Compartilhar via

Habilitar o Defender para Contêineres no GCP (GKE) por meio do portal

Este artigo mostra como habilitar o Microsoft Defender para Contêineres em seus clusters do Mecanismo de Kubernetes do Google (GKE) por meio do portal do Azure. Você pode optar por habilitar todos os recursos de segurança de uma só vez para proteção abrangente ou implantar seletivamente componentes específicos com base em seus requisitos.

Quando usar este guia

Use este guia se desejar:

  • Configurar o Defender para Contêineres no GCP pela primeira vez
  • Habilitar todos os recursos de segurança para proteção abrangente
  • Implantar seletivamente componentes específicos
  • Corrigir ou adicionar componentes ausentes a uma implantação existente
  • Implantar usando uma abordagem controlada e seletiva
  • Excluir alguns clusters específicos da proteção

Pré-requisitos

Requisitos de rede

Valide se os pontos de extremidade a seguir para implantações de nuvem pública estão configurados para acesso de saída. Configurá-los para acesso de saída ajuda a garantir que o sensor do Defender possa se conectar ao Microsoft Defender para Nuvem para enviar dados e eventos de segurança.

Observação

Os domínios *.ods.opinsights.azure.com do Azure e *.oms.opinsights.azure.com não são mais necessários para acesso de saída. Para obter mais informações, consulte o anúncio de preterição.

Domínio do Azure Domínio do Azure Governamental Domínio do Azure operado pelo 21Vianet Porto
*.cloud.defender.microsoft.com N/A N/A 443

Você também precisa validar os requisitos de rede do Kubernetes habilitado para Azure Arc.

Requisitos específicos do GCP:

  • Projeto GCP com permissões apropriadas
  • Clusters GKE (versão 1.19+)
  • Imagens de contêiner no Registro de Contêiner do Google ou registro de artefato
  • Conta de serviço com funções de IAM necessárias
  • Cloud Shell ou CLI do gcloud configurada

Criar o conector GCP

  1. Entre no portal do Azure.

  2. Vá para o Microsoft Defender para Nuvem.

  3. Selecione configurações de ambiente no menu à esquerda.

  4. Selecione Adicionar ambiente>do Google Cloud Platform.

    Captura de tela mostrando como conectar um projeto GCP ao Microsoft Defender para Nuvem.

    Captura de tela mostrando a adição de ambiente GCP.

  5. Selecione o conector GCP relevante se você tiver vários:

    Captura de tela que mostra um conector GCP de exemplo.

Configurar detalhes do conector

  1. Na seção Detalhes da conta , insira:

    • Nome do conector: um nome descritivo para seu projeto GCP
    • ID do projeto GCP: seu identificador de projeto GCP
    • Grupo de recursos: selecionar ou criar um grupo de recursos

    Captura de tela mostrando a configuração de detalhes da conta do GCP.

  2. Selecione Avançar: Selecionar planos.

Habilitar recursos do Defender para Contêineres

  1. Em Selecionar planos, alterne Contêineres para Ativado.

    Captura de tela da habilitação do Defender para Contêineres para um conector GCP.

  2. Selecione Configurar para acessar as configurações do plano.

    Captura de tela da página de configurações de ambiente do Defender para Nuvem mostrando as configurações do plano de contêineres.

  3. Escolha sua abordagem de implantação:

    • Habilitar todos os componentes (recomendado): habilitar todos os recursos para proteção abrangente
    • Habilitar componentes específicos: selecione apenas os componentes necessários

    Componentes disponíveis:

    • Descoberta sem agente para Kubernetes – descobre todos os clusters GKE
    • Avaliação de vulnerabilidade de contêiner sem agente – Verifica imagens do Registro
    • Defender DaemonSet – Detecção de ameaças em tempo de execução
    • Azure Policy para Kubernetes – Recomendações de segurança

  4. Selecione Continuar e Avançar: Configurar o acesso.

Configurar permissões GCP

  1. Baixe o script de instalação do portal.

  2. Abra o Google Cloud Shell ou seu terminal local com o gcloud configurado.

  3. Execute o script de instalação para criar a conta de serviço e as permissões necessárias:

    # The portal provides a script similar to this
bash defender-for-containers-setup.sh \
    --project-id <project-id> \
    --workload-identity-pool <pool-name>

  4. O script cria:

    • Conta de serviço com as funções de IAM necessárias
    • Federação de identidades de carga de trabalho
    • Habilitação da API

  5. Copie o endereço de email da conta de serviço da saída do script.

    Captura de tela que mostra o local do botão copiar.

  6. Retorne ao portal do Azure e cole o email da conta de serviço.

    Captura de tela mostrando a configuração de acesso do GCP.

  7. Selecione Avançar: Examinar e criar.

Implantar todos os componentes

Siga estas etapas para habilitar a proteção abrangente para todos os clusters GKE.

Conectar clusters GKE ao Azure Arc

Depois de criar o conector:

  1. Acesse Microsoft Defender para Nuvem>Recomendações.

  2. Busque a recomendação "Os clusters GKE devem estar conectados ao Azure Arc".

  3. Selecione a recomendação para ver os clusters afetados.

  4. Siga as etapas de correção para conectar cada cluster:

    # Connect GKE cluster to Arc
az connectedk8s connect \
    --name <cluster-name> \
    --resource-group <resource-group> \
    --location <location>

Implantar o sensor do Defender

Importante

Implantando o sensor do Defender usando o Helm: ao contrário de outras opções que são provisionadas automaticamente e atualizadas automaticamente, o Helm permite que você implante o sensor do Defender com flexibilidade. Essa abordagem é especialmente útil em cenários de DevOps e infraestrutura como código. Com o Helm, você pode integrar a implantação em pipelines de CI/CD e controlar todas as atualizações de sensor. Você também pode optar por receber versões de versão prévia e GA. Para obter instruções sobre como instalar o sensor do Defender usando o Helm, consulte Instalar o sensor do Defender para Contêineres usando o Helm.

