Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Saat Anda menyambungkan proyek atau organisasi Google Cloud Platform (GCP) ke Microsoft Defender for Cloud, layanan ini menggunakan autentikasi federasi untuk mengakses API GCP dengan aman tanpa menyimpan kredensial berumur panjang.
Autentikasi dilakukan dengan bertukar token jangka pendek antara ID Microsoft Entra dan Google Cloud Security Token Service (STS), yang memungkinkan Defender for Cloud meniru akun layanan GCP dengan izin terbatas.
Artikel ini menjelaskan sumber daya autentikasi yang dibuat selama onboarding dan cara kerja model kepercayaan federasi.
Sumber daya autentikasi yang dibuat di GCP
Saat Anda melakukan onboarding proyek atau organisasi GCP ke Defender for Cloud, templat GCloud digunakan untuk membuat sumber daya autentikasi yang diperlukan untuk membangun kepercayaan antara ID Microsoft Entra dan Google Cloud.
Sumber daya ini meliputi:
- Kumpulan identitas beban kerja dan penyedia
- Akun layanan dan ikatan kebijakan
Sumber daya ini memungkinkan Defender untuk Cloud mengautentikasi ke GCP dan mengakses API yang diperlukan untuk penemuan, penilaian postur, dan analisis keamanan.
Model Penyedia Identitas
Defender for Cloud mengautentikasi ke GCP menggunakan federasi identitas beban kerja.
Penyedia identitas beban kerja dikonfigurasi di GCP untuk mempercayai token yang diterbitkan oleh Microsoft Entra ID. Kepercayaan ini memungkinkan Defender for Cloud untuk menukar token Microsoft Entra dengan token Google STS dan meniru akun layanan GCP.
Izin akun layanan dibatasi pada proyek atau organisasi yang terhubung dan terbatas pada akses yang diperlukan oleh paket Defender yang diaktifkan.
Alur autentikasi lintas cloud
Diagram berikut menunjukkan bagaimana Defender for Cloud mengautentikasi ke GCP menggunakan identitas federasi dan pertukaran token.
Proses autentikasi berfungsi sebagai berikut:
layanan CSPM Microsoft Defender untuk Cloud memperoleh token Microsoft Entra. MICROSOFT Entra ID menandatangani token menggunakan algoritma RS256. Token ini hanya berlaku selama satu jam.
Token Microsoft Entra ditukar dengan Layanan Token Keamanan (STS) Google.
Google STS memvalidasi token dengan penyedia identitas beban kerja. Validasi audiens dilakukan, dan token ditandatangani. Token Google STS kemudian dikembalikan ke Defender for Cloud.
Defender for Cloud menggunakan token Google STS untuk meniru akun layanan. Kredensial akun layanan digunakan untuk memindai proyek atau organisasi GCP.
Peniruan akun layanan dan cakupan akses
Setelah autentikasi selesai, Defender for Cloud beroperasi menggunakan kredensial akun layanan yang ditiru.
Akses akun layanan terbatas pada sumber daya GCP yang di-onboarding. Jika Anda melakukan onboarding satu proyek, akses dibatasi untuk proyek tersebut. Jika Anda melakukan onboarding organisasi GCP, akses dibatasi ke proyek yang ada di organisasi tersebut.
Pengikatan kebijakan membatasi akses hanya ke sumber daya yang terhubung.
Izin yang diberikan ke akun layanan menentukan sinyal keamanan mana yang dapat dikumpulkan Defender for Cloud.
Model ini memastikan akses hak istimewa paling sedikit sambil mengaktifkan penilaian keamanan berkelanjutan.