Partager via

Activer Defender pour conteneurs sur GCP (GKE) via le portail

Cet article explique comment activer Microsoft Defender pour conteneurs sur vos clusters Google Kubernetes Engine (GKE) via le portail Azure. Vous pouvez choisir d’activer toutes les fonctionnalités de sécurité à la fois pour une protection complète ou de déployer de manière sélective des composants spécifiques en fonction de vos besoins.

Quand utiliser ce guide

Utilisez ce guide si vous souhaitez :

  • Configurer Defender pour conteneurs sur GCP pour la première fois
  • Activer toutes les fonctionnalités de sécurité pour une protection complète
  • Déployer de manière sélective des composants spécifiques
  • Corriger ou ajouter des composants manquants à un déploiement existant
  • Déployer à l’aide d’une approche contrôlée et sélective
  • Exclure certains clusters de la protection

Prerequisites

Configuration réseau requise

Vérifiez que les points de terminaison suivants pour les déploiements de cloud public sont configurés pour l’accès sortant. La configuration de ces derniers pour l’accès sortant permet de s’assurer que le capteur Defender peut se connecter à Microsoft Defender pour le cloud afin d’envoyer des données et des événements de sécurité.

Note

Domaines Azure *.ods.opinsights.azure.com et *.oms.opinsights.azure.com non requis pour l’accès sortant. Pour plus d’informations, consultez Annonce de dépréciation.

Domaine Azure Domaine Azure Government Domaine Azure exploité par 21Vianet Port
*.cloud.defender.microsoft.com N/A N/A 443

Vous devez également valider la configuration réseau nécessaire pour le réseau Kubernetes avec Azure Arc.

Exigences spécifiques à GCP :

  • Projet GCP avec les autorisations appropriées
  • Clusters GKE (version 1.19 et plus)
  • Images conteneur dans Google Container Registry ou Artifact Registry
  • Compte de service avec les rôles IAM requis
  • Cloud Shell ou gcloud CLI configuré

Créer un connecteur GCP

  1. Connectez-vous au portail Azure.

  2. Accédez à Microsoft Defender pour le cloud.

  3. Sélectionnez Paramètres d’environnement dans le menu de gauche.

  4. Sélectionnez Ajouter un environnement>Google Cloud Platform.

    Capture d’écran montrant comment connecter un projet GCP à Microsoft Defender pour Cloud.

    Capture d’écran montrant l’ajout d’un environnement GCP.

  5. Sélectionnez le connecteur GCP approprié si vous avez plusieurs éléments :

    Capture d’écran d’un exemple de connecteur GCP.

Configurer les détails du connecteur

  1. Dans la section Détails du compte , entrez :

    • Nom du connecteur : nom descriptif de votre projet GCP
    • ID de projet GCP : identificateur de votre projet GCP
    • Groupe de ressources : sélectionner ou créer un groupe de ressources

    Capture d’écran montrant la configuration des détails du compte GCP.

  2. Sélectionnez Suivant : sélectionner des plans.

Activer les fonctionnalités de Defender pour conteneurs

  1. Dans les plans Select,activez l’option Conteneurs.

    Capture d’écran de l’activation de Defender pour conteneurs pour un connecteur GCP.

  2. Sélectionnez Configurer pour accéder aux paramètres du plan.

    Capture d’écran des paramètres du plan Conteneurs dans les paramètres d’environnement Defender for Cloud.

