Łączenie projektu GCP z usługą Microsoft Defender dla Chmury

  • Artykuł

Obciążenia często obejmują wiele platform w chmurze. Usługi zabezpieczeń w chmurze muszą zrobić to samo. Microsoft Defender dla Chmury pomaga chronić obciążenia na platformie Google Cloud Platform (GCP), ale należy skonfigurować połączenie między nimi i Defender dla Chmury.

Ten zrzut ekranu przedstawia konta GCP wyświetlane na pulpicie nawigacyjnym przeglądu Defender dla Chmury.

Zrzut ekranu przedstawiający projekty GCP wymienione na pulpicie nawigacyjnym przeglądu w Defender dla Chmury.

Projekt autoryzacji GCP

Proces uwierzytelniania między Microsoft Defender dla Chmury a GCP jest procesem uwierzytelniania federacyjnego.

Podczas dołączania do Defender dla Chmury szablon usługi GCloud jest używany do tworzenia następujących zasobów w ramach procesu uwierzytelniania:

  • Pula tożsamości obciążeń i dostawcy

  • Konta usług i powiązania zasad

Proces uwierzytelniania działa w następujący sposób:

Diagram procesu uwierzytelniania łącznika GCP Defender dla Chmury.

  1. usługa CSPM Microsoft Defender dla Chmury uzyskuje token Firmy Microsoft Entra. Token jest podpisany przez identyfikator Entra firmy Microsoft przy użyciu algorytmu RS256 i jest ważny przez 1 godzinę.

  2. Token Microsoft Entra jest wymieniany za pomocą tokenu STS firmy Google.

  3. Usługa Google STS weryfikuje token u dostawcy tożsamości obciążenia. Token Entra firmy Microsoft jest wysyłany do usługi STS firmy Google, która weryfikuje token u dostawcy tożsamości obciążenia. Następnie następuje walidacja odbiorców, a token jest podpisany. Token Usługi Google STS jest następnie zwracany do usługi CSPM Defender dla Chmury.

  4. Defender dla Chmury usługa CSPM używa tokenu Google STS do personifikacji konta usługi. Defender dla Chmury CSPM odbiera poświadczenia konta usługi używane do skanowania projektu.

Wymagania wstępne

Aby wykonać procedury opisane w tym artykule, potrzebne są następujące elementy:

  • Subskrypcja platformy Microsoft Azure. Jeśli nie masz subskrypcji platformy Azure, możesz zarejestrować się w celu uzyskania bezpłatnej subskrypcji.

  • Microsoft Defender dla Chmury skonfigurować w ramach subskrypcji platformy Azure.

  • Dostęp do projektu GCP.

  • Uprawnienie współautora do odpowiedniej subskrypcji platformy Azure i uprawnienia właściciela w organizacji lub projekcie GCP.

Więcej informacji na temat cen Defender dla Chmury można znaleźć na stronie cennika.

Podczas łączenia projektów GCP z określonymi subskrypcjami platformy Azure należy wziąć pod uwagę hierarchię zasobów Usługi Google Cloud i następujące wskazówki:

  • Projekty GCP można połączyć z Microsoft Defender dla Chmury na poziomie projektu.
  • Możesz połączyć wiele projektów z jedną subskrypcją platformy Azure.
  • Możesz połączyć wiele projektów z wieloma subskrypcjami platformy Azure.

Połączenie projektu GCP

Proces dołączania zawiera cztery części, które mają miejsce podczas tworzenia połączenia zabezpieczeń między projektem GCP a Microsoft Defender dla Chmury.

Szczegóły projektu

W pierwszej sekcji należy dodać podstawowe właściwości połączenia między projektem GCP a Defender dla Chmury.

Zrzut ekranu przedstawiający stronę szczegółów organizacji procesu dołączania projektu GCP.

W tym miejscu nadasz łącznikowi nazwę, wybierz subskrypcję i grupę zasobów, która służy do tworzenia zasobu szablonu usługi ARM nazywanego łącznikiem zabezpieczeń. Łącznik zabezpieczeń reprezentuje zasób konfiguracji, który przechowuje ustawienia projektów.

