Connettere un progetto GCP a Microsoft Defender per il cloud
I carichi di lavoro in genere si estendono su più piattaforme cloud. I servizi di sicurezza cloud devono eseguire le stesse operazioni. Microsoft Defender per il cloud consente di proteggere i carichi di lavoro in Google Cloud Platform (GCP), ma è necessario configurare la connessione tra di essi e Defender per il cloud.
Questa schermata mostra gli account GCP visualizzati nel dashboard di panoramica di Defender per il cloud.
Progettazione dell'autorizzazione GCP
Il processo di autenticazione tra Microsoft Defender per il cloud e GCP è un processo di autenticazione federato.
Quando si esegue l'onboarding in Defender per il cloud, il modello GCloud viene usato per creare le risorse seguenti come parte del processo di autenticazione:
Pool di identità e provider di identità del carico di lavoro
Account del servizio e associazioni di criteri
Il processo di autenticazione funziona come segue:
il servizio CSPM di Microsoft Defender per il cloud acquisisce un token Microsoft Entra. Il token è firmato da Microsoft Entra ID usando l'algoritmo RS256 ed è valido per 1 ora.
Il token Microsoft Entra viene scambiato con il token STS di Google.
Google STS convalida il token con il provider di identità del carico di lavoro. Il token Microsoft Entra viene inviato al servizio token di sicurezza di Google che convalida il token con il provider di identità del carico di lavoro. Viene quindi eseguita la convalida del gruppo di destinatari e il token è firmato. Viene quindi restituito un token del servizio token di sicurezza di Google al servizio CSPM di Defender per il cloud.
il servizio CSPM di Defender per il cloud usa il token del servizio token di sicurezza Di Google per rappresentare l'account del servizio. cspm di Defender per il cloud riceve le credenziali dell'account del servizio usate per analizzare il progetto.
Prerequisiti
Per completare le procedure descritte in questo articolo, è necessario:
Una sottoscrizione di Microsoft Azure. Se non si ha una sottoscrizione di Azure, è possibile iscriversi per ottenere una sottoscrizione gratuita.
Microsoft Defender per il cloud configurata nella sottoscrizione di Azure.
Accesso a un progetto GCP.
Autorizzazione collaboratore per la sottoscrizione di Azure pertinente e autorizzazione proprietario per l'organizzazione o il progetto GCP.
Altre informazioni sui prezzi di Defender per il cloud sono disponibili nella pagina dei prezzi.
Quando si connettono progetti GCP a sottoscrizioni di Azure specifiche, prendere in considerazione la gerarchia delle risorse di Google Cloud e queste linee guida:
- È possibile connettere i progetti GCP a Microsoft Defender per il cloud a livello di progetto.
- È possibile connettere più progetti a una sottoscrizione di Azure.
- È possibile connettere più progetti a più sottoscrizioni di Azure.
Connessione il progetto GCP
Quando si crea la connessione di sicurezza tra il progetto GCP e Microsoft Defender per il cloud, è necessario eseguire quattro parti del processo di onboarding.
Dettagli di progetto
Nella prima sezione è necessario aggiungere le proprietà di base della connessione tra il progetto GCP e Defender per il cloud.
Qui si assegna un nome al connettore, selezionare una sottoscrizione e un gruppo di risorse, che viene usato per creare una risorsa modello di Resource Manager denominata connettore di sicurezza. Il connettore di sicurezza rappresenta una risorsa di configurazione che contiene le impostazioni dei progetti.
Selezionare i piani per il progetto
Dopo aver immesso i dettagli dell'organizzazione, sarà possibile selezionare i piani da abilitare.
Da qui è possibile decidere quali risorse proteggere in base al valore di sicurezza che si vuole ricevere.
Configurare l'accesso per il progetto
Dopo aver selezionato i piani, si vogliono abilitare e le risorse da proteggere è necessario configurare l'accesso tra Defender per il cloud e il progetto GCP.
In questo passaggio è possibile trovare lo script GCloud che deve essere eseguito nel progetto GCP che verrà caricato. Lo script GCloud viene generato in base ai piani selezionati per l'onboarding.
