Připojení projektu GCP ke službě Microsoft Defender for Cloud

  • Článek

Úlohy běžně zahrnují více cloudových platforem. Služby cloudového zabezpečení musí dělat totéž. Microsoft Defender for Cloud pomáhá chránit úlohy v GCP (Google Cloud Platform), ale musíte mezi nimi nastavit připojení a Defender for Cloud.

Tento snímek obrazovky ukazuje účty GCP zobrazené na řídicím panelu přehledu Defenderu pro cloud.

Snímek obrazovky znázorňující projekty GCP uvedené na řídicím panelu přehledu v defenderu pro cloud

Návrh autorizace GCP

Proces ověřování mezi Microsoft Defenderem pro cloud a GCP je federovaný proces ověřování.

Při onboardingu do Defenderu pro cloud se šablona GCloudu použije k vytvoření následujících prostředků v rámci procesu ověřování:

  • Fond identit a zprostředkovatelé úloh

  • Účty služeb a vazby zásad

Proces ověřování funguje takto:

Diagram procesu ověřování konektoru GCP v programu Defender for Cloud

  1. Služba CSPM v programu Microsoft Defender for Cloud získá token Microsoft Entra. Token je podepsán Microsoft Entra ID pomocí algoritmu RS256 a je platný po dobu 1 hodiny.

  2. Token Microsoft Entra se vyměňuje s tokenem STS společnosti Google.

  3. Google STS ověří token u zprostředkovatele identity úlohy. Token Microsoft Entra se odešle do služby STS Společnosti Google, která token ověří pomocí zprostředkovatele identity úlohy. K ověření cílové skupiny pak dojde a token se podepíše. Token Google STS se pak vrátí do služby Defender for Cloud CSPM.

  4. Služba Defender for Cloud CSPM používá token Google STS k zosobnění účtu služby. Defender for Cloud CSPM přijímá přihlašovací údaje účtu služby, které se používají ke kontrole projektu.

Požadavky

K dokončení postupů v tomto článku potřebujete:

  • Předplatné Microsoft Azure. Pokud nemáte předplatné Azure, můžete si ho zdarma zaregistrovat.

  • Microsoft Defender for Cloud nastavený ve vašem předplatném Azure.

  • Přístup k projektu GCP

  • Oprávnění přispěvatele k příslušnému předplatnému Azure a oprávnění vlastníka k organizaci nebo projektu GCP.

Další informace o cenách Defenderu pro cloud najdete na stránce s cenami.

Při připojování projektů GCP ke konkrétním předplatným Azure zvažte hierarchii prostředků Google Cloud a tyto pokyny:

  • Projekty GCP můžete propojit s Programem Microsoft Defender for Cloud na úrovni projektu .
  • K jednomu předplatnému Azure můžete připojit více projektů.
  • Více projektů můžete připojit k několika předplatným Azure.

Připojení projektu GCP

Proces onboardingu má čtyři části, které se provádějí při vytváření připojení zabezpečení mezi projektem GCP a Programem Microsoft Defender for Cloud.

Podrobnosti projektu

V první části je potřeba přidat základní vlastnosti propojení mezi projektem GCP a programem Defender for Cloud.

Snímek obrazovky se stránkou podrobností organizace procesu onboardingu projektu GCP

Tady svůj konektor pojmenujete, vyberte předplatné a skupinu prostředků, která se používá k vytvoření prostředku šablony ARM, který se nazývá konektor zabezpečení. Konektor zabezpečení představuje konfigurační prostředek, který obsahuje nastavení projektů.

Výběr plánů pro váš projekt

Po zadání podrobností vaší organizace budete moct vybrat plány, které chcete povolit.

Snímek obrazovky s dostupnými plány, které můžete povolit pro svůj projekt GCP

Tady se můžete rozhodnout, které prostředky chcete chránit, na základě hodnoty zabezpečení, kterou chcete získat.

Konfigurace přístupu pro váš projekt

Po výběru plánů chcete povolit a prostředky, které chcete chránit, musíte nakonfigurovat přístup mezi defenderem pro cloud a projektem GCP.

Snímek obrazovky znázorňující možnosti nasazení a pokyny pro konfiguraci přístupu

V tomto kroku najdete skript GCloudu, který je potřeba spustit v projektu GCP, který se chystá připojit. Skript GCloud se vygeneruje na základě plánů, které jste vybrali pro onboarding.

