Partilhar via

Ativar Defender para Containers no GCP (GKE) pelo portal

Este artigo mostra-lhe como ativar o Microsoft Defender para Containers nos seus clusters do Google Kubernetes Engine (GKE) através do portal Azure. Pode optar por ativar todas as funcionalidades de segurança de uma só vez para proteção abrangente, ou implementar seletivamente componentes específicos consoante as suas necessidades.

Quando usar este guia

Use este guia se quiser:

  • Configurei o Defender para Containers no GCP pela primeira vez
  • Ativem todas as funcionalidades de segurança para uma proteção abrangente
  • Implantar seletivamente componentes específicos
  • Corrigir ou adicionar componentes em falta a uma implementação existente
  • Implementação utilizando uma abordagem controlada e seletiva
  • Excluir certos aglomerados da proteção

Pré-requisitos

Requisitos de rede

Valide se os seguintes pontos de extremidade para implantações de nuvem pública estão configurados para acesso de saída. Configurá-los para acesso de saída ajuda a garantir que o sensor do Defender possa se conectar ao Microsoft Defender for Cloud para enviar dados e eventos de segurança.

Observação

Os domínios *.ods.opinsights.azure.com do Azure e *.oms.opinsights.azure.com não são mais necessários para acesso de saída. Para obter mais informações, consulte o anúncio de descontinuação.

Domínio do Azure Domínio do Azure Government Azure operado pelo domínio 21Vianet Port
*.cloud.defender.microsoft.com N/A N/A 443

Você também precisa validar os requisitos de rede do Kubernetes habilitados para Azure Arc.

Requisitos específicos do GCP:

  • Projeto GCP com permissões apropriadas
  • Clusters GKE (versão 1.19+)
  • Imagens de contentores no Google Container Registry ou Artifact Registry
  • Conta de serviço com funções IAM obrigatórias
  • Cloud Shell ou gcloud CLI configurado

Criar conector do GCP

  1. Inicie sessão no portal Azure.

  2. Aceda ao Microsoft Defender para a Cloud.

  3. Seleciona as definições de Ambiente no menu esquerdo.

  4. Selecione Adicionar ambiente>Google Cloud Platform.

    Captura de ecrã que mostra como ligar um projeto GCP ao Microsoft Defender for Cloud.

    Captura de ecrã a mostrar a adição do ambiente GCP.

  5. Selecione o conector GCP relevante se tiver vários:

    Captura de tela que mostra um exemplo de conector GCP.

Configurar detalhes do conector

  1. Na secção de detalhes da conta , introduza:

    • Nome do conector: Um nome descritivo para o seu projeto GCP
    • ID do projeto GCP: O seu identificador do projeto GCP
    • Grupo de recursos: Selecione ou crie um grupo de recursos

    Captura de ecrã a mostrar a configuração dos detalhes da conta GCP.

  2. Selecione Avançar: Selecione planos.

Ativar funcionalidades do Defender para Containers

  1. Em Selecionar planos, mude Contentores para Ativado.

    Captura de ecrã de ativar o Defender for Containers para um conector GCP.

  2. Selecione Configurar para aceder às definições do plano.

    Captura de tela das configurações do plano Containers nas configurações do ambiente do Defender for Cloud.

  3. Escolha a sua abordagem de implantação:

    • Ativar todos os componentes (recomendado): Ativar todas as funcionalidades para proteção abrangente
    • Ativa componentes específicos: Seleciona apenas os componentes de que precisas

    Componentes disponíveis:

    • Descoberta sem agentes para Kubernetes - Descobre todos os clusters GKE
    • Avaliação de vulnerabilidades em contentores sem agente - Analisa imagens de registo
    • Defender DaemonSet - Deteção de ameaças em tempo de execução
    • Azure Policy for Kubernetes - Recomendações de segurança

  4. Selecione Continuar e Próximo: Configurar acesso.

Configurar permissões GCP

  1. Descarrega o script de configuração a partir do portal.

  2. Abra o Google Cloud Shell ou o seu terminal local com o gcloud configurado.

  3. Execute o script de configuração para criar a conta de serviço e as permissões necessárias:

    # The portal provides a script similar to this
bash defender-for-containers-setup.sh \
    --project-id <project-id> \
    --workload-identity-pool <pool-name>

  4. O script cria:

    • Conta de serviço com funções necessárias no IAM
    • Federação de identidades de carga de trabalho
    • Ativação de APIs

  5. Copie o email da conta de serviço a partir da saída do script.

    Captura de ecrã que mostra a localização do botão de cópia.

  6. Volte ao portal Azure e cole o email da conta de serviço.

    Captura de ecrã a mostrar a configuração do acesso ao GCP.

  7. Selecione Próximo: Rever e criar.

Implantar todos os componentes

Siga estes passos para permitir uma proteção abrangente para todos os seus clusters GKE.

Ligue clusters GKE ao Azure Arc

Depois de criar o conector:

  1. Vá para Recomendações do >

  2. Procura a recomendação "Os clusters GKE devem estar ligados ao Azure Arc".

  3. Selecione a recomendação para visualizar os grupos afetados.

  4. Siga os passos de remediação para ligar cada cluster:

    # Connect GKE cluster to Arc
az connectedk8s connect \
    --name <cluster-name> \
    --resource-group <resource-group> \
    --location <location>

Implantar o sensor Defender

Importante

Implantando o sensor Defender usando o Helm: Ao contrário de outras opções que são provisionadas automaticamente e atualizadas automaticamente, o Helm permite que você implante o sensor Defender de forma flexível. Essa abordagem é especialmente útil em cenários de DevOps e infraestrutura como código. Com o Helm, você pode integrar a implantação em pipelines de CI/CD e controlar todas as atualizações de sensores. Você também pode optar por receber as versões de pré-visualização e de disponibilidade geral (GA). Para obter instruções sobre como instalar o sensor Defender usando o Helm, consulte Instalar o sensor Defender for Containers usando o Helm.

Depois de ligar os seus clusters GKE ao Azure Arc:

  1. Vá para Recomendações do >

  2. Pesquisar "Clusters Kubernetes com Arc devem estar com a extensão Defender instalada".

    Captura de ecrã que mostra a procura de uma recomendação.

    Captura de ecrã a mostrar a ativação de sensores para clusters GKE ligados a Arc.

  3. Selecione os seus clusters de GKE.

  4. Seleciona Fix para ativar o sensor.

    Captura de ecrã que mostra a localização do botão Corrigir.

Observação

Também podes usar o sensor Defender usando o Helm para mais controlo. Para obter mais informações, consulte Implantar o sensor Defender usando o Helm.

Configurar a verificação do registo de contentores

Para o Google Container Registry (GCR) e o Registo de Artefactos:

  1. Vai às definições do teu conector GCP.

  2. Selecione Configurar ao lado do plano de Contentores.

  3. Verificar se a avaliação de vulnerabilidade do container sem agente está ativada.

  4. As imagens são automaticamente digitalizadas quando as envia para o registo.

Habilitar o registro de auditoria

Ative o registo de auditoria GKE para proteção em tempo de execução:

# Enable audit logs for existing cluster
gcloud container clusters update <cluster-name> \
    --zone <zone> \
    --enable-cloud-logging \
    --logging=SYSTEM,WORKLOAD,API_SERVER

Implantar componentes específicos (opcional)

Se precisar de implementação seletiva ou para corrigir problemas com implementações existentes:

Implantar o sensor Defender em clusters específicos

Para implantar o sensor apenas em clusters GKE selecionados:

  1. Ligue apenas clusters específicos ao Azure Arc (não todos os clusters).

  2. Vai a Recomendações e encontra "Clusters Kubernetes habilitados por Arc devem ter a extensão Defender instalada".

  3. Seleciona apenas os clusters onde queres o sensor.

  4. Siga os passos de remediação para os clusters selecionados.

Ativar apenas a análise de vulnerabilidades

Para permitir apenas a digitalização do registo sem proteção em tempo de execução:

  1. Na configuração do conector, ative apenas a avaliação de vulnerabilidade do contentor sem agente.

  2. Desative outros componentes.

  3. Salve a configuração.

Configurar por tipo de cluster

Clusters padrão do GKE

Não é necessária nenhuma configuração especial. Siga os passos padrão de implementação.

Piloto automático GKE

Para os clusters Autopilot:

  1. O sensor Defender ajusta automaticamente os pedidos de recursos.

  2. Não é necessária configuração manual para limites de recursos.

Clusters GKE privados

Para clusters privados:

  1. Garante que o cluster consegue chegar aos endpoints Azure.

  2. Configure as regras do firewall, se necessário:

    gcloud compute firewall-rules create allow-azure-defender \
    --allow tcp:443 \
    --source-ranges <cluster-cidr> \
    --target-tags <node-tags>

Configurar exclusões

Para excluir clusters GKE específicos do provisionamento automático:

  1. Vai ao teu cluster GKE na GCP Console.

  2. Adicionar etiquetas ao cluster:

    • Para o sensor Defender: ms_defender_container_exclude_agents = true
    • Para implementação sem agente: ms_defender_container_exclude_agentless = true

Observação

Para clusters ligados ao Arc, também pode usar etiquetas Azure:

  • ms_defender_container_exclude_sensors = true
  • ms_defender_container_exclude_azurepolicy = true

Melhores práticas

  1. Comece com não-produção: Teste primeiro em clusters de desenvolvimento/teste para implementação seletiva.
  2. Ative todos os componentes: Obtenha uma proteção abrangente sempre que possível.
  3. Use Identidade de Carga de Trabalho: Aumente a segurança com Identidade de Carga de Trabalho.
  4. Monitorização regular: Consulte o painel semanalmente para encontrar conclusões.
  5. Assinatura de imagens: Implementar Autorização Binária para produção.
  6. Exclusões de documentos: Acompanhe por que certos clusters são excluídos em implementações seletivas.
  7. Implementar de forma incremental: Ao usar implantação seletiva, adicione um componente de cada vez.
  8. Monitorize cada etapa: Verifique cada componente antes de avançar para o seguinte.

Limpeza de recursos

Para desativar o Defender for Containers, siga estes passos:

  1. Vai a Definições de Ambiente.

  2. Selecione o seu conector GCP.

  3. Escolha uma das seguintes opções:

    • Defina Contentores como Desligado para desativar o plano.
    • Elimina todo o conector para remover todas as configurações.

  4. Limpar os recursos do GCP:

    # Delete service account
gcloud iam service-accounts delete <service-account-email>

# Disconnect clusters from Arc
az connectedk8s delete --name <cluster-name> --resource-group <rg>

Próximos passos

  • Last updated on