Lo script GCloud crea tutte le risorse necessarie nell'ambiente GCP in modo che Defender per il cloud possa funzionare e fornire i valori di sicurezza seguenti:
- Pool di identità del carico di lavoro
- Provider di identità del carico di lavoro (per piano)
- Account di servizio
- Associazioni di criteri a livello di progetto (l'account del servizio ha accesso solo al progetto specifico)
Esaminare e generare il connettore per il progetto
Il passaggio finale per l'onboarding consiste nell'esaminare tutte le selezioni e creare il connettore.
Nota
Le API seguenti devono essere abilitate per individuare le risorse GCP e consentire l'esecuzione del processo di autenticazione:
iam.googleapis.comsts.googleapis.comcloudresourcemanager.googleapis.comiamcredentials.googleapis.comcompute.googleapis.comSe non si abilitano queste API in questo momento, è possibile abilitarle durante il processo di onboarding eseguendo lo script GCloud.
Dopo aver creato il connettore, viene avviata un'analisi nell'ambiente GCP. Le nuove raccomandazioni vengono visualizzate in Defender per il cloud dopo un massimo di 6 ore. Se è stato abilitato il provisioning automatico, Azure Arc e tutte le estensioni abilitate vengono installate automaticamente per ogni risorsa appena rilevata.
Connessione'organizzazione GCP
Analogamente all'onboarding di un singolo progetto, quando si esegue l'onboarding di un'organizzazione GCP, Defender per il cloud crea un connettore di sicurezza per ogni progetto nell'organizzazione (a meno che non siano stati esclusi progetti specifici).
Dettagli dell'organizzazione
Nella prima sezione è necessario aggiungere le proprietà di base della connessione tra l'organizzazione GCP e Defender per il cloud.
Qui si assegna un nome al connettore, selezionare una sottoscrizione e un gruppo di risorse usato per creare una risorsa modello di Resource Manager denominata connettore di sicurezza. Il connettore di sicurezza rappresenta una risorsa di configurazione che contiene le impostazioni dei progetti.
È anche possibile selezionare un percorso e aggiungere l'ID organizzazione per il progetto.
Quando si esegue l'onboarding di un'organizzazione, è anche possibile scegliere di escludere i numeri di progetto e gli ID cartella.
Selezionare i piani per l'organizzazione
Dopo aver immesso i dettagli dell'organizzazione, sarà possibile selezionare i piani da abilitare.
Da qui è possibile decidere quali risorse proteggere in base al valore di sicurezza che si vuole ricevere.
Configurare l'accesso per l'organizzazione
Dopo aver selezionato i piani, si vogliono abilitare e le risorse da proteggere è necessario configurare l'accesso tra Defender per il cloud e l'organizzazione GCP.
Quando si esegue l'onboarding di un'organizzazione, è disponibile una sezione che include i dettagli del progetto di gestione. Analogamente ad altri progetti GCP, l'organizzazione viene considerata anche un progetto e viene usata da Defender per il cloud per creare tutte le risorse necessarie per connettere l'organizzazione a Defender per il cloud.
Nella sezione dei dettagli del progetto di gestione è possibile scegliere:
- Dedicare un progetto di gestione per Defender per il cloud da includere nello script GCloud.
- Specificare i dettagli di un progetto già esistente da usare come progetto di gestione con Defender per il cloud.
È necessario decidere qual è l'opzione migliore per l'architettura dell'organizzazione. È consigliabile creare un progetto dedicato per Defender per il cloud.
Lo script GCloud viene generato in base ai piani selezionati per l'onboarding. Lo script crea tutte le risorse necessarie nell'ambiente GCP in modo che Defender per il cloud possa funzionare e offrire i vantaggi di sicurezza seguenti:
- Pool di identità del carico di lavoro
- Provider di identità del carico di lavoro per ogni piano
- Ruolo personalizzato per concedere Defender per il cloud accesso all'individuazione e ottenere il progetto nell'organizzazione di cui è stato eseguito l'onboarding
- Un account del servizio per ogni piano
- Un account del servizio per il servizio di provisioning automatico
- Associazioni di criteri a livello di organizzazione per ogni account del servizio
- Abilitazioni api a livello di progetto di gestione
Alcune API non sono in uso diretto con il progetto di gestione. Le API vengono invece autenticate tramite questo progetto e usano una delle API di un altro progetto. L'API deve essere abilitata nel progetto di gestione.
