Freigeben über

Aktivieren von Defender for Containers auf GCP (GKE) über das GCP-Portal

In diesem Artikel erfahren Sie, wie Sie Microsoft Defender für Container in Ihren Google Kubernetes Engine (GKE)-Clustern über das Azure-Portal aktivieren. Sie können auswählen, dass alle Sicherheitsfeatures gleichzeitig für umfassenden Schutz aktiviert oder selektiv bestimmte Komponenten basierend auf Ihren Anforderungen bereitgestellt werden.

Wann sie dieses Handbuch verwenden?

Verwenden Sie diese Anleitung, wenn Sie möchten:

  • Erstmaliges Einrichten von Defender for Containers auf GCP
  • Aktivieren aller Sicherheitsfeatures zum umfassenden Schutz
  • Selektive Bereitstellung bestimmter Komponenten
  • Beheben oder Hinzufügen fehlender Komponenten zu einer vorhandenen Bereitstellung
  • Bereitstellen mithilfe eines kontrollierten, selektiven Ansatzes
  • Ausschließen bestimmter Cluster vom Schutz

Voraussetzungen

Netzwerkanforderungen

Überprüfen Sie, ob die folgenden Endpunkte für öffentliche Cloudbereitstellungen für ausgehenden Zugriff konfiguriert sind. Wenn Sie diese konfigurieren, können Sie sicherstellen, dass der Defender-Sensor eine Verbindung mit Microsoft Defender for Cloud herstellen kann, um Sicherheitsdaten und -ereignisse zu senden.

Hinweis

Für den ausgehenden Zugriff sind die Azure-Domänen *.ods.opinsights.azure.com und *.oms.opinsights.azure.com nicht mehr erforderlich. Weitere Informationen finden Sie in der Ankündigung zur Einstellung.

Azure Domain Azure Government Domain Domain für das von 21Vianet betriebene Azure Hafen
*.cloud.defender.microsoft.com N/A N/A 443

Sie müssen auch die Netzwerkanforderungen für Kubernetes mit Azure Arc-Unterstützung validieren.

GCP-spezifische Anforderungen:

  • GCP-Projekt mit entsprechenden Berechtigungen
  • GKE-Cluster (Version 1.19+)
  • Container-Images in der Google Container Registry oder in der Artifact Registry
  • Dienstkonto mit erforderlichen IAM-Rollen
  • Cloud Shell oder gcloud CLI ist konfiguriert

Erstellen eines GCP-Connectors

  1. Melden Sie sich beim Azure-Portal an.

  2. Gehen Sie zu Microsoft Defender für Cloud.

  3. Wählen Sie "Umgebungseinstellungen" im linken Menü aus.

  4. Wählen Sie Umgebung hinzufügen>Google Cloud Platform aus.

    Screenshot, der zeigt, wie Sie ein GCP-Projekt mit Microsoft Defender für Cloud verbinden.

    Screenshot des Hinzufügens der GCP-Umgebung.

  5. Wählen Sie den relevanten GCP-Connector aus, wenn Sie mehrere haben:

    Screenshot eines beispielhaften GKP-Connectors.

Konfigurieren der Connectoreinstellungen

  1. Geben Sie im Abschnitt "Kontodetails " Folgendes ein:

    • Connectorname: Ein beschreibender Name für Ihr GCP-Projekt
    • GCP-Projekt-ID: Ihr GCP-Projektbezeichner
    • Ressourcengruppe: Auswählen oder Erstellen einer Ressourcengruppe

    Screenshot der Konfiguration von GCP-Kontodetails.

  2. Klicken Sie auf Weiter: Pläne auswählen.

Aktivieren von Defender für Container-Features

  1. Schalten Sie in Pläne auswählenContainer auf Ein um.

    Screenshot der Aktivierung von Defender für Containern für einen GCP-Connector.

  2. Wählen Sie "Konfigurieren" aus, um auf die Planeinstellungen zuzugreifen.

    Screenshot der Einstellungen für den Containers-Plan in den Defender for Cloud-Umgebungseinstellungen.

  3. Wählen Sie Ihren Bereitstellungsansatz aus:

    • Aktivieren aller Komponenten (empfohlen): Aktivieren aller Features zum umfassenden Schutz
    • Aktivieren bestimmter Komponenten: Wählen Sie nur die benötigten Komponenten aus.

    Verfügbare Komponenten:

    • Ermittlung ohne Agents für Kubernetes - Entdeckt alle GKE-Cluster
    • Sicherheitsrisikobewertung für agentlose Container – Überprüft Registrierungsimages
    • Defender DaemonSet – Laufzeit-Bedrohungserkennung
    • Azure-Richtlinie für Kubernetes – Sicherheitsempfehlungen

  4. Wählen Sie "Weiter" und "Weiter" aus: Zugriff konfigurieren.

Einrichten von GCP-Berechtigungen

  1. Laden Sie das Setupskript aus dem Portal herunter.

  2. Öffnen Sie Google Cloud Shell oder Ihr lokales Terminal mit konfigurierter gcloud.

  3. Führen Sie das Setupskript aus, um das erforderliche Dienstkonto und die erforderlichen Berechtigungen zu erstellen:

    # The portal provides a script similar to this
bash defender-for-containers-setup.sh \
    --project-id <project-id> \
    --workload-identity-pool <pool-name>

  4. Das Skript erstellt Folgendes:

    • Servicekonto mit erforderlichen IAM-Rollen
    • Workload-Identitätsverbund
    • API-Aktivierung

  5. Kopieren Sie die E-Mail-Adresse des Dienstkontos aus der Skriptausgabe.

    Screenshot: Position der Schaltfläche „Kopieren“.

  6. Kehren Sie zum Azure-Portal zurück, und fügen Sie die E-Mail-Adresse des Dienstkontos ein.

    Screenshot der GCP-Zugriffskonfiguration.

  7. Wählen Sie "Weiter" aus: Überprüfen und Erstellen.

Bereitstellen aller Komponenten

Führen Sie die folgenden Schritte aus, um einen umfassenden Schutz für alle GKE-Cluster zu ermöglichen.

Verbinden von GKE-Clustern mit Azure Arc

Nach dem Erstellen des Connectors:

  1. Wechseln Sie zu Microsoft Defender for Cloud>Empfehlungen.

  2. Suchen Sie nach der Empfehlung "GKE-Cluster sollten mit Azure Arc verbunden sein".

  3. Wählen Sie die Empfehlung aus, um betroffene Cluster anzuzeigen.

  4. Führen Sie die Korrekturschritte aus, um die einzelnen Cluster zu verbinden:

    # Connect GKE cluster to Arc
az connectedk8s connect \
    --name <cluster-name> \
    --resource-group <resource-group> \
    --location <location>

Bereitstellen des Defender-Sensors

Von Bedeutung

Die Bereitstellung des Defender-Sensors mit Helm: Im Gegensatz zu anderen Optionen, die automatisch bereitgestellt und automatisch aktualisiert werden, können Sie den Defender-Sensor flexibel bereitstellen. Dieser Ansatz ist besonders hilfreich in DevOps- und Infrastruktur-as-Code-Szenarien. Mit Helm können Sie die Bereitstellung in CI/CD-Pipelines integrieren und alle Sensorupdates steuern. Sie können auch Vorschau- und GA-Versionen erhalten. Anweisungen zum Installieren des Defender-Sensors mit Helm finden Sie unter Install Defender for Containers sensor using Helm.

Nach dem Verbinden Ihrer GKE-Cluster mit Azure Arc:

  1. Wechseln Sie zu Microsoft Defender for Cloud>Empfehlungen.

  2. Suchen Sie nach "Arc-aktivierte Kubernetes-Cluster sollten die Defender-Erweiterung installiert haben".

    Screenshot, der die Suche nach Empfehlungen zeigt.

    Screenshot der Sensoraktivierung für Arc-verbundene GKE-Cluster.

  3. Wählen Sie Ihre GKE-Cluster aus.

  4. Wählen Sie "Fix" aus, um den Sensor bereitzustellen.

    Screenshot: Position der Schaltfläche „Beheben“.

Hinweis

Sie können den Defender-Sensor auch mithilfe von Helm bereitstellen, um mehr Kontrolle zu erhalten. Weitere Informationen finden Sie unter Defender-Sensor mit Helm bereitstellen.

Container-Registry-Scannen konfigurieren

Für Google Container Registry (GCR) und Artifact Registry:

  1. Wechseln Sie zu ihren GCP-Connectoreinstellungen.

  2. Wählen Sie " Konfigurieren" neben dem Containerplan aus.

  3. Überprüfen Sie, ob die Sicherheitsrisikobewertung für Agentless-Container aktiviert ist.

