Compartilhar via


Proteger seus contêineres do GCP (Google Cloud Platform) com o Defender para Contêineres

O Microsoft Defender para contêineres é a solução nativa de nuvem utilizada para proteger os contêineres e você poder melhorar, monitorar e manter a segurança dos clusters, dos contêineres e dos aplicativos.

Saiba mais em Visão geral do Microsoft Defender para contêineres.

Você pode saber mais sobre os preços do Defender para contêineres na página de preços. Você também pode estimar os custos com a calculadora de custos do Defender para Nuvem.

Pré-requisitos

Habilitar o plano Defender for Containers em seu projeto GCP

Para proteger os clusters do GKE (Google Kubernetes Engine):

  1. Entre no portal do Azure.

  2. Pesquise pelo Microsoft Defender para Nuvem e selecione-o.

  3. No menu do Defender para Nuvem, selecione Configurações de ambiente.

  4. Selecione o projeto GCP relevante.

    Captura de tela mostrando um exemplo de conector GCP.

  5. Selecione o botão Avançar: Selecionar planos .

  6. Verifique se o plano de Contêineres está alternado para Ativado.

    Captura de tela que mostra o plano de contêineres alternado para Ativado.

  7. Para alterar as configurações opcionais do plano, selecione Configurações.

    Captura de tela da página de configurações de ambiente do Defender para Nuvem mostrando as configurações do plano de contêineres.

    • O recurso de proteção contra ameaças sem agente fornece proteção contra ameaças em tempo de execução para seus contêineres de cluster e está habilitado por padrão. Essa configuração está disponível apenas no nível de projeto do GCP. Ele permite a coleta sem agente de dados de log de auditoria do plano de controle através do GCP Cloud Logging para o back-end do Microsoft Defender para Cloud, facilitando análise futura.

      Observação

      Se você desabilitar essa configuração, o recurso Threat detection (control plane) será desabilitado. Saiba mais sobre a disponibilidade dos recursos.

    • Provisionar automaticamente o sensor do Defender para o Azure Arc e Provisionar automaticamente a extensão do Azure Policy para o Azure Arc: habilitado por padrão. Você pode instalar o Kubernetes habilitado para Azure Arc e suas extensões em seus clusters do GKE de três maneiras:

    • O acesso à API K8S define permissões para permitir a descoberta baseada em API dos clusters do Kubernetes. Para habilitar, defina o alternador de acesso à API K8S como Ativado.

    • O acesso ao Registro define permissões para permitir a avaliação de vulnerabilidades de imagens armazenadas nos Registros do Google (GAR e GCR). Para habilitar, defina a opção de acesso ao Registro como Ligado.

  8. Selecione o botão Copiar.

    Captura de tela mostrando o local do botão copiar.

  9. Selecione o botão GCP Cloud Shell .

  10. Cole o script no terminal do Cloud Shell e execute-o.

    O conector será atualizado após a execução do script. Esse processo pode levar de 6 a 8 horas até ser concluído.

  11. Selecione Avançar: Revisar e Gerar>.

  12. Selecione Atualizar.

Implantar a solução em clusters específicos

Se você desabilitou qualquer uma das configurações de provisionamento automático padrão como Desligado, durante o processo de integração do conector GCP ou depois. Você precisa instalar manualmente o Azure Arc-enabled Kubernetes, o sensor do Defender e a Política do Azure para Kubernetes em cada um de seus clusters GKE para extrair o máximo valor em segurança do Defender para Containers.

Há duas recomendações dedicadas do Defender para Nuvem que você pode usar para instalar as extensões (e o Arc, se necessário):

  • GKE clusters should have Microsoft Defender's extension for Azure Arc installed
  • GKE clusters should have the Azure Policy extension installed

Observação

Ao instalar as extensões do Arc, você deve verificar se o projeto GCP fornecido é idêntico ao do conector relevante.

Para implantar a solução em clusters específicos:

  1. Entre no portal do Azure.

  2. Pesquise pelo Microsoft Defender para Nuvem e selecione-o.

  3. No menu Defender para Nuvem, selecione Recomendações.

  4. Na página Recomendações do Defender para Nuvem, pesquise cada uma das recomendações acima pelo nome.

    Captura de tela mostrando como procurar a recomendação.

  5. Selecione um cluster do GKE não íntegro.

    Importante

    Você deve selecionar um cluster por vez.

    Não selecione os clusters pelo nome do hiperlink, selecione qualquer outro lugar na linha relevante.

  6. Selecione o nome do recurso não íntegro.

  7. Selecione Corrigir.

    Captura de tela mostrando o local do botão corrigir.

  8. O Defender para Nuvem vai gerar um script no idioma de sua escolha:

    • No Linux, selecione Bash.
    • No Windows, selecione PowerShell.
  9. Selecione Baixar lógica de correção.

  10. Execute o script gerado no cluster.

  11. Repita as etapas de 3 a 10 para a segunda recomendação.

Próximas etapas