Защита контейнеров Google Cloud Platform (GCP) с помощью Defender для контейнеров

Defender для контейнеров в Microsoft Defender для облака — это облачное решение, которое используется для защиты контейнеров, чтобы улучшить, отслеживать и поддерживать безопасность кластеров, контейнеров и их приложений.

Дополнительные сведения о Microsoft Defender для контейнеров.

Дополнительные сведения о ценах Defender для контейнера см. на странице цен.

Необходимые компоненты

• Вам потребуется подписка Microsoft Azure . Если у вас нет подписки Azure, вы можете зарегистрироваться для бесплатной подписки.

• Необходимо включить Microsoft Defender для облака в подписке Azure.

• Подключите проекты GCP к Microsoft Defender для облака.

• Убедитесь, что узлы Kubernetes могут получить доступ к исходным репозиториям диспетчера пакетов.

• Убедитесь, что проверяются следующие требования к сети с поддержкой Azure Arc.

Включение плана Defender для контейнеров в проекте GCP

Чтобы защитить кластеры Google Kubernetes Engine (GKE):

1. Войдите на портал Azure.

2. Найдите и выберите Microsoft Defender для облака.

3. В меню Defender для облака выберите параметры среды.

4. Выберите соответствующий проект GCP.

   

5. Нажмите кнопку Next: Select Plans (Далее: выбор планов).

6. Убедитесь, что переключатель плана контейнеров находится в положении On (Вкл.).

   

7. Чтобы изменить необязательные конфигурации для плана, выберите "Параметры".

   

   • Журналы аудита Kubernetes для Defender для облака: включен по умолчанию. Эта конфигурация доступна только на уровне проекта GCP. Он предоставляет бессерверную коллекцию данных журнала аудита через GCP Cloud Log в серверную часть Microsoft Defender для облака для дальнейшего анализа. Defender для контейнеров требует журналов аудита уровня управления для обеспечения защиты от угроз среды выполнения. Чтобы отправить журналы аудита Kubernetes в Microsoft Defender, переключите параметр " Вкл.".

     Примечание.

     Если отключить эту конфигурацию, функция Threat detection (control plane) будет отключена. См. дополнительные сведения о доступности функций.

   • Датчик Автоматической подготовки Defender для Azure Arc и автоматической подготовки Политика Azure расширения для Azure Arc: включен по умолчанию. Kubernetes с поддержкой Azure Arc и его расширения можно установить в кластерах GKE тремя способами:

     • Включите автоматическую подготовку Defender для контейнеров на уровне проекта, как описано в инструкциях в этом разделе. Мы рекомендуем этот метод.
     • Используйте рекомендации Defender для облака для установки на кластер. Они отображаются на странице рекомендаций Microsoft Defender для облака. Узнайте, как развернуть решение в определенных кластерах.
     • Вручную установите Kubernetes и расширения с поддержкой Arc.

   • Обнаружение без агента для Kubernetes обеспечивает обнаружение кластеров Kubernetes на основе API. Чтобы включить функцию обнаружения без агента для Kubernetes , переключите параметр " Вкл.".

   • Оценка уязвимостей без агента предоставляет управление уязвимостями для образов, хранящихся в реестрах Google (GAR и GCR) и выполняющих образы в кластерах GKE. Чтобы включить функцию оценки уязвимостей без агента, переключите параметр "Вкл.

8. Нажмите кнопку Copy (Копировать).

   

9. Нажмите кнопку GCP Cloud Shell .

10. Вставьте сценарий в терминал Cloud Shell и выполните его.

    Соединитель будет обновлен после выполнения сценария. Выполнение этого процесса может занять до 6 – 8 часов.

11. Нажмите кнопку "Далее": проверка и создание>.

12. Выберите Обновить.

Развертывание решения в определенных кластерах

Если вы отключили любой параметр из конфигурации автоматической подготовки по умолчанию, переведя переключатель в положение "Off" (Выкл.), в процессе регистрации соединителя GCP или позже. Необходимо вручную установить Kubernetes с поддержкой Azure Arc, датчик Defender и Политика Azure для Kubernetes в каждом из кластеров GKE, чтобы получить полное значение безопасности из Defender для контейнеров.

Существует два выделенных Defender для облака рекомендаций, которые можно использовать для установки расширений (и Arc при необходимости):

• GKE clusters should have Microsoft Defender's extension for Azure Arc installed
• GKE clusters should have the Azure Policy extension installed

Примечание.

При установке расширений Arc необходимо убедиться, что проект GCP идентичен одному из них в соответствующем соединителе.

Чтобы развернуть решение в определенных кластерах:

1. Войдите на портал Azure.

2. Найдите и выберите Microsoft Defender для облака.

3. В меню Defender для облака выберите "Рекомендации".

4. На странице рекомендаций Defender для облака найдите каждую из приведенных выше рекомендаций по имени.

   

5. Выберите неработоспособный кластер GKE.

   Внимание

   Необходимо выбирать кластеры по одному за раз.

   Не выбирайте кластеры по именам гиперссылок: делайте выбор по любому другому элементу в соответствующей строке.

6. Выберите имя неработоспособного ресурса.

7. Выберите элемент Исправить.

   

8. Defender для облака создает скрипт на выбранном языке:

   • Для Linux выберите Bash.
   • Для Windows выберите PowerShell.

9. Выберите элемент Download remediation logic (Скачать логику исправления).

10. Запустите созданный скрипт в кластере.

11. Повторите шаги 3–10 для второй рекомендации.

Следующие шаги

• Дополнительные возможности включения для контейнеров Defender для контейнеров см. на странице "Включение Microsoft Defender для контейнеров ".

• Обзор Microsoft Defender для контейнеров.