Skript GCloud vytvoří ve vašem prostředí GCP všechny požadované prostředky, aby Defender for Cloud mohl pracovat a poskytovat následující hodnoty zabezpečení:

  • Fond identit úloh
  • Zprostředkovatel identity úloh (podle plánu)
  • Service Accounts
  • Vazby zásad na úrovni projektu (účet služby má přístup pouze ke konkrétnímu projektu)

Kontrola a vygenerování konektoru pro váš projekt

Posledním krokem při onboardingu je zkontrolovat všechny vaše výběry a vytvořit konektor.

Snímek obrazovky s kontrolou a vygenerování obrazovky se všemi vašimi vybranými možnostmi

Poznámka:

Aby bylo možné zjistit prostředky GCP a povolit proces ověřování, musí být povolená následující rozhraní API:

  • iam.googleapis.com
  • sts.googleapis.com
  • cloudresourcemanager.googleapis.com
  • iamcredentials.googleapis.com
  • compute.googleapis.com Pokud tato rozhraní API v tuto chvíli nepovolíte, můžete je povolit během procesu onboardingu spuštěním skriptu GCloud.

Po vytvoření konektoru se spustí kontrola v prostředí GCP. Po uplynutí až 6 hodin se v Defenderu pro cloud zobrazí nová doporučení. Pokud jste povolili automatické zřizování, služba Azure Arc a všechna povolená rozšíření se automaticky nainstalují pro každý nově zjištěný prostředek.

Připojení vaší organizaci GCP

Podobně jako při onboardingu jednoho projektu vytvoří Defender for Cloud při onboardingu organizace GCP konektor zabezpečení pro každý projekt v rámci organizace (pokud nejsou vyloučeny konkrétní projekty).

Podrobnosti o organizaci

V první části je potřeba přidat základní vlastnosti propojení mezi vaší organizací GCP a defenderem pro cloud.

Snímek obrazovky se stránkou podrobností o organizaci procesu onboardingu organizace GCP

Tady svůj konektor pojmenujete, vyberte předplatné a skupinu prostředků, která se používá k vytvoření prostředku šablony ARM, který se nazývá konektor zabezpečení. Konektor zabezpečení představuje konfigurační prostředek, který obsahuje nastavení projektů.

Také vyberete umístění a přidáte ID organizace pro váš projekt.

Při onboardingu organizace můžete také vyloučit čísla projektů a ID složek.

Výběr plánů pro vaši organizaci

Po zadání podrobností vaší organizace budete moct vybrat plány, které chcete povolit.

Snímek obrazovky s dostupnými plány, které můžete pro vaši organizaci GCP povolit

Tady se můžete rozhodnout, které prostředky chcete chránit, na základě hodnoty zabezpečení, kterou chcete získat.

Konfigurace přístupu pro vaši organizaci

Po výběru plánů chcete povolit a prostředky, které chcete chránit, musíte nakonfigurovat přístup mezi defenderem pro cloud a vaší organizací GCP.

Snímek obrazovky Konfigurace přístupu mezi Defenderem pro cloud a vaší organizací GCP

Při onboardingu organizace je oddíl, který obsahuje podrobnosti o projektu správy. Podobně jako u jiných projektů GCP se organizace považuje za projekt a využívá ho Defender for Cloud k vytvoření všech požadovaných prostředků potřebných k připojení organizace k Defenderu pro cloud.

V části s podrobnostmi o projektu řízení máte na výběr:

  • Vyhradit projekt správy pro Defender pro cloud, který se má zahrnout do skriptu GCloudu.
  • Zadejte podrobnosti o již existujícím projektu, který se má použít jako projekt správy s programem Defender for Cloud.

Musíte se rozhodnout, jaká je vaše nejlepší možnost pro architekturu vaší organizace. Doporučujeme vytvořit vyhrazený projekt pro Defender for Cloud.

