Compartir a través de

Activa Defender para contenedores en GCP (GKE) mediante el portal

En este artículo se muestra cómo habilitar Microsoft Defender para contenedores en los clústeres de Google Kubernetes Engine (GKE) a través de Azure Portal. Puede optar por habilitar todas las características de seguridad a la vez para una protección completa o implementar de forma selectiva componentes específicos en función de sus requisitos.

Cuándo usar esta guía

Use esta guía si desea:

  • Configura Defender para Contenedores en GCP por primera vez
  • Habilitación de todas las características de seguridad para una protección completa
  • Implementación selectiva de componentes específicos
  • Corrección o adición de componentes que faltan a una implementación existente
  • Implementación mediante un enfoque controlado y selectivo
  • Exclusión de determinados clústeres de la protección

Prerrequisitos

Requisitos de red

Compruebe que los siguientes puntos de conexión para las implementaciones en la nube pública estén configurados para el acceso de salida. Configurarlos para el acceso de salida ayuda a garantizar que el sensor de Defender pueda conectarse a Microsoft Defender for Cloud para enviar eventos y datos de seguridad.

Nota:

Los dominios *.ods.opinsights.azure.com de Azure y *.oms.opinsights.azure.com ya no son necesarios para el acceso saliente. Para más información, vea el anuncio de desuso.

Dominio de Azure Dominio de Azure Government Azure operado por el dominio 21Vianet Puerto
*.cloud.defender.microsoft.com N/A N/A 443

También deberá validar los requisitos de red de Kubernetes habilitados para Azure Arc.

Requisitos específicos de GCP:

  • Proyecto de GCP con permisos adecuados
  • Clústeres de GKE (versión 1.19 y posteriores)
  • Imágenes de contenedor en Google Container Registry o Artifact Registry
  • Cuenta de servicio con roles de IAM necesarios
  • Cloud Shell o la CLI de gcloud configurada

Creación de un conector de GCP

  1. Inicie sesión en Azure Portal.

  2. Vaya a Microsoft Defender for Cloud.

  3. Seleccione Configuración del entorno en el menú de la izquierda.

  4. Seleccione Agregar entorno>Google Cloud Platform.

    Captura de pantalla que muestra cómo conectar un proyecto de GCP a Microsoft Defender for Cloud.

    Captura de pantalla que muestra cómo agregar el entorno de GCP.

  5. Seleccione el conector GCP correspondiente si tiene varios:

    Recorte de pantalla que muestra un conector GCP de ejemplo.

Configuración de los detalles del conector

  1. En la sección Detalles de la cuenta , escriba:

    • Nombre del conector: un nombre descriptivo para el proyecto de GCP
    • Identificador del proyecto de GCP: identificador del proyecto de GCP
    • Grupo de recursos: seleccione o cree un grupo de recursos.

    Captura de pantalla que muestra la configuración de detalles de la cuenta de GCP.

  2. Seleccione Siguiente: Seleccionar planes.

Habilitación de las características de Defender for Containers

  1. En Seleccionar planes, cambie Contenedores a Activado.

    Captura de pantalla de la habilitación de Defender for Containers para un conector de GCP.

  2. Seleccione Configurar para acceder a la configuración del plan.

    Recorte de pantalla de la configuración del plan Contenedores en la configuración del entorno de Defender for Cloud.

  3. Elija el enfoque de implementación:

    • Habilitar todos los componentes (recomendado): Habilite todas las características para una protección completa.
    • Habilitar componentes específicos: seleccione solo los componentes que necesita.

    Componentes disponibles:

    • Detección sin agente para Kubernetes : detecta todos los clústeres de GKE
    • Evaluación de vulnerabilidades de contenedor sin agente : examina imágenes del Registro
    • DaemonSet de Defender : detección de amenazas en tiempo de ejecución
    • Azure Policy para Kubernetes : recomendaciones de seguridad

  4. Seleccione Continuar y Siguiente: Configurar el acceso.

Configuración de permisos de GCP

  1. Descargue el script de instalación desde el portal.

  2. Abra Google Cloud Shell o su terminal local con gcloud configurado.

  3. Ejecute el script de instalación para crear la cuenta de servicio y los permisos necesarios:

    # The portal provides a script similar to this
bash defender-for-containers-setup.sh \
    --project-id <project-id> \
    --workload-identity-pool <pool-name>

  4. El script crea:

    • Cuenta de servicio con roles de IAM necesarios
    • Federación de identidades de carga de trabajo
    • Habilitación de API

  5. Copie el correo electrónico de la cuenta de servicio desde la salida del script.

    Captura de pantalla que muestra la ubicación del botón de copiar.

  6. Vuelva a Azure Portal y pegue el correo electrónico de la cuenta de servicio.

    Captura de pantalla que muestra la configuración de acceso de GCP.

  7. Seleccione Siguiente: Revisar y crear.

Implementación de todos los componentes

Siga estos pasos para habilitar la protección completa para todos los clústeres de GKE.

Conexión de clústeres de GKE a Azure Arc

Después de crear el conector:

  1. Vaya a Microsoft Defender for Cloud>Recomendaciones.

  2. Busque la recomendación "Los clústeres de GKE deben estar conectados a Azure Arc".

  3. Seleccione la recomendación para ver los clústeres afectados.

  4. Siga los pasos de corrección para conectar cada clúster:

    # Connect GKE cluster to Arc
az connectedk8s connect \
    --name <cluster-name> \
    --resource-group <resource-group> \
    --location <location>

Implementa el sensor de Defender

Importante

Implementación del sensor de Defender con Helm: a diferencia de otras opciones que se aprovisionan automáticamente y se actualizan automáticamente, Helm le permite implementar el sensor de Defender de forma flexible. Este enfoque es especialmente útil en escenarios de DevOps e infraestructura como código. Con Helm se puede integrar la implementación en las canalizaciones de CI/CD y controlar todas las actualizaciones de los sensores. También puede optar por recibir versiones preliminares y de disponibilidad general. Para obtener instrucciones sobre cómo instalar el sensor de Defender mediante Helm, consulte Instalación del sensor de Defender para contenedores mediante Helm.