Esaminare e generare il connettore per l'organizzazione
Il passaggio finale per l'onboarding consiste nell'esaminare tutte le selezioni e creare il connettore.
Nota
Le API seguenti devono essere abilitate per individuare le risorse GCP e consentire l'esecuzione del processo di autenticazione:
iam.googleapis.comsts.googleapis.comcloudresourcemanager.googleapis.comiamcredentials.googleapis.comcompute.googleapis.comSe non si abilitano queste API in questo momento, è possibile abilitarle durante il processo di onboarding eseguendo lo script GCloud.
Dopo aver creato il connettore, viene avviata un'analisi nell'ambiente GCP. Le nuove raccomandazioni vengono visualizzate in Defender per il cloud dopo un massimo di 6 ore. Se è stato abilitato il provisioning automatico, Azure Arc e tutte le estensioni abilitate vengono installate automaticamente per ogni risorsa appena rilevata.
Facoltativo: configurare i piani selezionati
Per impostazione predefinita, tutti i piani sono Attiva. È possibile disattivare i piani non necessari.
Configurare il piano Defender per server
Microsoft Defender per server offre il rilevamento delle minacce e le difese avanzate alle istanze di macchina virtuale GCP. Per avere visibilità completa sul contenuto di sicurezza di Microsoft Defender per server, connettere le istanze di vm GCP ad Azure Arc. Se si sceglie il piano Microsoft Defender per server, è necessario:
Microsoft Defender per server abilitati nella sottoscrizione. Informazioni su come abilitare i piani in Abilitare le funzionalità di sicurezza avanzate.
Azure Arc per i server installati nelle istanze della macchina virtuale.
È consigliabile usare il processo di provisioning automatico per installare Azure Arc nelle istanze della macchina virtuale. Il provisioning automatico è abilitato per impostazione predefinita nel processo di onboarding e richiede le autorizzazioni di proprietario per la sottoscrizione. Il processo di provisioning automatico di Azure Arc usa l'agente di configurazione del sistema operativo nell'endpoint GCP. Altre informazioni sulla disponibilità dell'agente di configurazione del sistema operativo nei computer GCP.
Il processo di provisioning automatico di Azure Arc usa gestione macchine virtuali in GCP per applicare i criteri alle macchine virtuali tramite l'agente di configurazione del sistema operativo. Una macchina virtuale con un agente di configurazione del sistema operativo attivo comporta un costo in base a GCP. Per informazioni su come questo costo potrebbe influire sull'account, vedere la documentazione tecnica di GCP.
Microsoft Defender per server non installa l'agente di configurazione del sistema operativo in una macchina virtuale in cui non è installato. Tuttavia, Microsoft Defender per server abilita la comunicazione tra l'agente di configurazione del sistema operativo e il servizio configurazione del sistema operativo se l'agente è già installato ma non comunica con il servizio. Questa comunicazione può modificare l'agente di configurazione del sistema operativo da inactive a active e comportare costi maggiori.
In alternativa, è possibile connettere manualmente le istanze di macchina virtuale ad Azure Arc per i server. Le istanze nei progetti con il piano Defender per server abilitati che non sono connessi ad Azure Arc vengono visualizzate dalla raccomandazione che le istanze di macchina virtuale GCP devono essere connesse ad Azure Arc. Selezionare l'opzione Correzione nella raccomandazione di installare Azure Arc nei computer selezionati.
I rispettivi server Azure Arc per le macchine virtuali GCP che non esistono più (e i rispettivi server Azure Arc con stato Disconnesso o Scaduto) vengono rimossi dopo sette giorni. Questo processo rimuove le entità di Azure Arc irrilevanti per assicurarsi che vengano visualizzati solo i server Azure Arc correlati alle istanze esistenti.