Skript GCloud se vygeneruje na základě plánů, které jste vybrali pro onboarding. Skript vytvoří všechny požadované prostředky ve vašem prostředí GCP, aby Defender for Cloud mohl fungovat a poskytovat následující výhody zabezpečení:

  • Fond identit úloh
  • Zprostředkovatel identity úloh pro každý plán
  • Vlastní role pro udělení přístupu defenderu pro cloud ke zjišťování a získání projektu v rámci onboardované organizace
  • Účet služby pro každý plán
  • Účet služby pro službu automatického zřizování
  • Vazby zásad na úrovni organizace pro každý účet služby
  • Povolení rozhraní API na úrovni projektu správy

Některá rozhraní API se přímo nepoužívají s projektem pro správu. Místo toho se rozhraní API ověřují prostřednictvím tohoto projektu a používají jedno z rozhraní API z jiného projektu. V projektu pro správu musí být povolené rozhraní API.

Kontrola a vygenerování konektoru pro vaši organizaci

Posledním krokem při onboardingu je zkontrolovat všechny vaše výběry a vytvořit konektor.

Snímek obrazovky s kontrolou a vygenerování obrazovky se všemi vašimi výběry uvedenými pro vaši organizaci

Poznámka:

Aby bylo možné zjistit prostředky GCP a povolit proces ověřování, musí být povolená následující rozhraní API:

  • iam.googleapis.com
  • sts.googleapis.com
  • cloudresourcemanager.googleapis.com
  • iamcredentials.googleapis.com
  • compute.googleapis.com Pokud tato rozhraní API v tuto chvíli nepovolíte, můžete je povolit během procesu onboardingu spuštěním skriptu GCloud.

Po vytvoření konektoru se spustí kontrola v prostředí GCP. Po uplynutí až 6 hodin se v Defenderu pro cloud zobrazí nová doporučení. Pokud jste povolili automatické zřizování, služba Azure Arc a všechna povolená rozšíření se automaticky nainstalují pro každý nově zjištěný prostředek.

Volitelné: Konfigurace vybraných plánů

Ve výchozím nastavení jsou všechny plány zapnuté. Můžete vypnout plány, které nepotřebujete.

Snímek obrazovky, který zobrazuje přepínače zapnuté pro všechny plány

Konfigurace plánu Defender for Servers

Microsoft Defender for Servers přináší detekci hrozeb a pokročilou obranu do instancí virtuálních počítačů GCP. Pokud chcete mít úplný přehled o obsahu zabezpečení v programu Microsoft Defender for Servers, připojte instance virtuálních počítačů GCP k Azure Arc. Pokud zvolíte plán Microsoft Defender for Servers, potřebujete:

  • Program Microsoft Defender pro servery povolený ve vašem předplatném Zjistěte, jak povolit plány v článku Povolení rozšířených funkcí zabezpečení.

  • Azure Arc pro servery nainstalované na instancích virtuálních počítačů

K instalaci služby Azure Arc na instance virtuálních počítačů doporučujeme použít proces automatického zřizování. Automatické zřizování je ve výchozím nastavení povolené v procesu onboardingu a vyžaduje oprávnění vlastníka k předplatnému. Proces automatického zřizování Azure Arc používá na konci GCP agenta konfigurace operačního systému. Přečtěte si další informace o dostupnosti agenta konfigurace operačního systému na počítačích GCP.

Proces automatického zřizování Azure Arc používá správce virtuálních počítačů v GCP k vynucení zásad na virtuálních počítačích prostřednictvím agenta konfigurace operačního systému. Za virtuální počítač, který má aktivního agenta konfigurace operačního systému, se účtují náklady podle GCP. Informace o tom, jak tyto náklady můžou ovlivnit váš účet, najdete v technické dokumentaci GCP.

Microsoft Defender pro servery nenainstaluje agenta konfigurace operačního systému na virtuální počítač, který ho nemá nainstalovaný. Microsoft Defender for Servers však umožňuje komunikaci mezi agentem konfigurace operačního systému a službou Konfigurace operačního systému, pokud je agent již nainstalovaný, ale nekomunikuje se službou. Tato komunikace může změnit agenta konfigurace operačního systému z inactive na active vyšší náklady a vést k dalším nákladům.

Případně můžete instance virtuálních počítačů připojit ručně ke službě Azure Arc pro servery. Instance v projektech s povoleným plánem Defender for Servers, které nejsou připojené ke službě Azure Arc, se zobrazují doporučeními instancemi virtuálních počítačů GCP, které by měly být připojené ke službě Azure Arc. V doporučení vyberte možnost Opravit a nainstalujte Azure Arc na vybrané počítače.

