recomienda este método.
     • Use las recomendaciones de Defender for Cloud para la instalación por clúster. Aparecen en la página de recomendaciones de Microsoft Defender for Cloud. Más información sobre cómo implementar la solución en clústeres específicos.
     • Instale manualmente Kubernetes habilitados para Arc y extensiones.

   • El acceso a la API K8S establece permisos para permitir la detección basada en API de los clústeres de Kubernetes. Para habilitarlo, establezca el interruptor de acceso a la API de K8S en Activado.

   • El acceso del Registro establece permisos para permitir la evaluación de vulnerabilidades de las imágenes almacenadas en Google Registries (GAR y GCR). Para habilitarlo, ajuste el interruptor Acceso al Registro a Activado.

8. Haga clic en el botón Copiar.

   

9. Seleccione el botón GCP Cloud Shell .

10. Pegue el script en el terminal de Cloud Shell y ejecútelo.

    El conector se actualizará después de que se ejecute el script. Este proceso puede tardar entre 6 y 8 horas en completarse.

11. Seleccione Siguiente: Revisar y Generar>.

12. Selecciona Actualización.

Implementación de la solución en clústeres específicos

Si deshabilitó cualquiera de las configuraciones de aprovisionamiento automático predeterminadas, durante el proceso de incorporación del conector de GCP o posteriormente. Debe instalar manualmente Kubernetes habilitados para Azure Arc, el sensor de Defender y Azure Policy for Kubernetes en cada uno de sus clústeres de GKE para obtener todo el valor de seguridad de Defender para contenedores.

Hay dos recomendaciones dedicadas de Defender for Cloud que puede usar para instalar las extensiones (y Arc si es necesario):

• GKE clusters should have Microsoft Defender's extension for Azure Arc installed
• GKE clusters should have the Azure Policy extension installed

Nota:

Al instalar extensiones de Arc, es necesario comprobar que el proyecto de GCP proporcionado sea idéntico al del conector correspondiente.

Para implementar la solución en clústeres específicos:

1. Inicie sesión en Azure Portal.

2. Busque y seleccione Microsoft Defender for Cloud.

3. En el menú Defender for Cloud, seleccione Recomendaciones.

4. En la página Recomendaciones de Defender for Cloud, busque cada una de las recomendaciones anteriores por su nombre.

   

5. Seleccione un clúster de GKE incorrecto.

   Importante

   Debe seleccionar los clústeres de uno en uno.

   No seleccione los clústeres en función de sus nombres hipervinculados: seleccione otros clústeres en la fila correspondiente.

6. Seleccione el nombre del recurso incorrecto.

7. Seleccione Corregir.

   

8. Defender for Cloud genera un script en el lenguaje que prefiera:

   • En Linux, seleccione Bash.
   • En Windows, seleccione PowerShell.

9. Seleccione Descargar lógica de corrección.

10. Ejecute el script generado en el clúster.

11. Repita los pasos del 3 al 10 para la segunda recomendación.

Pasos siguientes

• Para conocer las características avanzadas de habilitación de Defender para contenedores, consulte la página Habilitar Microsoft Defender para contenedores.

• Introducción a Microsoft Defender para contenedores.