  3. Choisissez votre approche de déploiement :

    • Activer tous les composants (recommandé) : activer toutes les fonctionnalités pour une protection complète
    • Activer des composants spécifiques : sélectionnez uniquement les composants dont vous avez besoin

    Composants disponibles :

    • Découverte sans agent pour Kubernetes - Découvre tous les clusters GKE
    • Évaluation des vulnérabilités de conteneur sans agent - Analyse des images de registre
    • Defender DaemonSet - Détection des menaces du runtime
    • Azure Policy pour Kubernetes - Recommandations en matière de sécurité

  4. Sélectionnez Continuer et Suivant : Configurer l’accès.

Configurer les autorisations GCP

  1. Téléchargez le script d’installation à partir du portail.

  2. Ouvrez Google Cloud Shell ou votre terminal local avec gcloud configuré.

  3. Exécutez le script d’installation pour créer le compte de service et les autorisations nécessaires :

    # The portal provides a script similar to this
bash defender-for-containers-setup.sh \
    --project-id <project-id> \
    --workload-identity-pool <pool-name>

  4. Le script crée :

    • Compte de service avec les rôles IAM nécessaires
    • Fédération des identités de charge de travail
    • Activation de l’API

  5. Copiez l'adresse e-mail du compte de service à partir du résultat du script.

    Capture d’écran montrant l’emplacement du bouton de copie.

  6. Revenez au portail Azure et collez l’e-mail du compte de service.

    Capture d’écran montrant la configuration de l’accès GCP.

  7. Sélectionnez Suivant : Vérifier et créer.

Déployer tous les composants

Suivez ces étapes pour activer une protection complète pour tous vos clusters GKE.

Connecter des clusters GKE à Azure Arc

Après avoir créé le connecteur :

  1. Accédez à Microsoft Defender for Cloud>Recommandations.

  2. Recherchez la recommandation « Les clusters GKE doivent être connectés à Azure Arc ».

  3. Sélectionnez la recommandation pour afficher les clusters affectés.

  4. Suivez les étapes de correction pour connecter chaque cluster :

    # Connect GKE cluster to Arc
az connectedk8s connect \
    --name <cluster-name> \
    --resource-group <resource-group> \
    --location <location>

Déployer le capteur Defender

Important

Déploiement du capteur Defender à l’aide de Helm : contrairement aux autres options qui sont automatiquement approvisionnées et mises à jour automatiquement, Helm vous permet de déployer de manière flexible le capteur Defender. Cette approche est particulièrement utile dans les scénarios DevOps et infrastructure-as-code. Avec Helm, vous pouvez intégrer le déploiement dans des pipelines CI/CD et contrôler toutes les mises à jour des capteurs. Vous pouvez également choisir de recevoir des versions en préversion et en disponibilité générale. Pour obtenir des instructions sur l’installation du capteur Defender à l’aide de Helm, consultez Installer le capteur Defender pour conteneurs à l’aide de Helm.

Après avoir connecté vos clusters GKE à Azure Arc :

  1. Accédez à Microsoft Defender for Cloud>Recommandations.

  2. Recherchez « Les clusters Kubernetes activés par Arc doivent avoir l’extension Defender installée ».

    Capture d’écran de la recherche d’une recommandation.

    Capture d’écran montrant l’activation du capteur pour les clusters GKE connectés à Arc.

  3. Sélectionnez vos clusters GKE.

  4. Sélectionnez Correctif pour déployer le capteur.

    Capture d’écran de l’emplacement du bouton Corriger.

Note

Vous pouvez également déployer le capteur Defender à l’aide de Helm pour plus de contrôle. Pour plus d’informations, consultez Déployer le capteur Defender à l’aide de Helm.

Configurer l’analyse du registre de conteneurs

Pour Google Container Registry (GCR) et Artifact Registry :

  1. Accédez à vos paramètres de connecteur GCP.

  2. Sélectionnez Configurer à côté du plan Conteneurs.

  3. Vérifiez que l’évaluation des vulnérabilités de conteneur sans agent est activée.

  4. Les images sont automatiquement analysées lorsque vous les envoyez au Registre.

Activer la journalisation d’audit

Activez la journalisation d’audit GKE pour la protection du runtime :

# Enable audit logs for existing cluster
gcloud container clusters update <cluster-name> \
    --zone <zone> \
    --enable-cloud-logging \
    --logging=SYSTEM,WORKLOAD,API_SERVER

