Melindungi kontainer Google Cloud Platform (GCP) Anda dengan Defender untuk Kontainer
Defender for Containers in Microsoft Defender untuk Cloud adalah solusi cloud-native yang digunakan untuk mengamankan kontainer Anda sehingga Anda dapat meningkatkan, memantau, dan menjaga keamanan kluster, kontainer, dan aplikasi mereka.
Pelajari selengkapnya tentang Gambaran Umum Pertahanan Microsoft untuk Kontainer.
Anda dapat mempelajari selengkapnya tentang harga Defender for Container di halaman harga.
Prasyarat
Anda memerlukan langganan Microsoft Azure. Jika Anda tidak memiliki langganan Azure, Anda dapat mendaftar untuk langganan gratis.
Anda harus mengaktifkan Microsoft Defender untuk Cloud pada langganan Azure Anda.
Koneksi proyek GCP Anda untuk Microsoft Defender untuk Cloud.
Verifikasi simpul Kubernetes Anda dapat mengakses repositori sumber manajer paket Anda.
Pastikan persyaratan jaringan Kubernetes dengan dukungan Azure Arc berikut divalidasi.
Aktifkan paket Defender for Containers pada proyek GCP Anda
Untuk melindungi kluster Google Kubernetes Engine (GKE):
Masuk ke portal Azure.
Cari dan pilih Microsoft Defender untuk Cloud.
Di menu Defender untuk Cloud, pilih Pengaturan lingkungan.
Pilih proyek GCP yang relevan.
Pilih tombol Berikutnya: Pilih paket .
Pastikan bahwa paket Kontainer diatur ke On.
Untuk mengubah konfigurasi opsional untuk paket, pilih Pengaturan.
Log audit Kubernetes ke Defender untuk Cloud: Diaktifkan secara default. Konfigurasi ini hanya tersedia di tingkat proyek GCP. Ini menyediakan pengumpulan data log audit tanpa agen melalui GCP Cloud Logging ke back end Microsoft Defender untuk Cloud untuk analisis lebih lanjut. Defender for Containers memerlukan log audit sarana kontrol untuk memberikan perlindungan ancaman runtime. Untuk mengirim log audit Kubernetes ke Pertahanan Microsoft, alihkan pengaturan ke Aktif.
Catatan
Jika Anda menonaktifkan konfigurasi ini, maka fitur
Threat detection (control plane)
akan dinonaktifkan. Pelajari lebih lanjut terkait ketersediaan fitur.Provisi otomatis sensor Defender untuk Azure Arc dan Provisi otomatis ekstensi Azure Policy untuk Azure Arc: Diaktifkan secara default. Anda dapat menginstal Kubernetes dengan dukungan Azure Arc dan ekstensinya pada kluster GKE Anda dengan tiga cara:
- Aktifkan provisi otomatis Defender untuk Kontainer di tingkat proyek, seperti yang dijelaskan dalam instruksi di bagian ini. Kami merekomendasikan metode ini.
- Gunakan rekomendasi Defender untuk Cloud untuk penginstalan per kluster. Mereka muncul di halaman rekomendasi Microsoft Defender untuk Cloud. Pelajari cara menyebarkan solusi ke kluster tertentu.
- Instal Kubernetes dan ekstensi dengan dukungan Arc secara manual.
Penemuan tanpa agen untuk Kubernetes menyediakan penemuan berbasis API dari kluster Kubernetes Anda. Untuk mengaktifkan penemuan Tanpa Agen untuk fitur Kubernetes , alihkan pengaturan ke Aktif.
Penilaian Kerentanan Kontainer Tanpa Agen menyediakan pengelolaan kerentanan untuk gambar yang disimpan di Google Registries (GAR dan GCR) dan menjalankan gambar di kluster GKE Anda. Untuk mengaktifkan fitur Penilaian Kerentanan Kontainer Tanpa Agen, alihkan pengaturan ke Aktif.
Pilih tombol Salin.
Pilih tombol Cloud Shell GCP .
Tempelkan skrip ke terminal Cloud Shell, dan jalankan.
Konektor akan diperbarui setelah skrip dijalankan. Proses ini bisa memakan waktu hingga 6-8 jam hingga selesai.
Pilih Berikutnya: Tinjau dan Hasilkan>.
Pilih Perbarui.
Menyebarkan solusi ke kluster tertentu
Jika Anda menonaktifkan salah satu konfigurasi provisi otomatis default ke Off, selama proses onboarding konektor GCP, atau setelahnya. Anda perlu menginstal Kubernetes dengan dukungan Azure Arc secara manual, sensor Defender, dan Azure Policy untuk Kubernetes ke setiap kluster GKE Anda untuk mendapatkan nilai keamanan penuh dari Defender untuk Kontainer.
Ada dua rekomendasi Defender untuk Cloud khusus yang dapat Anda gunakan untuk menginstal ekstensi (dan Arc jika perlu):
GKE clusters should have Microsoft Defender's extension for Azure Arc installed
GKE clusters should have the Azure Policy extension installed
Catatan
Saat menginstal ekstensi Arc, Anda harus memverifikasi bahwa proyek GCP yang disediakan identik dengan yang ada di konektor yang relevan.
Untuk menyebarkan solusi ke kluster tertentu:
Masuk ke portal Azure.
Cari dan pilih Microsoft Defender untuk Cloud.
Di menu Defender untuk Cloud, pilih Rekomendasi.
Dari halaman Rekomendasi Defender untuk Cloud, cari masing-masing rekomendasi di atas berdasarkan nama.
Pilih kluster GKE yang tidak sehat.
Penting
Anda harus memilih kluster satu per satu.
Jangan pilih kluster berdasarkan nama hyperlink mereka: pilih di tempat lain di baris yang relevan.
Pilih nama sumber daya yang tidak sehat.
Pilih Perbaiki.
Defender untuk Cloud menghasilkan skrip dalam bahasa pilihan Anda:
- Untuk Linux, pilih Bash.
- Untuk Windows, pilih PowerShell.
Pilih Unduh logika remediasi.
Jalankan skrip yang dihasilkan di kluster Anda.
Ulangi langkah 3 hingga 10 untuk rekomendasi kedua.
Langkah berikutnya
Untuk fitur pengaktifan tingkat lanjut untuk Defender untuk Kontainer, lihat halaman Aktifkan Pertahanan Microsoft untuk Kontainer .