Proteja sus contenedores de Google Cloud Platform (GCP) con Defender para contenedores
Defender para Contenedores de Microsoft Defender for Cloud es la solución nativa de la nube que se utiliza para asegurar sus contenedores para que pueda mejorar, supervisar y mantener la seguridad de sus clústeres, contenedores y sus aplicaciones.
Más información sobre Información general de Microsoft Defender para contenedores.
Para más información sobre los precios de Defender para contenedores, consulte la página de precios.
Prerrequisitos
Necesita una suscripción a Microsoft Azure . Si no tiene una suscripción de Azure, puede registrarse para una evaluación gratuita.
Debe habilitar Microsoft Defender for Cloud en la suscripción de Azure.
Compruebe que los nodos de Kubernetes pueden acceder a los repositorios de origen del administrador de paquetes.
Asegúrese de que se validan los siguientes requisitos de red de Kubernetes habilitados para Azure Arc.
Habilite el plan de Defender para contenedores en su proyecto de GCP
Para proteger clústeres de Google Kubernetes Engine (GKE):
Inicie sesión en Azure Portal.
Busque y seleccione Microsoft Defender for Cloud.
En el menú de Defender for Cloud, seleccione Environment Settings.
Seleccione el proyecto de GCP pertinente.
Seleccione el botón Siguiente: Seleccionar planes.
Asegúrese de que el plan de Containers está alternado a Activar.
Para cambiar las configuraciones opcionales del plan, seleccione Configuración.
Registros de auditoría de Kubernetes para Microsoft Defender for Cloud: habilitados de forma predeterminada. Esta configuración está disponible solo a nivel de proyecto de GCP. Esto proporciona una recopilación sin agente de los datos del registro de auditoría a través de Registros de nube de GCP en el back-end de Microsoft Defender for Cloud para su posterior análisis. Defender para contenedores requiere registros de auditoría del plano de control para proporcionar protección contra amenazas en tiempo de ejecución. Para enviar registros de auditoría de Kubernetes a Microsoft Defender, cambie la configuración a Activado.
Nota:
Si decide deshabilitar esta configuración, se deshabilitará la característica
Threat detection (control plane). Más información sobre la disponibilidad de las características.Aprovisionamiento automático del sensor de Defender para Azure Arc y Aprovisionamiento automático de la extensión de Azure Policy para Azure Arc: habilitado de forma predeterminada. Puede instalar Kubernetes habilitado para Azure Arc y sus extensiones en los clústeres de GKE de tres maneras:
- Habilite el aprovisionamiento automático de Defender para contenedores a nivel de proyecto, como se explica en las instrucciones de esta sección. Se recomienda este método.
- Use las recomendaciones de Defender for Cloud para la instalación por clúster. Aparecen en la página de recomendaciones de Microsoft Defender for Cloud. Más información sobre cómo implementar la solución en clústeres específicos.
- Instale manualmente Kubernetes habilitados para Arc y extensiones.
La detección sin agente para Kubernetesproporciona una detección basada en API de los clústeres de Kubernetes. Para habilitar la característica de detección sin agente para Kubernetes, cambie la configuración a Activado.
La valoración de vulnerabilidades de contenedor sin agente proporciona administración de vulnerabilidades para las imágenes almacenadas en registros de Google (GAR y GCR) y la ejecución de imágenes en los clústeres de GKE. Para habilitar la característica de evaluación de vulnerabilidades de contenedor sin agente, cambie la configuración a Activado.
Haga clic en el botón Copiar.
Seleccione el botón Cloud Shell de GCP .
Pegue el script en el terminal de Cloud Shell y ejecútelo.
El conector se actualizará después de que se ejecute el script. Este proceso puede tardar entre 6 y 8 horas en completarse.
Seleccione Siguiente: Revisar y crear>.
Seleccione Actualizar.
Implementación de la solución en clústeres específicos
Si deshabilitó cualquiera de las configuraciones de aprovisionamiento automático predeterminadas, durante el proceso de incorporación del conector de GCP o posteriormente. Debe instalar manualmente Kubernetes habilitados para Azure Arc, el sensor de Defender y Azure Policy for Kubernetes en cada uno de sus clústeres de GKE para obtener todo el valor de seguridad de Defender para contenedores.
Hay dos recomendaciones dedicadas de Defender for Cloud que puede usar para instalar las extensiones (y Arc, si es necesario):
GKE clusters should have Microsoft Defender's extension for Azure Arc installedGKE clusters should have the Azure Policy extension installed
Nota:
Al instalar extensiones de Arc, es necesario comprobar que el proyecto de GCP proporcionado sea idéntico al del conector correspondiente.
Para implementar la solución en clústeres específicos:
Inicie sesión en Azure Portal.
Busque y seleccione Microsoft Defender for Cloud.
En el menú de Defender for Cloud, seleccione Recomendaciones.
En la página Recomendaciones de Defender for Cloud, busque cada una de las recomendaciones anteriores por su nombre.
Seleccione un clúster de GKE incorrecto.
Importante
Debe seleccionar los clústeres de uno en uno.
No seleccione los clústeres en función de sus nombres hipervinculados: seleccione otros clústeres en la fila correspondiente.
Seleccione el nombre del recurso incorrecto.
Seleccione Corregir.
Defender for Cloud genera un script en el lenguaje que elija:
- En Linux, seleccione Bash.
- En Windows, seleccione PowerShell.
Seleccione Descargar lógica de corrección.
Ejecute el script generado en el clúster.
Repita los pasos del 3 al 10 para la segunda recomendación.
Pasos siguientes
Para conocer las características avanzadas de habilitación de Defender para contenedores, consulte la página Habilitar Microsoft Defender para contenedores.