Déployer des composants spécifiques (facultatif)

Si vous avez besoin d’un déploiement sélectif ou de résoudre les problèmes liés aux déploiements existants :

Déployer le capteur Defender sur des clusters spécifiques

Pour déployer le capteur sur des clusters GKE sélectionnés uniquement :

  1. Connectez uniquement des clusters spécifiques à Azure Arc (pas tous les clusters).

  2. Accédez aux recommandations et recherchez « Les clusters Kubernetes avec Arc doivent avoir installé l’extension Defender ».

  3. Sélectionnez uniquement les clusters où vous souhaitez le capteur.

  4. Suivez les étapes de correction pour les clusters sélectionnés.

Activer l’analyse des vulnérabilités uniquement

Pour activer uniquement l’analyse du Registre sans protection du runtime :

  1. Dans la configuration du connecteur, activez uniquement l’évaluation des vulnérabilités de conteneur sans agent.

  2. Désactivez d’autres composants.

  3. Enregistrer la configuration.

Configurer par type de cluster

Clusters GKE standard

Aucune configuration spéciale n’est requise. Suivez les étapes de déploiement par défaut.

GKE Autopilot

Pour les clusters Autopilot :

  1. Le capteur Defender ajuste automatiquement les demandes de ressources.

  2. Aucune configuration manuelle n’est nécessaire pour les limites de ressources.

Clusters GKE privés

Pour les clusters privés :

  1. Vérifiez que le cluster peut atteindre des points de terminaison Azure.

  2. Configurez les règles de pare-feu si nécessaire :

    gcloud compute firewall-rules create allow-azure-defender \
    --allow tcp:443 \
    --source-ranges <cluster-cidr> \
    --target-tags <node-tags>

Configurer des exclusions

Pour exclure des clusters GKE spécifiques de l’approvisionnement automatique :

  1. Accédez à votre cluster GKE dans la console GCP.

  2. Ajoutez des étiquettes au cluster :

    • Pour le capteur Defender : ms_defender_container_exclude_agents = true
    • Pour le déploiement sans agent : ms_defender_container_exclude_agentless = true

Note

Pour les clusters connectés à Arc, vous pouvez également utiliser des balises Azure :

  • ms_defender_container_exclude_sensors = true
  • ms_defender_container_exclude_azurepolicy = true

Meilleures pratiques

  1. Commencez par la non-production : testez d’abord sur des clusters de développement/test pour un déploiement sélectif.
  2. Activez tous les composants : bénéficiez d’une protection complète lorsque cela est possible.
  3. Utiliser l’identité de charge de travail : améliorer la sécurité avec l’identité de charge de travail.
  4. Surveillance régulière : vérifiez chaque semaine le tableau de bord pour connaître les résultats.
  5. Signature d’image : Implémenter l’autorisation binaire pour la production.
  6. Exclusions de document : suivez la raison pour laquelle certains clusters sont exclus dans des déploiements sélectifs.
  7. Déployer de manière incrémentielle : lors de l’utilisation d’un déploiement sélectif, ajoutez un composant à la fois.
  8. Surveillez chaque étape : vérifiez chaque composant avant de passer à la suivante.

Nettoyer les ressources

Pour désactiver Defender pour conteneurs, procédez comme suit :

  1. Accédez aux paramètres d’environnement.

  2. Sélectionnez votre connecteur GCP.

  3. Choisissez l’une des options suivantes :

    • Définissez conteneurssur Désactivé pour désactiver le plan.
    • Supprimez l’intégralité du connecteur pour supprimer toutes les configurations.

  4. Nettoyer les ressources GCP :

    # Delete service account
gcloud iam service-accounts delete <service-account-email>

# Disconnect clusters from Arc
az connectedk8s delete --name <cluster-name> --resource-group <rg>

Étapes suivantes

  • Last updated on