使用適用於容器的 Defender 保護 Google Cloud Platform (GCP) 容器
適用於容器的 Microsoft Defender 中的適用於容器的 Defender 是用來保護容器的雲端原生解決方案,因此您可以改善、監視和維護叢集、容器和其應用程式的安全性。
深入了解適用於容器的 Microsoft Defender 概觀。
您可以在價格頁面深入了解適用於容器的 Defender 價格。
必要條件
您需要 Microsoft Azure 訂用帳戶。 如果您沒有 Azure 訂用帳戶,您可以註冊免費訂用帳戶。
您必須在 Azure 訂用帳戶上啟用適用於雲端的 Microsoft Defender。
確認 Kubernetes 節點可以存取套件管理員的來源存放庫。
請確定已驗證下列已啟用 Azure Arc 的 Kubernetes 網路需求。
在 GCP 專案上啟用適用於容器的 Defender 方案
保護 Google Kubernetes Engine (GKE) 叢集:
登入 Azure 入口網站。
搜尋並選取 [適用於雲端的 Microsoft Defender]。
在適用於雲端的 Microsoft Defender 功能表,選取 [環境設定]。
選取相關的 GCP 專案。
選取 [下一步:選取方案 ] 按鈕。
確定 [容器] 方案已切換為 [開啟]。
![螢幕擷取畫面:顯示 [容器] 方案切換為 [開啟]。](media/tutorial-enable-containers-gcp/containers-on.png)
若要變更方案的選擇性組態,請選取 [設定]。
![螢幕擷取畫面:適用於雲端的 Defender [環境設定] 頁面顯示容器方案的設定。](media/tutorial-enable-containers-gcp/containers-settings-gcp.png)
Kubernetes 稽核記錄至適用於雲端的 Defender:預設為啟用。 此組態僅適用於 GCP 專案層級。 其會透過 GCP 雲端記錄對適用於雲端的 Microsoft Defender 後端提供稽核記錄資料的無代理程式收集,以進行進一步的分析。 適用於容器的 Defender 需要控制平面稽核記錄,以提供執行階段威脅防護。 若要將 Kubernetes 稽核記錄傳送至 Microsoft Defender,請將設定切換為 [開啟]。
注意
如果您停用此設定,則將會停用
Threat detection (control plane)功能。 深入了解功能可用性。自動佈建適用於 Azure Arc 的 Defender 感應器和自動佈建適用於 Azure Arc 的 Azure 原則延伸模組:預設為啟用。 您可以透過三種方式在 GKE 叢集上安裝已啟用 Azure Arc 的 Kubernetes 及其延伸模組:
- 在專案層級啟用適用於容器的 Defender 自動佈建,如本節指示所述。 建議您採用此方法。
- 針對每個叢集安裝使用適用於雲端的 Defender 建議。 其會出現在適用於雲端的 Microsoft Defender 建議頁面上。 了解如何將解決方案部署至特定叢集。
- 手動安裝已啟用 Arc 的 Kubernetes 和延伸模組。
Kubernetes 的無代理程式探索可讓您透過 API 來探索 Kubernetes 叢集。 若要啟用 [Kubernetes 的無代理程式探索] 功能,請將設定切換為 [開啟]。
無代理程式容器弱點評估會針對儲存在 Google Registries (GAR 和 GCR) 中的映像以及 GKE 叢集上的執行中映像提供弱點管理。 若要啟用 [無代理程式容器弱點評估] 功能,請將設定切換為 [開啟]。
選取 [複製] 按鈕。
![螢幕擷取畫面:顯示 [複製] 按鈕的位置。](media/tutorial-enable-containers-gcp/copy-button.png)
選取 [GCP Cloud Shell] 按鈕。
將指令碼貼上至 Cloud Shell 終端機,然後執行此項目。
在指令碼執行後,連接器將會更新。 此流程最多可能需要 6-8 小時才能完成。
選取 [下一步:檢閱並產生]>。
選取 [更新]。
![螢幕擷取畫面:顯示 [容器] 方案切換為 [開啟]。](media/tutorial-enable-containers-gcp/containers-on.png#lightbox)
![螢幕擷取畫面:適用於雲端的 Defender [環境設定] 頁面顯示容器方案的設定。](media/tutorial-enable-containers-gcp/containers-settings-gcp.png#lightbox)
將解決方案部署至特定叢集
如果您已將任何預設的自動佈建組態設定為 [關閉],請在 GCP 連接器上執行緒序期間或之後停用。 您必須將已啟用 Azure Arc 的 Kubernetes、Defender 感應器和適用於 Kubernetes 的 Azure 原則手動安裝至每個 GKE 叢集,才能充分利用適用於容器的 Defender 的安全價值。
有兩個專用的適用於雲端的 Defender 建議,您可將此用於安裝延伸模組 (如有需要也可安裝 Arc):
GKE clusters should have Microsoft Defender's extension for Azure Arc installedGKE clusters should have the Azure Policy extension installed
注意
在安裝 Arc 延伸模組時,必須確認所提供的 GCP 專案與相關連接器中的專案相同。
要將解決方案部署至特定叢集:
登入 Azure 入口網站。
搜尋並選取 [適用於雲端的 Microsoft Defender]。
在適用於雲端的 Defender 功能表中,選取 [建議]。
從適用於雲端的 Defender 的 [建議] 頁面,依名稱搜尋上述每一項建議。
選取狀況不良的 GKE 叢集。
重要
您必須一次選取一個叢集。
請勿依其超連結名稱選取叢集:請選取相關資料列中的任何其他位置。
選取狀況不良資源的名稱。
選取 [修正]。
![螢幕擷取畫面:顯示 [修正] 按鈕的位置。](media/tutorial-enable-containers-gcp/fix-button.png)
適用於雲端的 Defender 會以您所選語言產生指令碼:
- 針對 Linux,選取 [Bash]。
- 針對 Windows,選取 [PowerShell]。
選取 [下載補救邏輯]。
在叢集上執行產生的指令碼。
重複步驟 3 到 10 來取得第二個建議。
下一步
如需適用於容器的 Defender 進階啟用功能,請參閱啟用適用於容器的 Microsoft Defender 頁面。