Kapsayıcılar için Defender ile Google Cloud Platform (GCP) kapsayıcılarınızı koruma

Bulut için Microsoft Defender'deki Kapsayıcılar için Defender, kümelerinizin, kapsayıcılarınızın ve bunların uygulamalarının güvenliğini iyileştirmeniz, izlemeniz ve korumanız için kapsayıcılarınızın güvenliğini sağlamak için kullanılan buluta özel bir çözümdür.

Kapsayıcılar için Microsoft Defender'a Genel Bakış hakkında daha fazla bilgi edinin.

Kapsayıcı için Defender fiyatlandırması hakkında daha fazla bilgiyi fiyatlandırma sayfasından öğrenebilirsiniz.

Önkoşullar

• Microsoft Azure aboneliğiniz olması gerekir. Azure aboneliğiniz yoksa ücretsiz aboneliğe kaydolabilirsiniz.

• Azure aboneliğinizde Bulut için Microsoft Defender etkinleştirmeniz gerekir.

• GCP projelerinizi Bulut için Microsoft Defender Bağlan.

• Kubernetes düğümlerinizin paket yöneticinizin kaynak depolarına erişebildiğini doğrulayın.

• Aşağıdaki Azure Arc özellikli Kubernetes ağ gereksinimlerinin doğrulandığından emin olun.

GCP projenizde Kapsayıcılar için Defender planını etkinleştirme

Google Kubernetes Engine (GKE) kümelerini korumak için:

1. Azure Portal’ında oturum açın.

2. Bulut için Microsoft Defender arayın ve seçin.

3. Bulut için Defender menüsünde Ortam ayarları'nı seçin.

4. İlgili GCP projesini seçin.

   

5. İleri: Planları seç düğmesini seçin.

6. Kapsayıcılar planının Açık olarak ayarlandığından emin olun.

   

7. Plan için isteğe bağlı yapılandırmaları değiştirmek için Ayarlar'ı seçin.

   

   • Kubernetes denetim günlüklerini Bulut için Defender: Varsayılan olarak etkindir. Bu yapılandırma yalnızca GCP proje düzeyinde kullanılabilir. Daha fazla analiz için GCP Bulut Günlüğü aracılığıyla Bulut için Microsoft Defender arka uca denetim günlüğü verilerinin aracısız bir şekilde toplanmasına olanak sağlar. Kapsayıcılar için Defender, çalışma zamanı tehdit koruması sağlamak için denetim düzlemi denetim günlüklerini gerektirir. Kubernetes denetim günlüklerini Microsoft Defender'a göndermek için ayarı Açık olarak değiştirin.

     Not

     Bu yapılandırmayı Threat detection (control plane) devre dışı bırakırsanız özellik devre dışı bırakılır. Özelliklerin kullanılabilirliği hakkında daha fazla bilgi edinin.

   • Azure Arc için Defender algılayıcısını otomatik sağlama ve Azure Arc için otomatik sağlama Azure İlkesi uzantısı: Varsayılan olarak etkindir. Azure Arc özellikli Kubernetes'i ve uzantılarını GKE kümelerinize üç şekilde yükleyebilirsiniz:

     • Bu bölümdeki yönergelerde açıklandığı gibi, Kapsayıcılar için Defender'ı proje düzeyinde otomatik sağlamayı etkinleştirin. Bu yöntemi öneririz.
     • Küme başına yükleme için Bulut için Defender önerileri kullanın. Bunlar Bulut için Microsoft Defender öneriler sayfasında görünür. Çözümü belirli kümelere dağıtmayı öğrenin.
     • Arc özellikli Kubernetes'i ve uzantıları el ile yükleyin.

   • Kubernetes için aracısız bulma, Kubernetes kümelerinizin API tabanlı keşfini sağlar. Kubernetes için Aracısız bulma özelliğini etkinleştirmek için ayarı Açık olarak değiştirin.

   • Aracısız Kapsayıcı Güvenlik Açığı Değerlendirmesi, Google Kayıt Defterlerinde (GAR ve GCR) depolanan ve GKE kümelerinizde çalışan görüntüler için güvenlik açığı yönetimi sağlar. Aracısız Kapsayıcı Güvenlik Açığı Değerlendirmesi özelliğini etkinleştirmek için ayarı Açık olarak değiştirin.

8. Kopyala düğmesini seçin.

   

9. GCP Cloud Shell düğmesini seçin.

10. Betiği Cloud Shell terminaline yapıştırın ve çalıştırın.

    Betik yürütülürken bağlayıcı güncelleştirilir. Bu işlemin tamamlanması 6-8 saat kadar sürebilir.

11. İleri: Gözden Geçir ve Oluştur'a> tıklayın.

12. Güncelleştir’i seçin.

Çözümü belirli kümelere dağıtma

Varsayılan otomatik sağlama yapılandırmalarından herhangi birini Kapalı olarak devre dışı bırakdıysanız, GCP bağlayıcısı ekleme işlemi sırasında veya daha sonra. Kapsayıcılar için Defender'ın tüm güvenlik değerini elde etmek için GKE kümelerinizin her birine Azure Arc özellikli Kubernetes' i, Defender algılayıcısını ve Kubernetes için Azure İlkesi el ile yüklemeniz gerekir.

Uzantıları yüklemek için kullanabileceğiniz iki ayrılmış Bulut için Defender önerisi vardır (ve gerekirse Arc):

• GKE clusters should have Microsoft Defender's extension for Azure Arc installed
• GKE clusters should have the Azure Policy extension installed

Not

Arc uzantılarını yüklerken, sağlanan GCP projesinin ilgili bağlayıcıdaki projeyle aynı olduğunu doğrulamanız gerekir.

Çözümü belirli kümelere dağıtmak için:

1. Azure Portal’ında oturum açın.

2. Bulut için Microsoft Defender arayın ve seçin.

3. Bulut için Defender menüsünde Öneriler'ı seçin.

4. Bulut için Defender Öneriler sayfasında, yukarıdaki önerilerin her birini ada göre arayın.

   

5. İyi durumda olmayan bir GKE kümesi seçin.

   Önemli

   Kümeleri birer birer seçmeniz gerekir.

   Kümeleri köprülenmiş adlarıyla seçmeyin: ilgili satırda başka bir yeri seçin.

6. İyi durumda olmayan kaynağın adını seçin.

7. Düzelt'i seçin.

   

8. Bulut için Defender, seçtiğiniz dilde bir betik oluşturur:

   • Linux için Bash'i seçin.
   • Windows için PowerShell'i seçin.

9. Düzeltme mantığını indir'i seçin.

10. Oluşturulan betiği kümenizde çalıştırın.

11. İkinci öneri için 3 ile 10 arasındaki adımları yineleyin.

Sonraki adımlar

• Kapsayıcılar için Defender'ın gelişmiş etkinleştirme özellikleri için Kapsayıcılar için Microsoft Defender'ı etkinleştirme sayfasına bakın.

• Kapsayıcılar için Microsoft Defender'a genel bakış.