Protéger vos conteneurs Google Cloud Platform (GCP) avec Defender pour les conteneurs

  • Article

Defender pour les conteneurs dans Microsoft Defender pour le cloud est la solution native du cloud pour sécuriser vos conteneurs afin que vous puissiez améliorer, analyser et maintenir la sécurité de vos clusters, conteneurs et de leurs applications.

Apprenez-en davantage dans Vue d’ensemble de Microsoft Defender pour les conteneurs.

Pour en savoir plus sur la tarification de Defender pour les conteneurs, consultez la page de tarification.

Prérequis

Activer le plan Defender pour conteneurs sur votre projet GCP

Pour protéger les clusters Google Kubernetes Engine (GKE) :

  1. Connectez-vous au portail Azure.

  2. Recherchez et sélectionnez Microsoft Defender pour le cloud.

  3. Dans le menu de Defender pour le cloud, sélectionnez Paramètres de l’environnement.

  4. Sélectionnez le projet GCP approprié.

    Capture d’écran montrant un example de connecteur GCP.

  5. Sélectionnez le bouton Suivant : Sélectionner des plans.

  6. Assurez-vous que le plan Conteneurs est activé.

    Capture d’écran qui montre que le plan de conteneurs est activé.

  7. Pour modifier les configurations facultatives du plan, sélectionnez Paramètres.

    Capture d’écran de la page de paramètres d’environnement de Defender pour le cloud montrant les paramètres du plan Conteneurs.

    • Journaux d’audit Kubernetes vers Defender pour le cloud : activés par défaut. Cette configuration est disponible au niveau du projet GCP uniquement. Elle fournit une collection sans agent des données du journal d’audit à travers GCP Cloud Logging vers le back-end de Microsoft Defender pour le cloud pour approfondir l’analyse. Defender pour les conteneurs nécessite des journaux d’audit du plan de contrôle pour fournir une protection contre les menaces au moment de l’exécution. Pour envoyer les journaux d’audit Kubernetes à Microsoft Defender, basculez le paramètre sur Activé.

      Remarque

      Si vous désactivez cette configuration, la fonctionnalité Threat detection (control plane) est désactivée. En savoir plus sur la disponibilité des fonctionnalités.

    • Approvisionnement automatique du capteur Defender pour Azure Arc et Approvisionnement automatique de l’extension Azure Policy pour Azure Arc : activés par défaut. Vous pouvez installer Kubernetes avec Azure Arc et ses extensions sur vos clusters GKE de trois façons différentes :

      • Activez le provisionnement automatique de Microsoft Defender pour les conteneurs au niveau du projet, comme expliqué dans les instructions de cette section. Nous recommandons cette méthode.
      • Utilisez les recommandations de Defender pour le cloud pour l’installation par cluster. Elles s’affichent sur la page des recommandations de Microsoft Defender pour le cloud. Découvrez comment déployer la solution sur des clusters spécifiques.
      • Installez manuellement Kubernetes avec Arcet les extensions.

    • La découverte sans agent pour Kubernetes fournit une découverte basée sur l’API de vos clusters Kubernetes. Pour activer la fonctionnalité de découverte sans agent pour Kubernetes, basculez le paramètre sur Activé.

    • L’évaluation des vulnérabilités des conteneurs sans agent fournit une gestion des vulnérabilités pour les images stockées dans les registres Google (GAR et GCR) et l’exécution d’images sur vos clusters GKE. Pour activer la fonctionnalité d’évaluation des vulnérabilités des conteneurs sans agent, basculez le paramètre sur Activé.

  8. Sélectionnez le bouton Copier.

    Capture d’écran montrant l’emplacement du bouton de copie.

  9. Sélectionnez le bouton GCP Cloud Shell .

  10. Collez le script dans le terminal Cloud Shell et exécutez-le.

    Le connecteur sera mis à jour après l’exécution du script. Ce processus peut prendre jusqu’à 6-8 heures.

  11. Sélectionnez Suivant : Vérifier et générer>.

  12. Sélectionnez Mettre à jour.

Déployer la solution sur des clusters spécifiques

Si vous désactivez toutes les configurations d’approvisionnement automatique par défaut, pendant le processus d’intégration du connecteur GCP, ou par la suite. Vous devez installer manuellement Kubernetes avec Azure Arc, le capteur Defender et Azure Policy pour Kubernetes sur chacun de vos clusters GKE afin de bénéficier de toute la sécurité de Defender pour les conteneurs.

Il existe deux recommandations Defender pour le cloud dédiées que vous pouvez utiliser pour installer ces extensions (et Arc si nécessaire) :

  • GKE clusters should have Microsoft Defender's extension for Azure Arc installed
  • GKE clusters should have the Azure Policy extension installed

Notes

Lors de l'installation des extensions Arc, vous devez vérifier que le projet GCP fourni est identique à celui du connecteur concerné.

Pour déployer la solution sur des clusters spécifiques :

  1. Connectez-vous au portail Azure.

  2. Recherchez et sélectionnez Microsoft Defender pour le cloud.

  3. Dans le menu Defender pour le cloud, sélectionnez Recommandations.

  4. Dans la page Recommandations de Defender pour le cloud, recherchez chacune des recommandations ci-dessus par son nom.

    Capture d’écran montrant comment rechercher la recommandation.

  5. Sélectionnez un cluster GKE non sain.

    Important

    Vous devez sélectionner les clusters un par un.

    Ne sélectionnez pas les clusters par leurs noms de liens hypertexte : sélectionnez n’importe où sur la ligne appropriée.

  6. Sélectionnez le nom de la ressource non saine.

  7. Sélectionnez Corriger.

    Capture d’écran montrant l’emplacement du bouton Corriger.

  8. Defender pour le cloud génère un script dans le langage de votre choix :

    • Pour Linux, sélectionnez Bash.
    • Pour Windows, sélectionnez PowerShell.

  9. Sélectionnez Télécharger la logique de correction.

  10. Exécutez le script généré sur votre cluster.

  11. Répétez les étapes 3 à 10 pour la deuxième recommandation.

Étapes suivantes