Assicurarsi di soddisfare i requisiti di rete per Azure Arc.
Abilitare queste altre estensioni nei computer connessi ad Azure Arc:
- Microsoft Defender per endpoint
- Soluzione di valutazione della vulnerabilità (Gestione delle vulnerabilità di Microsoft Defender o Qualys)
Defender per server assegna tag alle risorse GCP di Azure Arc per gestire il processo di provisioning automatico. È necessario avere questi tag assegnati correttamente alle risorse in modo che Defender per server possa gestire le risorse: Cloud, InstanceName, MDFCSecurityConnectorMachineId, ProjectId, e ProjectNumber.
Per configurare il piano defender per server:
Seguire la procedura per connettere il progetto GCP.
Nella scheda Seleziona piani selezionare Configura.
Nel riquadro Configurazione del provisioning automatico attivare o disattivare l'interruttore, a seconda delle esigenze.
Se l'agente di Azure Arc è Disattivato, è necessario seguire il processo di installazione manuale indicato in precedenza.
Seleziona Salva.
Continuare dal passaggio 8 della Connessione le istruzioni del progetto GCP.
Configurare il piano Defender per database
Per avere visibilità completa sul contenuto di sicurezza di Microsoft Defender per database, connettere le istanze di vm GCP ad Azure Arc.
Per configurare il piano defender per database:
Seguire la procedura per connettere il progetto GCP.
Nella scheda Seleziona piani, in Database, selezionare Impostazioni.
Nel riquadro Configurazione piano attivare o disattivare l'interruttore, a seconda delle esigenze.
Se l'interruttore per Azure Arc è Disattivato, è necessario seguire il processo di installazione manuale indicato in precedenza.
Seleziona Salva.
Continuare dal passaggio 8 della Connessione le istruzioni del progetto GCP.
Configurare il piano Defender per contenitori
Microsoft Defender per contenitori offre il rilevamento delle minacce e le difese avanzate ai cluster GCP Google Kubernetes Engine (GKE) Standard. Per ottenere il valore di sicurezza completo da Defender per contenitori e per proteggere completamente i cluster GCP, assicurarsi di soddisfare i requisiti seguenti.
Nota
- Se si sceglie di disabilitare le opzioni di configurazione disponibili, non verranno distribuiti agenti o componenti nei cluster. Altre informazioni sulla disponibilità delle funzionalità.
- Defender per contenitori quando viene distribuito in GCP potrebbe comportare costi esterni, ad esempio costi di registrazione, costi pub/sub e costi in uscita.
Log di controllo di Kubernetes per Defender per il cloud: abilitato per impostazione predefinita. Questa configurazione è disponibile solo a livello di progetto GCP. Fornisce una raccolta senza agente dei dati del log di controllo tramite GCP Cloud Logging al back-end Microsoft Defender per il cloud per un'ulteriore analisi. Defender per contenitori richiede log di controllo del piano di controllo per fornire la protezione dalle minacce di runtime. Per inviare i log di controllo di Kubernetes a Microsoft Defender, attivare o disattivare l'impostazione su Sì.
Nota
Se si disabilita questa configurazione, la
Threat detection (control plane)funzionalità verrà disabilitata. Altre informazioni sulla disponibilità delle funzionalità.Provisioning automatico del sensore di Defender per Azure Arc e provisioning automatico dell'estensione Criteri di Azure per Azure Arc: abilitato per impostazione predefinita. È possibile installare Kubernetes abilitato per Azure Arc e le relative estensioni nei cluster GKE in tre modi:
- Abilitare il provisioning automatico di Defender per contenitori a livello di progetto, come illustrato nelle istruzioni riportate in questa sezione. È consigliabile usare questo metodo.
- Usare Defender per il cloud raccomandazioni per l'installazione per cluster. Vengono visualizzati nella pagina delle raccomandazioni Microsoft Defender per il cloud. Informazioni su come distribuire la soluzione in cluster specifici.
