Proteja seus contêineres do Google Cloud Platform (GCP) com o Defender para contêineres

O Microsoft Defender para contêineres é a solução nativa de nuvem utilizada para proteger os contêineres e você poder melhorar, monitorar e manter a segurança dos clusters, dos contêineres e dos aplicativos.

Saiba mais em Visão geral do Microsoft Defender para contêineres.

Você pode saber mais sobre os preços do Defender para contêineres na página de preços.

Pré-requisitos

• É necessário ter uma assinatura do Microsoft Azure . Se você não tiver uma assinatura do Azure, você pode se inscrever para uma assinatura gratuita.

• Você deve ativar o Microsoft Defender para Nuvem na sua assinatura do Azure.

• Conecte seus projetos do GCP ao Microsoft Defender para Nuvem.

• Verifique se os nós do Kubernetes podem acessar repositórios de origem do gerenciador de pacotes.

• Certifique-se de que os seguintes requisitos de rede do Kubernetes habilitado para Azure Arc sejam validados.

Habilite o plano do Defender para contêineres no seu projeto do GCP

Para proteger os clusters do GKE (Google Kubernetes Engine):

1. Entre no portal do Azure.

2. Pesquise pelo Microsoft Defender para Nuvem e selecione-o.

3. No menu do Defender para Nuvem, selecione Configurações de ambiente.

4. Escolha o conector do GCP relevante.

   

5. Selecione o botão Avançar: selecionar os planos.

6. Verifique se o plano de Contêineres está alternado para Ativado.

   

7. Para alterar as configurações opcionais do plano, selecione Configurações.

   

   • Logs de auditoria do Kubernetes para o Defender para Nuvem: habilitado por padrão. Essa configuração está disponível apenas no nível de projeto do GCP. Ela fornece a coleta sem agente dos dados do log de auditoria por meio do registrar em log na nuvem do GCP para o back-back do Microsoft Defender para Nuvem para análise posterior. O Defender para contêineres requer logs de auditoria do painel de controle para fornecer proteção contra ameaças em tempo de execução. Para enviar logs de auditoria do Kubernetes para o Microsoft Defender, alterne a configuração para Ativar.

     Observação

     Se você desabilitar essa configuração, o recurso Threat detection (control plane) será desabilitado. Saiba mais sobre a disponibilidade dos recursos.

   • Provisionar automaticamente o sensor do Defender para o Azure Arc e Provisionar automaticamente a extensão do Azure Policy para o Azure Arc: habilitado por padrão. Você pode instalar o Kubernetes habilitado para Azure Arc e suas extensões em seus clusters do GKE de três maneiras:

     • Habilite o provisionamento automático do Microsoft Defender para contêineres no nível do projeto, conforme explicado nas instruções desta seção. Este método é recomendável.
     • Use as recomendações do Defender para Nuvem para instalação por cluster. Elas aparecem na página de recomendações do Microsoft Defender para Nuvem. Saiba como implantar a solução em clusters específicos.
     • Instale manualmente o Kubernetes habilitado para Arc e extensões.

   • A descoberta sem agente para Kubernetes fornece a descoberta baseada em API de seus clusters do Kubernetes. Para habilitar a descoberta sem agente para o recurso do Kubernetes, alterne a configuração para Ativada.

   • A Avaliação de Vulnerabilidade de Contêiner sem Agente fornece gerenciamento de vulnerabilidades para imagens armazenadas em Registros do Google (GAR e GCR) e imagens em execução em seus clusters do GKE. Para habilitar o recurso Avaliação de Vulnerabilidade de Contêiner sem Agente, alterne a configuração para Ativada.

8. Selecione o botão Copiar.

   

9. Selecione o botão GCP Cloud Shell.

10. Cole o script no terminal do Cloud Shell e execute-o.

    O conector será atualizado após a execução do script. Esse processo pode levar de 6 a 8 horas até ser concluído.

11. Selecione Avançar: Revisar e Gerar>.

12. Selecione Atualizar.

Implantar a solução em clusters específicos

Se você desabilitou qualquer uma das configurações de provisionamento automático padrão como Desligado, durante o processo de integração do conector GCP ou depois. Você precisa instalar manualmente o Kubernetes habilitado para Azure Arc, o sensor do Defender e o Azure Policy para Kubernetes em cada um de seus clusters GKE para obter o valor total da segurança do Defender para Contêineres.

Há duas recomendações dedicadas do Defender para Nuvem que você pode usar para instalar as extensões (e o Arc, se necessário):

• GKE clusters should have Microsoft Defender's extension for Azure Arc installed
• GKE clusters should have the Azure Policy extension installed

Observação

Ao instalar as extensões do Arc, você deve verificar se o projeto GCP fornecido é idêntico ao do conector relevante.

Para implantar a solução em clusters específicos:

1. Entre no portal do Azure.

2. Pesquise pelo Microsoft Defender para Nuvem e selecione-o.

3. No menu Defender para Nuvem, selecione Recomendações.

4. Na página Recomendações do Defender para Nuvem, procure uma das recomendações acima pelo nome.

   

5. Selecione um cluster do GKE não íntegro.

   Importante

   Você deve selecionar um cluster por vez.

   Não selecione os clusters pelo nome do hiperlink, selecione qualquer outro lugar na linha relevante.

6. Selecione o nome do recurso não íntegro.

7. Selecione Corrigir.

   

8. O Defender para Nuvem vai gerar um script no idioma de sua escolha:

   • No Linux, selecione Bash.
   • No Windows, selecione PowerShell.

9. Selecione Baixar lógica de correção.

10. Execute o script gerado no cluster.

11. Repita as etapas 3 a 10 para a segunda recomendação.

Próximas etapas

• Para obter recursos avançados de habilitação do Defender para contêineres, confira a página Habilitar o Microsoft Defender para contêineres.

• Visão geral do Microsoft Defender para contêineres.