Skydda dina GCP-containrar (Google Cloud Platform) med Defender for Containers

Defender for Containers i Microsoft Defender för molnet är den molnbaserade lösningen som används för att skydda dina containrar så att du kan förbättra, övervaka och upprätthålla säkerheten för dina kluster, containrar och deras program.

Läs mer om översikt över Microsoft Defender för containrar.

Du kan läsa mer om Priser för Defender for Container på prissidan.

Förutsättningar

• Du behöver en Microsoft Azure-prenumeration. Om du inte har en Azure-prenumeration kan du registrera dig för en kostnadsfri prenumeration.

• Du måste aktivera Microsoft Defender för molnet i din Azure-prenumeration.

• Anslut dina GCP-projekt till Microsoft Defender för molnet.

• Verifiera endast följande domäner om du använder ett relevant operativsystem.

  Domain	Port	Värdoperativsystem
  amazonlinux.*.amazonaws.com/2/extras/*	443	Amazon Linux 2
  yum standardlagringsplatser	-	RHEL/Centos
  apt-standardlagringsplatser	-	Debian

• Kontrollera att följande Azure Arc-aktiverade Kubernetes-nätverkskrav verifieras.

Aktivera Defender for Containers-planen i ditt GCP-projekt

Så här skyddar du GKE-kluster (Google Kubernetes Engine):

1. Logga in på Azure-portalen.

2. Sök efter och välj Microsoft Defender för molnet.

3. I menyn Defender för molnet väljer du Miljöinställningar.

4. Välj relevant GCP-projekt.

   

5. Välj knappen Nästa: Välj planer .

6. Kontrollera att containerplanen är växlad till På.

   

7. Välj knappen Kopiera .

   

8. Välj knappen GCP Cloud Shell.

9. Klistra in skriptet i Cloud Shell-terminalen och kör det.

   Anslutningsappen uppdateras när skriptet har körts. Den här processen kan ta upp till 6–8 timmar att slutföra.

10. Välj Nästa: Granska och generera>.

11. Välj Uppdatera.

Anteckning

Information om hur du aktiverar eller inaktiverar enskilda Defender for Containers-funktioner, antingen globalt eller för specifika resurser, finns i Så här aktiverar du Microsoft Defender för Containrar-komponenter.

Distribuera lösningen till specifika kluster

Om du har inaktiverat någon av standardkonfigurationerna för automatisk etablering till Av, under registreringsprocessen för GCP-anslutningsappen eller efteråt. Du måste installera Azure Arc-aktiverade Kubernetes manuellt, Defender-agenten och Azure Policy för Kubernetes till vart och ett av dina GKE-kluster för att få ut det fullständiga säkerhetsvärdet från Defender för containrar.

Det finns två dedikerade Defender for Cloud-rekommendationer som du kan använda för att installera tilläggen (och Arc om det behövs):

• GKE clusters should have Microsoft Defender's extension for Azure Arc installed
• GKE clusters should have the Azure Policy extension installed

Anteckning

När du installerar Arc-tillägg måste du kontrollera att det angivna GCP-projektet är identiskt med det som finns i den relevanta anslutningsappen.

Så här distribuerar du lösningen till specifika kluster:

1. Logga in på Azure-portalen.

2. Sök efter och välj Microsoft Defender för molnet.

3. I menyn Defender för molnet väljer du Rekommendationer.

4. Från sidan Rekommendationer för Defender för molnet söker du efter var och en av rekommendationerna ovan efter namn.

   

5. Välj ett GKE-kluster med feltillstånd.

   Viktigt

   Du måste välja klustren en i taget.

   Välj inte klustren efter deras hyperlänkade namn: välj någon annanstans på den relevanta raden.

6. Välj namnet på resursen som inte är felfri.

7. Välj Åtgärda.

   

8. Defender för molnet genererar ett skript på valfritt språk:

   • För Linux väljer du Bash.
   • För Windows väljer du PowerShell.

9. Välj Hämta reparationslogik.

10. Kör det genererade skriptet i klustret.

11. Upprepa steg 3 till och med 10 för den andra rekommendationen.

Nästa steg

• Avancerade aktiveringsfunktioner för Defender för containrar finns på sidan Aktivera Microsoft Defender för containrar.

• Översikt över Microsoft Defender för containrar.