Proteja seus contêineres do Google Cloud Platform (GCP) com o Defender for Containers

O Defender for Containers no Microsoft Defender for Cloud é a solução nativa da nuvem usada para proteger seus contêineres para que você possa melhorar, monitorar e manter a segurança de seus clusters, contêineres e seus aplicativos.

Saiba mais sobre Visão geral do Microsoft Defender for Containers.

Você pode saber mais sobre os preços do Defender for Container na página de preços.

Pré-requisitos

• Precisará de uma subscrição do Microsoft Azure. Se não tiver uma subscrição do Azure, pode inscrever-se numa subscrição gratuita.

• Você deve habilitar o Microsoft Defender for Cloud em sua assinatura do Azure.

• Conecte seus projetos GCP ao Microsoft Defender for Cloud.

• Verifique se os nós do Kubernetes podem acessar repositórios de origem do seu gerenciador de pacotes.

• Verifique se os seguintes requisitos de rede do Kubernetes habilitados para Azure Arc estão validados.

Habilite o plano do Defender for Containers em seu projeto GCP

Para proteger os clusters do Google Kubernetes Engine (GKE):

1. Inicie sessão no portal do Azure.

2. Procure e selecione Microsoft Defender para a Cloud.

3. No menu do Defender for Cloud, selecione Configurações do ambiente.

4. Selecione o projeto GCP relevante.

   

5. Selecione o botão Avançar: Selecionar planos .

6. Certifique-se de que o plano Containers está alternado para Ativado.

   

7. Para alterar as configurações opcionais do plano, selecione Configurações.

   

   • Logs de auditoria do Kubernetes no Defender for Cloud: ativado por padrão. Essa configuração está disponível apenas no nível do projeto GCP. Ele fornece coleta sem agente dos dados de log de auditoria por meio do GCP Cloud Logging para o back-end do Microsoft Defender for Cloud para análise posterior. O Defender for Containers requer logs de auditoria do plano de controle para fornecer proteção contra ameaças em tempo de execução. Para enviar logs de auditoria do Kubernetes para o Microsoft Defender, alterne a configuração para Ativado.

     Nota

     Se você desabilitar essa configuração, o Threat detection (control plane) recurso será desativado. Saiba mais sobre a disponibilidade de recursos.

   • Provisionamento automático do sensor do Defender para o Azure Arc e provisionamento automático da extensão da Política do Azure para o Azure Arc: habilitado por padrão. Você pode instalar o Kubernetes habilitado para Azure Arc e suas extensões em seus clusters GKE de três maneiras:

     • Habilite o provisionamento automático do Defender for Containers no nível do projeto, conforme explicado nas instruções desta seção. Recomendamos este método.
     • Use as recomendações do Defender for Cloud para instalação por cluster. Eles aparecem na página de recomendações do Microsoft Defender for Cloud. Saiba como implantar a solução em clusters específicos.
     • Instale manualmente o Kubernetes habilitado para Arc e extensões.

   • A descoberta sem agente para Kubernetes fornece descoberta baseada em API de seus clusters Kubernetes. Para habilitar o recurso Descoberta sem agente para Kubernetes , alterne a configuração para Ativado.

   • A Avaliação de Vulnerabilidade de Contêiner sem Agente fornece gerenciamento de vulnerabilidades para imagens armazenadas no Google Registries (GAR e GCR) e imagens em execução em seus clusters GKE. Para habilitar o recurso Avaliação de Vulnerabilidade de Contêiner sem Agente , alterne a configuração para Ativado.

8. Selecione o botão Copiar .

   

9. Selecione o botão GCP Cloud Shell .

10. Cole o script no terminal do Cloud Shell e execute-o.

    O conector será atualizado após a execução do script. Este processo pode levar até 6-8 horas para ser concluído.

11. Selecione Avançar: Revisar e Gerar>.

12. Selecione Atualizar.

Implantar a solução em clusters específicos

Se você desabilitou qualquer uma das configurações de provisionamento automático padrão para Desativado, durante o processo de integração do conector GCP ou posteriormente. Você precisa instalar manualmente o Kubernetes habilitado para Azure Arc, o sensor Defender e a Política do Azure para Kubernetes em cada um dos clusters GKE para obter todo o valor de segurança do Defender for Containers.

Há duas recomendações dedicadas do Defender for Cloud que você pode usar para instalar as extensões (e Arc, se necessário):

• GKE clusters should have Microsoft Defender's extension for Azure Arc installed
• GKE clusters should have the Azure Policy extension installed

Nota

Ao instalar extensões Arc, você deve verificar se o projeto GCP fornecido é idêntico ao do conector relevante.

Para implantar a solução em clusters específicos:

1. Inicie sessão no portal do Azure.

2. Procure e selecione Microsoft Defender para a Cloud.

3. No menu do Defender for Cloud, selecione Recomendações.

4. Na página Recomendações do Defender for Cloud, pesquise cada uma das recomendações acima pelo nome.

   

5. Selecione um cluster GKE não íntegro.

   Importante

   Você deve selecionar os clusters um de cada vez.

   Não selecione os clusters por seus nomes de hiperlink: selecione em qualquer outro lugar na linha relevante.

6. Selecione o nome do recurso não íntegro.

7. Selecione Corrigir.

   

8. O Defender for Cloud gera um script no idioma de sua escolha:

   • Para Linux, selecione Bash.
   • Para Windows, selecione PowerShell.

9. Selecione Baixar lógica de correção.

10. Execute o script gerado no cluster.

11. Repita os passos 3 a 10 para a segunda recomendação.

Próximos passos

• Para obter recursos avançados de habilitação para o Defender for Containers, consulte a página Habilitar o Microsoft Defender for Containers .

• Visão geral do Microsoft Defender for Containers.