Portal aracılığıyla GCP'de (GKE) Kapsayıcılar için Defender'ı etkinleştirme

Bu makalede, Azure portalı aracılığıyla Google Kubernetes Engine (GKE) kümelerinizde Kapsayıcılar için Microsoft Defender'ı etkinleştirme adımları gösterilmektedir. Kapsamlı koruma için tüm güvenlik özelliklerini aynı anda etkinleştirmeyi veya gereksinimlerinize göre belirli bileşenleri seçmeli olarak dağıtmayı seçebilirsiniz.

Bu kılavuz ne zaman kullanılır?

Aşağıdakiler için bu kılavuzu kullanın:

  • GCP Üzerinde Kapsayıcılar için Defender'ı İlk Kez Ayarlama
  • Kapsamlı koruma için tüm güvenlik özelliklerini etkinleştirme
  • Belirli bileşenleri seçmeli olarak dağıtma
  • Mevcut bir dağıtıma eksik bileşenleri düzeltme veya ekleme
  • Denetimli, seçmeli bir yaklaşım kullanarak dağıtma
  • Belirli kümeleri korumanın dışında tutma

Önkoşullar

Ağ gereksinimleri

Genel bulut dağıtımları için aşağıdaki uç noktaların giden erişim için yapılandırıldığını doğrulayın. Bunları giden erişim için yapılandırmak, Defender algılayıcısının güvenlik verilerini ve olaylarını göndermek için Bulut için Microsoft Defender bağlanabilmesine yardımcı olur.

Uyarı

Azure etki alanları *.ods.opinsights.azure.com ve *.oms.opinsights.azure.com artık giden erişim için gerekli değildir. Daha fazla bilgi için bkz. kullanımdan kaldırma duyurusu.

Azure etki alanı Azure Kamu etki alanı 21Vianet etki alanı tarafından sağlanan Azure Liman
*.cloud.defender.microsoft.com Mevcut Değil Mevcut Değil 443

Ayrıca Azure Arc özellikli Kubernetes ağ gereksinimlerini de doğrulamanız gerekir.

GCP'ye özgü gereksinimler:

  • Uygun izinlere sahip GCP projesi
  • GKE kümeleri (sürüm 1.19+)
  • Google Container Registry veya Artifact Registry'deki kapsayıcı görüntüleri
  • Gerekli IAM rollerine sahip hizmet hesabı
  • Cloud Shell veya gcloud CLI yapılandırılmış

Tüm bileşenleri dağıtın

Tüm GKE kümeleriniz için kapsamlı koruma sağlamak için bu adımları izleyin.

GKE kümelerini Azure Arc'a bağlama

Bağlayıcıyı oluşturduktan sonra:

  1. Bulut için Microsoft Defendergidin.

  2. "GKE kümeleri Azure Arc'a bağlanmalıdır" önerisini arayın.

  3. Etkilenen kümeleri görmek için öneriyi seçin.

  4. Her kümeye bağlanmak için düzeltme adımlarını izleyin:

    # Connect GKE cluster to Arc
az connectedk8s connect \
    --name <cluster-name> \
    --resource-group <resource-group> \
    --location <location>

Defender algılayıcısını dağıtma

Önemli

Helm kullanarak Defender algılayıcısını dağıtma: Otomatik olarak sağlanan ve güncelleştirilen diğer seçeneklerden farklı olarak Helm, Defender algılayıcısını esnek bir şekilde dağıtmanızı sağlar. Bu yaklaşım özellikle DevOps ve kod olarak altyapı senaryolarında kullanışlıdır. Helm ile dağıtımı CI/CD işlem hatlarıyla tümleştirebilir ve tüm algılayıcı güncelleştirmelerini denetleyebilirsiniz. Önizleme ve GA sürümlerini almayı da seçebilirsiniz. Helm kullanarak Defender algılayıcısını yükleme yönergeleri için bkz. Helm kullanarak Kapsayıcılar için Defender algılayıcısını yükleme.

GKE kümelerinizi Azure Arc'a bağladıktan sonra:

  1. Bulut için Microsoft Defendergidin.

  2. "Arc özellikli Kubernetes kümelerinde Defender uzantısı yüklü olmalıdır" araması yapın.

    Arc özellikli Kubernetes kümelerinde Defender uzantısının yüklü olması gereken yeri gösteren ekran görüntüsü önerisi.

  3. Yalnızca algılayıcıyı istediğiniz kümeleri seçin.

  4. Algılayıcıyı dağıtmak için Düzelt'i seçin.

    Azure portalında düzeltme düğmesinin nerede bulunacağı gösteren ekran görüntüsü.

Kapsayıcı kayıt defteri taramayı yapılandırma

Google Container Registry (GCR) ve Artifact Registry için:

  1. GCP bağlayıcı ayarlarınıza gidin.

  2. Kapsayıcılar planının yanındaki Yapılandır'ı seçin.

  3. Aracısız kapsayıcı güvenlik açığı değerlendirmesinin etkinleştirildiğini doğrulayın.

  4. Görüntüleri kayıt defterine gönderdiğinizde otomatik olarak taranır.

Denetim günlüğünü etkinleştirme

Çalışma zamanı koruması için GKE denetim günlüğünü etkinleştirin:

# Enable audit logs for existing cluster
gcloud container clusters update <cluster-name> \
    --zone <zone> \
    --enable-cloud-logging \
    --logging=SYSTEM,WORKLOAD,API_SERVER

Yalnızca güvenlik açığı taramasını etkinleştir

Çalışma zamanı koruması olmadan yalnızca kayıt defteri taramasını etkinleştirmek için:

  1. Bağlayıcı yapılandırmasında yalnızca Aracısız kapsayıcı güvenlik açığı değerlendirmesini etkinleştirin.

  2. Diğer bileşenleri devre dışı bırakın.

  3. Yapılandırmayı kaydedin.

Küme türüne göre yapılandırma

Standart GKE kümeleri

Özel yapılandırma gerekmez. Varsayılan dağıtım adımlarını izleyin.

GKE Autopilot

Autopilot kümeleri için:

  1. Defender algılayıcısı kaynak isteklerini otomatik olarak ayarlar.

  2. Kaynak sınırları için el ile yapılandırma gerekmez.

Özel GKE kümeleri

Özel kümeler için:

  1. Kümenin Azure uç noktalarına ulaşadığından emin olun.

  2. Gerekirse güvenlik duvarı kurallarını yapılandırın:

    gcloud compute firewall-rules create allow-azure-defender \
    --allow tcp:443 \
    --source-ranges <cluster-cidr> \
    --target-tags <node-tags>

Dışlamaları yapılandırma

Belirli GKE kümelerini otomatik sağlamanın dışında tutmak için:

  1. GCP Konsolu'nda GKE kümenize gidin.

  2. Kümeye etiket ekleyin:

    • Defender algılayıcısı için: ms_defender_container_exclude_agents = true
    • Aracısız dağıtım için: ms_defender_container_exclude_agentless = true

Uyarı

Arc bağlantılı kümeler için Azure etiketlerini de kullanabilirsiniz:

  • ms_defender_container_exclude_sensors = true
  • ms_defender_container_exclude_azurepolicy = true

Sonraki adım

Dağıtımı doğrulama

  • Last updated on