Nota
O acceso a esta páxina require autorización. Pode tentar iniciar sesión ou modificar os directorios.
O acceso a esta páxina require autorización. Pode tentar modificar os directorios.
En este artículo se muestra cómo habilitar Microsoft Defender para contenedores en los clústeres de Google Kubernetes Engine (GKE) a través de Azure Portal. Puede optar por habilitar todas las características de seguridad a la vez para una protección completa o implementar de forma selectiva componentes específicos en función de sus requisitos.
Cuándo usar esta guía
Use esta guía si desea:
- Configura Defender para Contenedores en GCP por primera vez
- Habilitación de todas las características de seguridad para una protección completa
- Implementación selectiva de componentes específicos
- Corrección o adición de componentes que faltan a una implementación existente
- Implementación mediante un enfoque controlado y selectivo
- Exclusión de determinados clústeres de la protección
Prerrequisitos
- Un proyecto de GCP conectado. Para obtener más información, consulte Conexión del proyecto de GCP a Microsoft Defender for Cloud.
Requisitos de red
Compruebe que los siguientes puntos de conexión para las implementaciones en la nube pública estén configurados para el acceso de salida. Configurarlos para el acceso de salida ayuda a garantizar que el sensor de Defender pueda conectarse a Microsoft Defender for Cloud para enviar eventos y datos de seguridad.
Nota:
Los dominios *.ods.opinsights.azure.com de Azure y *.oms.opinsights.azure.com ya no son necesarios para el acceso saliente. Para más información, vea el anuncio de desuso.
| Dominio de Azure | Dominio de Azure Government | Azure operado por el dominio 21Vianet | Puerto |
|---|---|---|---|
| *.cloud.defender.microsoft.com | N/A | N/A | 443 |
También deberá validar los requisitos de red de Kubernetes habilitados para Azure Arc.
Requisitos específicos de GCP:
- Proyecto de GCP con permisos adecuados
- Clústeres de GKE (versión 1.19 y posteriores)
- Imágenes de contenedor en Google Container Registry o Artifact Registry
- Cuenta de servicio con roles de IAM necesarios
- Cloud Shell o la CLI de gcloud configurada
Implementación de todos los componentes
Siga estos pasos para habilitar la protección completa para todos los clústeres de GKE.
Conexión de clústeres de GKE a Azure Arc
Después de crear el conector:
Vaya a Microsoft Defender for Cloud>Recomendaciones.
Busque la recomendación "Los clústeres de GKE deben estar conectados a Azure Arc".
Seleccione la recomendación para ver los clústeres afectados.
Siga los pasos de corrección para conectar cada clúster:
# Connect GKE cluster to Arc az connectedk8s connect \ --name <cluster-name> \ --resource-group <resource-group> \ --location <location>
Implementa el sensor de Defender
Importante
Implementación del sensor de Defender con Helm: a diferencia de otras opciones que se aprovisionan automáticamente y se actualizan automáticamente, Helm le permite implementar el sensor de Defender de forma flexible. Este enfoque es especialmente útil en escenarios de DevOps e infraestructura como código. Con Helm se puede integrar la implementación en las canalizaciones de CI/CD y controlar todas las actualizaciones de los sensores. También puede optar por recibir versiones preliminares y de disponibilidad general. Para obtener instrucciones sobre cómo instalar el sensor de Defender mediante Helm, consulte Instalación del sensor de Defender para contenedores mediante Helm.
Después de conectar los clústeres de GKE a Azure Arc:
Vaya a Microsoft Defender for Cloud>Recomendaciones.
Busque "Los clústeres de Kubernetes habilitados para Arc deben tener instalada la extensión de Defender".
Seleccione solo los clústeres en los que desee el sensor.
Seleccione Corregir para implementar el sensor.
Configuración del escaneo del registro de contenedores
Para Google Container Registry (GCR) y Artifact Registry:
Vaya a la configuración del conector de GCP.
Seleccione Configurar junto al plan de Contenedores.
Compruebe que la evaluación de vulnerabilidades del contenedor sin agente está habilitada.
Las imágenes se examinan automáticamente al insertarlas en el registro.
Habilitación del registro de auditoría
Habilite el registro de auditoría de GKE para la protección en tiempo de ejecución:
# Enable audit logs for existing cluster
gcloud container clusters update <cluster-name> \
--zone <zone> \
--enable-cloud-logging \
--logging=SYSTEM,WORKLOAD,API_SERVER
Habilitar solo el escaneo de vulnerabilidades
Para habilitar solo el examen del registro sin protección en tiempo de ejecución:
En la configuración del conector, habilite solo la evaluación de vulnerabilidades del contenedor sin agente.
Deshabilite otros componentes.
Guarde la configuración.
Configuración por tipo de clúster
Clústeres de GKE estándar
No se requiere ninguna configuración especial. Siga los pasos de implementación predeterminados.
GKE Autopilot
Para los clústeres de Autopilot:
El sensor de Defender ajusta automáticamente las solicitudes de recursos.
No se necesita ninguna configuración manual para los límites de recursos.
Clústeres de GKE privados
Para clústeres privados:
Asegúrese de que el clúster puede llegar a los puntos de conexión de Azure.
Configure las reglas de firewall si es necesario:
gcloud compute firewall-rules create allow-azure-defender \ --allow tcp:443 \ --source-ranges <cluster-cidr> \ --target-tags <node-tags>
Configurar exclusiones
Para excluir clústeres de GKE específicos del aprovisionamiento automático:
Vaya al clúster de Google Kubernetes Engine (GKE) en GCP Console.
Agregue etiquetas al clúster:
- Para el sensor de Defender:
ms_defender_container_exclude_agents=true - Para la implementación sin agente:
ms_defender_container_exclude_agentless=true
- Para el sensor de Defender:
Nota:
En el caso de los clústeres conectados a Arc, también puede usar etiquetas de Azure:
ms_defender_container_exclude_sensors=truems_defender_container_exclude_azurepolicy=true