Příslušné servery Azure Arc pro virtuální počítače GCP, které již neexistují (a příslušné servery Azure Arc se stavem Odpojeno nebo Vypršela platnost), se odeberou po sedmi dnech. Tento proces odebere irelevantní entity Azure Arc, aby se zajistilo, že se zobrazí jenom servery Azure Arc související s existujícími instancemi.

Ujistěte se, že splňujete požadavky na síť pro Azure Arc.

Povolte tato další rozšíření na počítačích připojených k Azure Arc:

  • Microsoft Defender for Endpoint
  • Řešení posouzení ohrožení zabezpečení (Microsoft Defender Správa zranitelností nebo Qualys)

Defender for Servers přiřazuje značky vašim prostředkům Azure Arc GCP ke správě procesu automatického zřizování. Tyto značky musíte mít správně přiřazené k vašim prostředkům, aby mohl Defender for Servers spravovat vaše prostředky: Cloud, InstanceName, MDFCSecurityConnector, MachineId, ProjectIda ProjectNumber.

Konfigurace plánu Defender for Servers:

  1. Postupujte podle kroků pro připojení projektu GCP.

  2. Na kartě Vybrat plány vyberte Konfigurovat.

    Snímek obrazovky znázorňující odkaz pro konfiguraci plánu Defender for Servers

  3. V podokně konfigurace automatického zřizování zapněte nebo v závislosti na potřebě zapněte nebo vypněte přepínače.

    Snímek obrazovky znázorňující přepínače plánu Defender for Servers

    Pokud je agent Azure Arc vypnutý, musíte postupovat podle výše uvedeného postupu ruční instalace.

  4. Zvolte Uložit.

  5. Pokračujte v kroku 8 Připojení pokynů k projektu GCP.

Konfigurace plánu Defenderu pro databáze

Pokud chcete mít úplný přehled o obsahu zabezpečení Microsoft Defenderu for Databases, připojte instance virtuálních počítačů GCP ke službě Azure Arc.

Konfigurace plánu Defender for Databases:

  1. Postupujte podle kroků pro připojení projektu GCP.

  2. Na kartě Vybrat plány v části Databáze vyberte Nastavení.

  3. V podokně Konfigurace plánu v závislosti na potřebě zapněte nebo vypněte přepínače.

    Snímek obrazovky znázorňující přepínače pro plán Defenderu pro databáze

    Pokud je přepínač azure Arc vypnutý, musíte postupovat podle výše uvedeného postupu ruční instalace.

  4. Zvolte Uložit.

  5. Pokračujte v kroku 8 Připojení pokynů k projektu GCP.

Konfigurace plánu Defender for Containers

Microsoft Defender for Containers přináší detekci hrozeb a pokročilou obranu do clusterů GCP Google Kubernetes Engine (GKE) Standard. Pokud chcete získat plnou hodnotu zabezpečení z Defenderu pro kontejnery a plně chránit clustery GCP, ujistěte se, že splňujete následující požadavky.

Poznámka:

  • Protokoly auditu Kubernetes do Defenderu pro cloud: Ve výchozím nastavení je povoleno. Tato konfigurace je dostupná pouze na úrovni projektu GCP. Poskytuje kolekci dat protokolu auditu bez agentů prostřednictvím protokolování cloudu GCP do back-endu Microsoft Defenderu for Cloud pro účely další analýzy. Defender for Containers vyžaduje protokoly auditu řídicí roviny pro zajištění ochrany před hrozbami za běhu. Pokud chcete odesílat protokoly auditu Kubernetes do Microsoft Defenderu, přepněte nastavení na Zapnuto.

    Poznámka:

    Pokud tuto konfiguraci zakážete, Threat detection (control plane) funkce bude zakázaná. Přečtěte si další informace o dostupnosti funkcí.

  • Senzor automatického zřizování Defenderu pro rozšíření Azure Arc a Automatické zřizování azure Policy pro Azure Arc: Ve výchozím nastavení je povoleno. Kubernetes s podporou Azure Arc a jeho rozšíření můžete do clusterů GKE nainstalovat třemi způsoby:

    • Povolení automatického zřizování Defenderu pro kontejnery na úrovni projektu, jak je vysvětleno v pokynech v této části. Tuto metodu doporučujeme.
    • Pro instalaci jednotlivých clusterů použijte Defender pro cloudová doporučení. Zobrazí se na stránce doporučení Microsoft Defenderu pro cloud. Zjistěte, jak nasadit řešení do konkrétních clusterů.
    • Ručně nainstalujte Kubernetes a rozšíření s podporou Arc.

