Proteja seus contêineres do Google Cloud Platform (GCP) com o Defender para contêineres
O Microsoft Defender para contêineres é a solução nativa de nuvem utilizada para proteger os contêineres e você poder melhorar, monitorar e manter a segurança dos clusters, dos contêineres e dos aplicativos.
Saiba mais em Visão geral do Microsoft Defender para contêineres.
Você pode saber mais sobre os preços do Defender para contêineres na página de preços.
Pré-requisitos
É necessário ter uma assinatura do Microsoft Azure . Se você não tiver uma assinatura do Azure, você pode se inscrever para uma assinatura gratuita.
Você deve ativar o Microsoft Defender para Nuvem na sua assinatura do Azure.
Conecte seus projetos do GCP ao Microsoft Defender para Nuvem.
Verifique se os nós do Kubernetes podem acessar repositórios de origem do gerenciador de pacotes.
Certifique-se de que os seguintes requisitos de rede do Kubernetes habilitado para Azure Arc sejam validados.
Habilite o plano do Defender para contêineres no seu projeto do GCP
Para proteger os clusters do GKE (Google Kubernetes Engine):
Entre no portal do Azure.
Pesquise pelo Microsoft Defender para Nuvem e selecione-o.
No menu do Defender para Nuvem, selecione Configurações de ambiente.
Escolha o conector do GCP relevante.
Selecione o botão Próximo: selecionar planos .
Verifique se o plano de Contêineres está alternado para Ativado.
Selecione o botão Copiar.
Selecione o botão Cloud Shell do GCP .
Cole o script no terminal do Cloud Shell e execute-o.
O conector será atualizado após a execução do script. Esse processo pode levar de 6 a 8 horas até ser concluído.
Selecione Avançar: Revisar e Gerar>.
Selecione Atualizar.
Observação
Para habilitar ou desabilitar os recursos individuais do Defender para Contêineres, globalmente ou para recursos específicos, confira Como habilitar os componentes do Microsoft Defender para Contêineres.
Implantar a solução em clusters específicos
Se você desabilitou qualquer uma das configurações de provisionamento automático padrão como Desligado, durante o processo de integração do conector GCP ou depois. Você precisa instalar manualmente o Kubernetes habilitado para Azure Arc, o agente do Defender e o Azure Policy for Kubernetes em cada um dos clusters do GKE para obter o valor total de segurança do Defender for Containers.
Há duas recomendações dedicadas do Defender para Nuvem que você pode usar para instalar as extensões (e o Arc, se necessário):
GKE clusters should have Microsoft Defender's extension for Azure Arc installed
GKE clusters should have the Azure Policy extension installed
Observação
Ao instalar as extensões do Arc, você deve verificar se o projeto GCP fornecido é idêntico ao do conector relevante.
Para implantar a solução em clusters específicos:
Entre no portal do Azure.
Pesquise pelo Microsoft Defender para Nuvem e selecione-o.
No menu Defender para Nuvem, selecione Recomendações.
Na página Recomendações do Defender para Nuvem, procure uma das recomendações acima pelo nome.
Selecione um cluster do GKE não íntegro.
Importante
Você deve selecionar um cluster por vez.
Não selecione os clusters pelo nome do hiperlink, selecione qualquer outro lugar na linha relevante.
Selecione o nome do recurso não íntegro.
Selecione Corrigir.
O Defender para Nuvem vai gerar um script no idioma de sua escolha:
- No Linux, selecione Bash.
- No Windows, selecione PowerShell.
Selecione Baixar lógica de correção.
Execute o script gerado no cluster.
Repita as etapas 3 a 10 para a segunda recomendação.
Próximas etapas
Para obter recursos avançados de habilitação do Defender para contêineres, confira a página Habilitar o Microsoft Defender para contêineres.