Depois de conectar seus clusters GKE ao Azure Arc:

  1. Acesse Microsoft Defender para Nuvem>Recomendações.

  2. Pesquisar "Os clusters Kubernetes habilitados para Arc devem ter a extensão do Defender instalada".

    Captura de tela que mostra a pesquisa por uma recomendação.

    Captura de tela mostrando a habilitação do sensor para clusters GKE conectados ao Arc.

  3. Selecione seus clusters GKE.

  4. Selecione Correção para implantar o sensor.

    Captura de tela que mostra o local do botão Corrigir.

Observação

Você também pode implantar o sensor do Defender usando o Helm para obter mais controle. Para obter mais informações, consulte Implantar sensor do Defender usando o Helm.

Configure a verificação do registro de contêiner

Para o Registro de Contêiner do Google (GCR) e o Registro de Artefatos:

  1. Vá para as configurações do conector GCP.

  2. Selecione Configurar ao lado do plano de contêineres.

  3. Verifique se a avaliação de vulnerabilidade sem agente de contêiner está habilitada.

  4. As imagens são verificadas automaticamente quando você as envia por push para o Registro.

Habilitar registro em log de auditoria

Habilite o log de auditoria do GKE para proteção de runtime:

# Enable audit logs for existing cluster
gcloud container clusters update <cluster-name> \
    --zone <zone> \
    --enable-cloud-logging \
    --logging=SYSTEM,WORKLOAD,API_SERVER

Implantar componentes específicos (opcional)

Se você precisar de implantação seletiva ou corrigir problemas com implantações existentes:

Implantar o sensor do Defender em clusters específicos

Para implantar o sensor somente em clusters GKE selecionados:

  1. Conecte apenas clusters específicos ao Azure Arc (nem todos os clusters).

  2. Vá para Recomendações e localize "Os clusters do Kubernetes habilitados para Arc devem ter a extensão do Defender instalada".

  3. Selecione apenas os clusters em que você deseja o sensor.

  4. Siga as etapas de correção para os clusters selecionados.

Habilitar somente a verificação de vulnerabilidades

Para habilitar apenas a verificação do Registro sem proteção de runtime:

  1. Na configuração do conector, habilite apenas a avaliação de vulnerabilidade de contêiner sem agente.

  2. Desabilite outros componentes.

  3. Salve a configuração.

Configurar por tipo de cluster

Clusters GKE padrão

Nenhuma configuração especial é necessária. Siga as etapas de implantação padrão.

Piloto Automático do GKE

Para clusters de Autopilot:

  1. O sensor do Defender ajusta automaticamente as solicitações de recurso.

  2. Nenhuma configuração manual é necessária para limites de recursos.

Clusters GKE privados

Para clusters privados:

  1. Verifique se o cluster pode chegar aos pontos de extremidade do Azure.

  2. Configure regras de firewall, se necessário:

    gcloud compute firewall-rules create allow-azure-defender \
    --allow tcp:443 \
    --source-ranges <cluster-cidr> \
    --target-tags <node-tags>

Configurar exclusões

Para excluir clusters GKE específicos do provisionamento automático:

  1. Vá para o seu cluster GKE no Console do GCP.

  2. Adicione rótulos ao cluster:

    • Para sensor do Defender: ms_defender_container_exclude_agents = true
    • Para implantação sem agente: ms_defender_container_exclude_agentless = true

Observação

Para clusters conectados ao Arc, você também pode usar tags do Azure.

  • ms_defender_container_exclude_sensors = true
  • ms_defender_container_exclude_azurepolicy = true

Práticas recomendadas

  1. Comece com a não produção: teste em clusters de desenvolvimento/teste primeiro para implantação seletiva.
  2. Habilitar todos os componentes: obtenha proteção abrangente quando possível.
  3. Usar a Identidade da Carga de Trabalho: aprimore a segurança com a Identidade da Carga de Trabalho.
  4. Monitoramento regular: verifique o painel semanalmente para obter descobertas.
  5. Assinatura de imagem: Implementar a Autorização Binária para produção.
  6. Exclusões de documentos: acompanhe por que determinados clusters são excluídos em implantações seletivas.
  7. Implantar incrementalmente: ao usar a implantação seletiva, adicione um componente de cada vez.
  8. Monitore cada etapa: verifique cada componente antes de prosseguir para a próxima.

Limpar os recursos

Para desabilitar o Defender para contêineres, siga estas etapas:

  1. Vá para as configurações de Ambiente.

  2. Selecione seu conector GCP.

  3. Escolha uma das seguintes opções:

    • Defina Containers como Off para desabilitar o plano.
    • Exclua todo o conector para remover todas as configurações.

  4. Limpe os recursos do GCP:

    # Delete service account
gcloud iam service-accounts delete <service-account-email>

# Disconnect clusters from Arc
az connectedk8s delete --name <cluster-name> --resource-group <rg>

Próximas etapas

  • Last updated on