A Google Cloud Platform (GCP) tárolóinak védelme a Defender for Containers használatával

A Defender for Containers a Felhőhöz készült Microsoft Defender-ban a felhőalapú natív megoldás, amellyel biztonságossá teheti a tárolókat, így javíthatja, figyelheti és kezelheti a fürtök, tárolók és alkalmazásuk biztonságát.

További információ a Microsoft Defender for Containers áttekintéséről.

A Defender for Container díjszabásáról a díjszabási oldalon tudhat meg többet.

Előfeltételek

• Ehhez Microsoft Azure-előfizetésre van szükség. Ha nem rendelkezik Azure-előfizetéssel, regisztrálhat egy ingyenes előfizetésre.

• Engedélyeznie kell Felhőhöz készült Microsoft Defender az Azure-előfizetésében.

• Csatlakozás GCP-projektjeit Felhőhöz készült Microsoft Defender.

• Ellenőrizze, hogy a Kubernetes-csomópontok hozzáférnek-e a csomagkezelő forrásadattáraihoz.

• Győződjön meg arról, hogy a következő Azure Arc-kompatibilis Kubernetes-hálózati követelmények teljesülnek.

A Defender for Containers csomag engedélyezése a GCP-projektben

A Google Kubernetes Engine -fürtök védelme:

1. Jelentkezzen be az Azure Portalra.

2. Keresse meg és válassza ki a Felhőhöz készült Microsoft Defender.

3. A Felhőhöz készült Defender menüben válassza a Környezeti beállítások lehetőséget.

4. Válassza ki a megfelelő GCP-projektet.

   

5. Válassza a Tovább: Tervek kiválasztása gombot.

6. Győződjön meg arról, hogy a Tárolók csomag be van kapcsolva.

   

7. A csomag választható konfigurációinak módosításához válassza a Gépház.

   

   • A Kubernetes naplózási naplóit a következőre Felhőhöz készült Defender: Alapértelmezés szerint engedélyezve van. Ez a konfiguráció csak a GCP-projekt szintjén érhető el. Ügynök nélküli adatgyűjtést biztosít a naplóadatokról a GCP-felhőnaplózáson keresztül a Felhőhöz készült Microsoft Defender háttérrendszerbe további elemzés céljából. A Defender for Containershez vezérlősík-naplózási naplókra van szükség a futtatókörnyezeti veszélyforrások elleni védelem biztosításához. Ha Kubernetes-naplókat szeretne küldeni a Microsoft Defendernek, kapcsolja be a beállítást .

     Feljegyzés

     Ha letiltja ezt a konfigurációt, a Threat detection (control plane) szolgáltatás le lesz tiltva. További információ a szolgáltatások elérhetőségéről.

   • A Defender érzékelőjének automatikus kiépítése az Azure Archoz és az Azure Policy-bővítmény automatikus kiépítése az Azure Archoz: Alapértelmezés szerint engedélyezve van. Az Azure Arc-kompatibilis Kubernetes és annak bővítményei három módon telepíthetők a GKE-fürtökre:

     • A Defender for Containers projektszinten történő automatikus üzembe helyezésének engedélyezése az ebben a szakaszban ismertetett utasításoknak megfelelően. Ezt a módszert javasoljuk.
     • Használjon Felhőhöz készült Defender javaslatokat a fürtönkénti telepítéshez. Ezek megjelennek a Felhőhöz készült Microsoft Defender javaslatok oldalán. Megtudhatja, hogyan helyezheti üzembe a megoldást adott fürtökön.
     • Az Arc-kompatibilis Kubernetes és -bővítmények manuális telepítése.

   • A Kubernetes ügynök nélküli felderítése API-alapú felderítést biztosít a Kubernetes-fürtök számára. A Kubernetes ügynök nélküli felderítésének engedélyezéséhez állítsa be a beállítást Be értékre.

   • Az ügynök nélküli tároló sebezhetőségi felmérése biztonságirés-kezelés biztosít a Google-nyilvántartásokban (GAR és GCR) tárolt képekhez, valamint képeket futtat a GKE-fürtökön. Az ügynök nélküli tároló biztonságirés-felmérési funkciójának engedélyezéséhez állítsa be a beállítást Be értékre.

8. Válassza a Másolás gombot.

   

9. Válassza a GCP Cloud Shell gombot.

10. Illessze be a szkriptet a Cloud Shell-terminálba, és futtassa.

    Az összekötő a szkript végrehajtása után frissül. Ez a folyamat akár 6-8 órát is igénybe vehet.

11. Válassza a Tovább elemet : Áttekintés és létrehozás>.

12. Válassza a Frissítés lehetőséget.

A megoldás üzembe helyezése adott fürtökön

Ha letiltotta az alapértelmezett automatikus kiépítési konfigurációkat kikapcsolva, a GCP-összekötő előkészítési folyamata során vagy utána. Manuálisan kell telepítenie az Azure Arc-kompatibilis Kubernetes-t, a Defender-érzékelőt és a Kubernetes-hez készült Azure Policyt az egyes GKE-fürtökre, hogy a defender for Containers teljes biztonsági értéket kapjon.

A bővítmények (és szükség esetén az Arc) telepítéséhez két dedikált Felhőhöz készült Defender javaslat használható:

• GKE clusters should have Microsoft Defender's extension for Azure Arc installed
• GKE clusters should have the Azure Policy extension installed

Feljegyzés

Az Arc-bővítmények telepítésekor ellenőriznie kell, hogy a megadott GCP-projekt megegyezik-e a megfelelő összekötőben lévő projektel.

A megoldás üzembe helyezése adott fürtökön:

1. Jelentkezzen be az Azure Portalra.

2. Keresse meg és válassza ki a Felhőhöz készült Microsoft Defender.

3. A Felhőhöz készült Defender menüben válassza a Javaslatok.

4. Felhőhöz készült Defender Javaslatok lapján keresse meg a fenti javaslatok mindegyikét név szerint.

   

5. Jelöljön ki egy nem kifogástalan állapotú GKE-fürtöt.

   Fontos

   A fürtöket egyenként kell kijelölnie.

   Ne jelölje ki a fürtöket a hivatkozott neveik alapján: a megfelelő sorban bárhol máshol jelölje ki a fürtöket.

6. Válassza ki a nem megfelelő erőforrás nevét.

7. Válassza a Javítás lehetőséget.

   

8. Felhőhöz készült Defender egy tetszőleges nyelven hoz létre szkriptet:

   • Linux esetén válassza a Bash lehetőséget.
   • Windows esetén válassza a PowerShellt.

9. Válassza a Letöltési szervizelési logika lehetőséget.

10. Futtassa a létrehozott szkriptet a fürtön.

11. Ismételje meg a második javaslat 3–10. lépését.

Következő lépések

• A Defender for Containers speciális engedélyezési funkcióit a Microsoft Defender for Containers engedélyezése lapon talál.

• A Microsoft Defender for Containers áttekintése.