- Installare manualmente Kubernetes e le estensioni abilitate per Arc.
L'individuazione senza agente per Kubernetes fornisce l'individuazione basata su API dei cluster Kubernetes. Per abilitare la funzionalità di individuazione senza agente per Kubernetes , attivare o disattivare l'impostazione su Sì.
La valutazione della vulnerabilità del contenitore senza agente fornisce gestione delle vulnerabilità per le immagini archiviate in Google Container Registry (GCR) e Google Artifact Registry (GAR) ed esegue immagini nei cluster GKE. Per abilitare la funzionalità Valutazione della vulnerabilità del contenitore senza agente, attivare o disattivare l'impostazione su Sì.
Per configurare il piano Defender per contenitori:
Seguire la procedura per connettere il progetto GCP.
Nella scheda Seleziona piani selezionare Configura. Quindi, nel riquadro di configurazione di Defender per contenitori attivare l'interruttore.
Seleziona Salva.
Continuare dal passaggio 8 della Connessione le istruzioni del progetto GCP.
Configurare il piano CSPM di Defender
Se si sceglie il piano CSPM di Microsoft Defender, è necessario:
- Una sottoscrizione di Microsoft Azure. Se non si ha una sottoscrizione di Azure, è possibile iscriversi per ottenere una sottoscrizione gratuita.
- È necessario abilitare Microsoft Defender per il cloud nella sottoscrizione di Azure.
- Per ottenere l'accesso a tutte le funzionalità disponibili dal piano CSPM, il piano deve essere abilitato dal proprietario della sottoscrizione.
Altre informazioni su come abilitare Defender CSPM.
Per configurare il piano CSPM di Defender:
Seguire la procedura per connettere il progetto GCP.
Nella scheda Seleziona piani selezionare Configura.
Nel riquadro Configurazione piano attivare o disattivare l'interruttore. Per ottenere il valore completo di Defender CSPM, è consigliabile attivare tutti gli interruttori.
Seleziona Salva.
Continuare dal passaggio 8 della Connessione le istruzioni del progetto GCP.
Monitorare le risorse GCP
La pagina raccomandazioni sulla sicurezza in Defender per il cloud visualizza le risorse GCP insieme alle risorse di Azure e AWS per una visualizzazione multicloud reale.
Per visualizzare tutte le raccomandazioni attive per le risorse in base al tipo di risorsa, usare la pagina inventario asset in Defender per il cloud e filtrare il tipo di risorsa GCP a cui si è interessati.
Nota
Poiché l'agente di Log Analytics (noto anche come MMA) è impostato su ritiro nel mese di agosto 2024, tutte le funzionalità di Defender per server e le funzionalità di sicurezza che attualmente dipendono da essa, incluse quelle descritte in questa pagina, saranno disponibili tramite l'integrazione Microsoft Defender per endpoint o l'analisi senza agente, prima della data di ritiro. Per altre informazioni sulla roadmap per ognuna delle funzionalità attualmente basate sull'agente di Log Analytics, vedere questo annuncio.
Integrazione con Microsoft Defender XDR
Quando si abilita Defender per il cloud, gli avvisi di Defender per il cloud vengono integrati automaticamente nel portale di Microsoft Defender. Non sono necessari altri passaggi.
L'integrazione tra Microsoft Defender per il cloud e Microsoft Defender XDR introduce gli ambienti cloud in Microsoft Defender XDR. Con gli avvisi e le correlazioni cloud di Defender per il cloud integrati in Microsoft Defender XDR, i team SOC possono ora accedere a tutte le informazioni di sicurezza da una singola interfaccia.
Altre informazioni sugli avvisi di Defender per il cloud in Microsoft Defender XDR.
Passaggi successivi
Connessione il progetto GCP fa parte dell'esperienza multicloud disponibile in Microsoft Defender per il cloud:
- Proteggere tutte le risorse con Defender per il cloud.
- Configurare i computer locali e l'account AWS.
- Risolvere i problemi dei connettori multicloud.
- Risposte alle domande comuni sulla connessione del progetto GCP.