Freigeben über

Schützen Sie Ihre Google Cloud Platform (GCP)-Container mit Defender für Container

Defender for Containers in Microsoft Defender for Cloud ist die Cloud-native Lösung zur Sicherung Ihrer Container, damit Sie die Sicherheit Ihrer Cluster, Container und deren Anwendungen verbessern, überwachen und aufrechterhalten können.

Weitere Informationen finden Sie unter Übersicht über Microsoft Defender for Containers.

Weitere Informationen zu den Preisen von Defender for Containers finden Sie auf der Preisseite. Sie können die Kosten auch mit dem Kostenrechner defender for Cloud schätzen.

Voraussetzungen

Aktivieren des Defender for Containers-Plans für Ihr GCP-Projekt

Schützen von GKE-Clustern (Google Kubernetes Engine):

  1. Melden Sie sich beim Azure-Portal an.

  2. Suchen Sie nach Microsoft Defender für Cloud und wählen Sie es aus.

  3. Wählen Sie im Menü von Defender for Cloud die Option Umgebungseinstellungen aus.

  4. Wählen Sie das relevante GCP-Projekt aus.

    Screenshot eines GCP-Beispielconnectors

  5. Wählen Sie die Schaltfläche "Weiter: Pläne auswählen" aus.

  6. Stellen Sie sicher, dass der Containerplan aktiviert ist.

    Screenshot: Aktivierter Containerplan

  7. Um optionale Konfigurationen für den Plan zu ändern, wählen Sie Einstellungen aus.

    Screenshot: Defender for Cloud-Umgebungseinstellungsseite mit den Einstellungen für den Containers-Plan

    • Das Feature "Agentless Threat Protection" bietet Laufzeitbedrohungsschutz für Ihre Clustercontainer und ist standardmäßig aktiviert. Diese Konfiguration ist nur auf der GKP-Projektebene verfügbar. Die agentlose Sammlung der Überwachungsprotokolldaten der Steuerebene erfolgt über GCP Cloud Logging an das Back-End von Microsoft Defender for Cloud zur weiteren Analyse.

      Hinweis

      Wenn Sie diese Konfiguration deaktivieren, wird das Threat detection (control plane)-Feature deaktiviert. Erfahren Sie mehr über die Verfügbarkeit von Features.

    • Automatische Bereitstellung des Defender-Sensors für Azure Arc und Automatische Bereitstellung der Azure Policy-Erweiterung für Azure Arc: Diese Optionen sind standardmäßig aktiviert. Sie können Kubernetes mit Azure Arc-Unterstützung und die Erweiterungen auf drei Arten in Ihren GKE-Clustern installieren:

    • Der K8S-API-Zugriff legt Berechtigungen fest, um die API-basierte Ermittlung Ihrer Kubernetes-Cluster zu ermöglichen. Legen Sie zum Aktivieren die Umschaltfläche für den K8S-API-Zugriff auf "Ein" fest.

      Hinweis

      Kubernetes-API-Zugriff erfordert eingehende Konnektivität von Microsoft Defender für Cloud zum API-Server des Clusters über das Internet. Für Cluster, die einen öffentlichen API-Endpunkt mit einer Zugriffs-Zulassungsliste verfügbar machen, versucht Microsoft Defender für Cloud automatisch, die folgenden IP-Bereiche zur Zulassungsliste hinzuzufügen: 172.212.245.192/28

      48.209.1.192/28

    • Der Registrierungszugriff legt Berechtigungen fest, um die Sicherheitsrisikobewertung von In Google Registries (GAR und GCR) gespeicherten Bildern zu ermöglichen. Um zu aktivieren, schalten Sie den Registrierungszugriff auf Ein.

  8. Wählen Sie die Schaltfläche Kopieren aus.

    Der Screenshot zeigt die Position der Schaltfläche „Kopieren“.

  9. Wählen Sie die GCP Cloud Shell-Schaltfläche aus.

  10. Fügen Sie das Skript in das Cloud Shell-Terminal ein, und führen Sie es aus.

    Der Connector wird aktualisiert, nachdem das Skript ausgeführt wurde. Dieser Vorgang kann sechs bis acht Stunden dauern.

  11. Wählen Sie Nächster Schritt: Überprüfen und Generieren>.

  12. Klicken Sie auf Aktualisieren.

Bereitstellen der Lösung in bestimmten Clustern

Wenn Sie eine der Standardkonfigurationen für die automatische Bereitstellung während des Onboardingprozesses für den GCP-Connector oder danach deaktiviert haben, Sie müssen Azure Arc-fähige Kubernetes, den Defender-Sensor und die Azure-Richtlinie für Kubernetes manuell für jeden Ihrer GKE-Cluster installieren, um den vollständigen Sicherheitswert von Defender for Containers zu erhalten.

Es gibt zwei dedizierte Defender für Cloud-Empfehlungen, mit denen Sie die Erweiterungen installieren können (und Arc bei Bedarf):

  • GKE clusters should have Microsoft Defender's extension for Azure Arc installed
  • GKE clusters should have the Azure Policy extension installed

Hinweis

Bei der Installation von Arc-Erweiterungen müssen Sie überprüfen, ob das bereitgestellte GCP-Projekt mit dem im relevanten Connector identisch ist.

Bereitstellen der Lösung in bestimmten Clustern:

  1. Melden Sie sich beim Azure-Portal an.

  2. Suchen Sie nach Microsoft Defender für Cloud und wählen Sie es aus.

  3. Wählen Sie im Defender for Cloud-Menü "Empfehlungen" aus.

  4. Suchen Sie auf der Seite " Empfehlungen " von Defender für Cloud nach jedem der oben genannten Empfehlungen anhand des Namens.

    Der Screenshot zeigt, wie nach der Empfehlung gesucht werden muss.

  5. Wählen Sie einen fehlerhaften GKE-Cluster aus.

    Von Bedeutung

    Sie müssen die Cluster nacheinander auswählen.

    Wählen Sie die Cluster nicht über die verlinkten Namen aus, sondern wählen Sie eine beliebige andere Stelle in der betreffenden Zeile.

  6. Wählen Sie den Namen der fehlerhaften Ressource aus.

  7. Wählen Sie Korrigieren aus.

    Der Screenshot zeigt die Position der Schaltfläche „Korrigieren“.

  8. Defender for Cloud generiert ein Skript in der Sprache Ihrer Wahl:

    • Wählen Sie für Linux Bash aus.
    • Wählen Sie für Windows PowerShell aus.

  9. Wählen Sie Wartungslogik herunterladen aus.

  10. Führen Sie das generierte Skript in Ihrem Cluster aus.

  11. Wiederholen Sie die Schritte 3 bis 10 für die zweite Empfehlung.

Nächste Schritte