  • Zjišťování bez agentů pro Kubernetes poskytuje zjišťování clusterů Kubernetes založené na rozhraní API. Pokud chcete povolit zjišťování bez agentů pro funkci Kubernetes , přepněte nastavení na Zapnuto.

  • Posouzení ohrožení zabezpečení kontejneru bez agentů poskytuje správa ohrožení zabezpečení pro image uložené ve službě Google Container Registry (GCR) a Google Artifact Registry (GAR) a spouštění imagí v clusterech GKE. Pokud chcete povolit funkci Posouzení ohrožení zabezpečení kontejneru bez agentů, přepněte nastavení na Zapnuto.

Konfigurace plánu Defender for Containers:

  1. Postupujte podle kroků pro připojení projektu GCP.

  2. Na kartě Vybrat plány vyberte Konfigurovat. Potom v podokně konfigurace Defender for Containers zapněte přepínače na Zapnuto.

    Snímek obrazovky se stránkou nastavení prostředí Defenderu pro cloud zobrazující nastavení plánu Kontejnery

  3. Zvolte Uložit.

  4. Pokračujte v kroku 8 Připojení pokynů k projektu GCP.

Konfigurace plánu CSPM v programu Defender

Pokud zvolíte plán CSPM v programu Microsoft Defender, potřebujete:

Přečtěte si další informace o tom, jak povolit csPM v programu Defender.

Konfigurace plánu CSPM v programu Defender:

  1. Postupujte podle kroků pro připojení projektu GCP.

  2. Na kartě Vybrat plány vyberte Konfigurovat.

    Snímek obrazovky znázorňující odkaz pro konfiguraci plánu CSPM v programu Defender

  3. V podokně Konfigurace plánu zapněte nebo vypněte přepínače. Pokud chcete získat plnou hodnotu funkce CSPM v programu Defender, doporučujeme zapnout všechny přepínače.

    Snímek obrazovky znázorňující přepínací tlačítka pro csPM v programu Defender

  4. Zvolte Uložit.

  5. Pokračujte v kroku 8 Připojení pokynů k projektu GCP.

Monitorování prostředků GCP

Na stránce doporučení zabezpečení v defenderu pro cloud se zobrazí prostředky GCP společně s prostředky Azure a AWS pro skutečné zobrazení s více cloudy.

Pokud chcete zobrazit všechna aktivní doporučení pro vaše prostředky podle typu prostředku, použijte stránku inventáře prostředků v defenderu pro cloud a vyfiltrujte typ prostředku GCP, který vás zajímá.

Snímek obrazovky s možnostmi GCP ve filtru typu prostředku na stránce inventáře prostředků

Poznámka:

Vzhledem k tomu, že agent Log Analytics (označovaný také jako MMA) je nastavený na vyřazení z provozu v srpnu 2024, budou všechny funkce Defenderu pro servery a možnosti zabezpečení, které jsou na ní aktuálně závislé, včetně těch, které jsou popsány na této stránce, k dispozici prostřednictvím integrace microsoft Defenderu pro koncové body nebo kontroly bez agentů před datem vyřazení. Další informace o roadmapě jednotlivých funkcí, které jsou aktuálně závislé na agentu Log Analytics, najdete v tomto oznámení.

Integrace s XDR v programu Microsoft Defender

Když povolíte Defender for Cloud, výstrahy Defenderu pro cloud se automaticky integrují do portálu Microsoft Defenderu. Nejsou potřeba žádné další kroky.

Integrace mezi programem Microsoft Defender for Cloud a XDR v programu Microsoft Defender přináší vaše cloudová prostředí do XDR v programu Microsoft Defender. Díky upozorněním a korelacím cloudu v programu Defender for Cloud, které jsou integrované do XDR v programu Microsoft Defender, můžou týmy SOC nyní přistupovat ke všem informacím o zabezpečení z jednoho rozhraní.

Přečtěte si další informace o upozorněních defenderu pro cloud v XDR v programu Microsoft Defender.

Další kroky

Připojení projektu GCP je součástí prostředí s více cloudy dostupnými v programu Microsoft Defender for Cloud: