GCP 上的 Defender for Containers （GKE） - 概述

Microsoft Defender for Containers 将企业级安全性扩展到 Google Kubernetes 引擎 （GKE） 群集。 它通过漏洞扫描、运行时威胁检测、软件供应链功能和安全状况管理提供全面的保护，同时保持 GCP 客户期望的灵活性和规模。

什么是 GCP 上的 Defender for Containers？

GCP 上的 Defender for Containers 是一种云原生安全解决方案，用于保护在 Google Cloud Platform 中运行的 GKE 群集和容器化工作负载。 将 GCP 项目连接到 Microsoft Defender for Cloud 时，可以在整个容器资产（无论是在 Azure、GCP、AWS 还是本地运行）中获得可见性和保护。

该解决方案与 Google 容器注册表（GCR）、项目注册表和 GKE 的本机安全功能等 GCP 服务无缝集成。 它还提供Microsoft的高级威胁情报和安全功能。 通过此集成，组织可以在其多云容器部署中维护一致的安全策略和威胁检测。

如何使用 GCP 的工作原理

Defender for Containers 使用一种轻型体系结构，该体系结构尊重 GCP 的安全模型，同时提供全面的保护。 在 Defender for Cloud 中创建 GCP 连接器时，解决方案会自动：

• 发现连接的 GCP 项目中的所有 GKE 群集
• 将群集连接到 Azure Arc 进行集中管理和监视
• 将轻型传感器作为 DaemonSet 部署，以实现运行时的系统保护
• 与 GCR 和项目注册表集成，以便进行漏洞扫描
• 收集 GKE 审核日志和用于安全分析的指标
• 根据 CIS GKE 基准提供安全建议

此体系结构可确保在维护 GCP 的安全边界和符合性要求的同时，对工作负荷的性能影响最小。

关键功能

Defender for Containers 跨四个关键领域提供全面的安全性：

体系结构概述

GCP 上的 Defender for Containers 体系结构旨在实现安全性和效率：

GCP 连接器：使用服务帐户身份验证或工作负荷标识联合身份验证在 GCP 项目与 Microsoft Defender for Cloud 之间建立安全连接。

Azure Arc for Kubernetes：提供一个控制平面，用于管理来自 Azure 的 GKE 群集，而无需入站连接。

Defender 传感器：作为 DaemonSet 部署在每个 GKE 集群上，以最小的资源消耗来收集运行时的遥测数据和安全事件。

注册表集成：与 Google Container Registry (GCR) 和 Artifact Registry 的本地集成，可实现漏洞扫描，无需移动镜像或公开凭据。

云日志记录集成：利用 GKE 审核日志和云日志记录进行全面的安全监视，而无需复制数据。

这些组件协同工作，提供端到端安全性，同时遵循 GCP 的共同责任模型和现有安全控制。

部署选项

GCP 上的 Defender for Containers 支持灵活的部署方法：

• Azure 门户部署 - 使用自动化设置脚本的引导式体验
• 编程部署 - 自动化方案的基于脚本的部署

选择符合您 GCP 操作实践和安全要求的部署方法。

先决条件

在 GKE 上部署 Defender for Containers 之前：

• 已启用 Defender for Cloud 的活动 Azure 订阅
• 具有所有者或安全管理员角色的 GCP 项目
• 运行版本 1.19 或更高版本的 GKE 群集
• 已启用的 GCP API：Kubernetes 引擎、容器注册表、云资产
• 从 GKE 到 Azure 终结点的网络连接

Pricing

有关当前定价，请参阅 Microsoft Defender for Cloud 定价。

查看当前覆盖范围

Defender for Cloud 通过 Azure 工作簿提供对工作簿的访问权限。 工作簿是可自定义的报表，可提供对安全状况的见解。

覆盖率工作簿通过显示哪些计划在订阅和资源上启用，帮助你了解当前的覆盖范围。

后续步骤

准备好保护 GKE 群集吗？ 选择部署路径：

• 通过门户启用所有组件 - 建议用于初始设置
• 以编程方式部署 - 用于自动化和缩放
• 验证部署 - 确保组件正常工作