Después de conectar los clústeres de GKE a Azure Arc:

  1. Vaya a Microsoft Defender for Cloud>Recomendaciones.

  2. Busque "Los clústeres de Kubernetes habilitados para Arc deben tener instalada la extensión de Defender".

    Recorte de pantalla que muestra la búsqueda de una recomendación.

    Captura de pantalla que muestra la habilitación del sensor para los clústeres de GKE conectados a Arc.

  3. Seleccione sus clústeres de GKE.

  4. Seleccione Corregir para implementar el sensor.

    Recorte de pantalla que muestra la ubicación del botón Corregir.

Nota:

También puede implementar el sensor de Defender mediante Helm para obtener un mayor control. Para más información, consulte Implementación del sensor de Defender con Helm.

Configuración del escaneo del registro de contenedores

Para Google Container Registry (GCR) y Artifact Registry:

  1. Vaya a la configuración del conector de GCP.

  2. Seleccione Configurar junto al plan de Contenedores.

  3. Compruebe que la evaluación de vulnerabilidades del contenedor sin agente está habilitada.

  4. Las imágenes se examinan automáticamente al insertarlas en el registro.

Habilitación del registro de auditoría

Habilite el registro de auditoría de GKE para la protección en tiempo de ejecución:

# Enable audit logs for existing cluster
gcloud container clusters update <cluster-name> \
    --zone <zone> \
    --enable-cloud-logging \
    --logging=SYSTEM,WORKLOAD,API_SERVER

Implementación de componentes específicos (opcional)

Si necesita una implementación selectiva o para corregir problemas con las implementaciones existentes:

Implementación del sensor de Defender en clústeres específicos

Para implementar el sensor solo en clústeres de GKE seleccionados:

  1. Conecte solo clústeres específicos a Azure Arc (no todos los clústeres).

  2. Vaya a Recomendaciones y busque "Los clústeres de Kubernetes habilitados para Arc deben tener instalada la extensión de Defender".

  3. Seleccione solo los clústeres en los que desee el sensor.

  4. Siga los pasos de corrección de los clústeres seleccionados.

Habilitar solo el escaneo de vulnerabilidades

Para habilitar solo el examen del registro sin protección en tiempo de ejecución:

  1. En la configuración del conector, habilite solo la evaluación de vulnerabilidades del contenedor sin agente.

  2. Deshabilite otros componentes.

  3. Guarde la configuración.

Configuración por tipo de clúster

Clústeres de GKE estándar

No se requiere ninguna configuración especial. Siga los pasos de implementación predeterminados.

GKE Autopilot

Para los clústeres de Autopilot:

  1. El sensor de Defender ajusta automáticamente las solicitudes de recursos.

  2. No se necesita ninguna configuración manual para los límites de recursos.

Clústeres de GKE privados

Para clústeres privados:

  1. Asegúrese de que el clúster puede llegar a los puntos de conexión de Azure.

  2. Configure las reglas de firewall si es necesario:

    gcloud compute firewall-rules create allow-azure-defender \
    --allow tcp:443 \
    --source-ranges <cluster-cidr> \
    --target-tags <node-tags>

Configurar exclusiones

Para excluir clústeres de GKE específicos del aprovisionamiento automático:

  1. Vaya al clúster de Google Kubernetes Engine (GKE) en GCP Console.

  2. Agregue etiquetas al clúster:

    • Para el sensor de Defender: ms_defender_container_exclude_agents = true
    • Para la implementación sin agente: ms_defender_container_exclude_agentless = true

Nota:

En el caso de los clústeres conectados a Arc, también puede usar etiquetas de Azure:

  • ms_defender_container_exclude_sensors = true
  • ms_defender_container_exclude_azurepolicy = true

procedimientos recomendados

  1. Comience con la no producción: pruebe primero los clústeres de desarrollo y pruebas para la implementación selectiva.
  2. Habilitar todos los componentes: obtenga una protección completa siempre que sea posible.
  3. Uso de la identidad de carga de trabajo: mejore la seguridad con la identidad de carga de trabajo.
  4. Supervisión normal: compruebe el panel semanalmente para obtener conclusiones.
  5. Firma de imágenes: implemente la autorización binaria para producción.
  6. Exclusiones de documentos: realice un seguimiento del motivo por el que determinados clústeres se excluyen en implementaciones selectivas.
  7. Implementar incrementalmente: al usar la implementación selectiva, agregue un componente a la vez.
  8. Supervisar cada paso: compruebe cada componente antes de continuar con el siguiente.

Limpieza de recursos

Para deshabilitar Defender for Containers, siga estos pasos:

  1. Vaya a Configuración del entorno.

  2. Seleccione el conector de GCP.

  3. Elija una de las siguientes opciones:

    • Establezca Contenedores en Desactivado para deshabilitar el plan.
    • Elimine todo el conector para quitar todas las configuraciones.

  4. Limpieza de recursos de GCP:

    # Delete service account
gcloud iam service-accounts delete <service-account-email>

# Disconnect clusters from Arc
az connectedk8s delete --name <cluster-name> --resource-group <rg>

Pasos siguientes

  • Last updated on