  4. Bilder werden automatisch gescannt, wenn Sie sie an die Registrierung übertragen.

Aktivieren der Überwachungsprotokollierung

Aktivieren Sie das GKE-Audit-Logging für den Laufzeitschutz:

# Enable audit logs for existing cluster
gcloud container clusters update <cluster-name> \
    --zone <zone> \
    --enable-cloud-logging \
    --logging=SYSTEM,WORKLOAD,API_SERVER

Bereitstellen bestimmter Komponenten (optional)

Wenn Sie eine selektive Bereitstellung benötigen oder Probleme mit vorhandenen Bereitstellungen beheben möchten:

Bereitstellen des Defender-Sensors für spezifische Cluster

So stellen Sie den Sensor nur für ausgewählte GKE-Cluster bereit:

  1. Verbinden Sie nur bestimmte Cluster mit Azure Arc (nicht alle Cluster).

  2. Wechseln Sie zu "Empfehlungen " und finden Sie "Arc-fähige Kubernetes-Cluster sollten Defender-Erweiterung installiert haben".

  3. Wählen Sie nur die Cluster aus, an denen der Sensor angezeigt werden soll.

  4. Führen Sie die Korrekturschritte für die ausgewählten Cluster aus.

Aktivieren Sie nur den Schwachstellen-Scan

Um nur die Registrierungsscans ohne Laufzeitschutz zu aktivieren:

  1. Aktivieren Sie in der Connectorkonfiguration nur die Sicherheitsrisikobewertung für Agentlose Container.

  2. Deaktivieren Sie andere Komponenten.

  3. Speichern Sie die Konfiguration.

Konfigurieren nach Clustertyp

GKE-Standardcluster

Es ist keine spezielle Konfiguration erforderlich. Führen Sie die standardmäßigen Bereitstellungsschritte aus.

GKE Autopilot

Für Autopilot-Cluster:

  1. Der Defender-Sensor passt Ressourcenanforderungen automatisch an.

  2. Für Ressourcenbeschränkungen ist keine manuelle Konfiguration erforderlich.

Private GKE-Cluster

Für private Cluster:

  1. Stellen Sie sicher, dass der Cluster Azure-Endpunkte erreichen kann.

  2. Konfigurieren Sie bei Bedarf Firewallregeln:

    gcloud compute firewall-rules create allow-azure-defender \
    --allow tcp:443 \
    --source-ranges <cluster-cidr> \
    --target-tags <node-tags>

Konfigurieren von Ausschlüssen

So schließen Sie bestimmte GKE-Cluster aus der automatischen Bereitstellung aus:

  1. Wechseln Sie zu Ihrem GKE-Cluster in der GCP-Konsole.

  2. Hinzufügen von Bezeichnungen zum Cluster:

    • Für Defender-Sensor: ms_defender_container_exclude_agents = true
    • Für die agentlose Bereitstellung: ms_defender_container_exclude_agentless = true

Hinweis

Für arc-verbundene Cluster können Sie auch Azure-Tags verwenden:

  • ms_defender_container_exclude_sensors = true
  • ms_defender_container_exclude_azurepolicy = true

Bewährte Methoden

  1. Beginnen Sie mit Nichtproduktion: Testen Sie zuerst auf Entwicklungs-/Testclustern für die selektive Bereitstellung.
  2. Aktivieren Sie alle Komponenten: Erhalten Sie möglichst umfassenden Schutz.
  3. Verwenden Sie Workload Identity: Verbessern Sie die Sicherheit mit Workload Identity.
  4. Regelmäßige Überwachung: Wöchentliches Überprüfen des Dashboards auf Ergebnisse.
  5. Bildsignatur: Implementieren der binären Autorisierung für die Produktion.
  6. Dokumentausschlüsse: Verfolgen Sie, warum bestimmte Cluster in selektiven Bereitstellungen ausgeschlossen werden.
  7. Inkrementell bereitstellen: Fügen Sie bei Verwendung der selektiven Bereitstellung jeweils eine Komponente hinzu.
  8. Überwachen Sie jeden Schritt: Überprüfen Sie jede Komponente, bevor Sie mit der nächsten fortfahren.

Bereinigen von Ressourcen

Führen Sie die folgenden Schritte aus, um Defender für Container zu deaktivieren:

  1. Wechseln Sie zu "Umgebungseinstellungen".

  2. Wählen Sie Ihren GCP-Connector aus.

  3. Wählen Sie eine der folgenden Optionen aus:

    • Legen Sie Container auf "Aus" fest, um den Plan zu deaktivieren.
    • Löschen Sie den gesamten Connector, um alle Konfigurationen zu entfernen.

  4. GCP-Ressourcen bereinigen

    # Delete service account
gcloud iam service-accounts delete <service-account-email>

# Disconnect clusters from Arc
az connectedk8s delete --name <cluster-name> --resource-group <rg>

Nächste Schritte

  • Last updated on