Wybieranie planów dla projektu

Po wprowadzeniu szczegółów organizacji będzie można wybrać plany, które mają zostać włączone.

Zrzut ekranu przedstawiający dostępne plany, które można włączyć dla projektu GCP.

W tym miejscu możesz zdecydować, które zasoby chcesz chronić na podstawie wartości zabezpieczeń, którą chcesz otrzymać.

Konfigurowanie dostępu dla projektu

Po wybraniu planów chcesz włączyć i zasoby, które chcesz chronić, musisz skonfigurować dostęp między Defender dla Chmury a projektem GCP.

Zrzut ekranu przedstawiający opcje wdrażania i instrukcje dotyczące konfigurowania dostępu.

W tym kroku można znaleźć skrypt GCloud, który musi zostać uruchomiony w projekcie GCP, który zostanie dołączony. Skrypt usługi GCloud jest generowany na podstawie planów wybranych do dołączenia.

Skrypt GCloud tworzy wszystkie wymagane zasoby w środowisku GCP, dzięki czemu Defender dla Chmury może działać i zapewnić następujące wartości zabezpieczeń:

  • Pula tożsamości obciążenia
  • Dostawca tożsamości obciążenia (na plan)
  • Konta usług
  • Powiązania zasad na poziomie projektu (konto usługi ma dostęp tylko do określonego projektu)

Przeglądanie i generowanie łącznika dla projektu

Ostatnim krokiem dołączania jest przejrzenie wszystkich wybranych opcji i utworzenie łącznika.

Zrzut ekranu przedstawiający ekran przeglądania i generowania z wyświetlonymi wszystkimi opcjami.

Uwaga

Aby odnaleźć zasoby GCP i umożliwić proces uwierzytelniania, należy włączyć następujące interfejsy API:

  • iam.googleapis.com
  • sts.googleapis.com
  • cloudresourcemanager.googleapis.com
  • iamcredentials.googleapis.com
  • compute.googleapis.com Jeśli w tej chwili nie włączysz tych interfejsów API, możesz je włączyć podczas procesu dołączania, uruchamiając skrypt usługi GCloud.

Po utworzeniu łącznika skanowanie rozpoczyna się w środowisku GCP. Nowe zalecenia są wyświetlane w Defender dla Chmury po maksymalnie 6 godzinach. Jeśli włączono automatyczne aprowizowanie, usługa Azure Arc i wszystkie włączone rozszerzenia są instalowane automatycznie dla każdego nowo wykrytego zasobu.

Połączenie organizacji GCP

Podobnie jak dołączanie pojedynczego projektu, podczas dołączania organizacji GCP Defender dla Chmury tworzy łącznik zabezpieczeń dla każdego projektu w organizacji (chyba że określone projekty zostały wykluczone).

Szczegóły organizacji

W pierwszej sekcji należy dodać podstawowe właściwości połączenia między organizacją GCP i Defender dla Chmury.

Zrzut ekranu przedstawiający stronę szczegółów organizacji procesu dołączania organizacji GCP.

W tym miejscu nadaj łącznikowi nazwę, wybierz subskrypcję i grupę zasobów używaną do tworzenia zasobu szablonu usługi ARM nazywanego łącznikiem zabezpieczeń. Łącznik zabezpieczeń reprezentuje zasób konfiguracji, który przechowuje ustawienia projektów.

Możesz również wybrać lokalizację i dodać identyfikator organizacji dla projektu.

Podczas dołączania organizacji można również wykluczyć numery projektów i identyfikatory folderów.

Wybieranie planów dla organizacji

Po wprowadzeniu szczegółów organizacji będzie można wybrać plany, które mają zostać włączone.

Zrzut ekranu przedstawiający dostępne plany, które można włączyć dla organizacji GCP.

W tym miejscu możesz zdecydować, które zasoby chcesz chronić na podstawie wartości zabezpieczeń, którą chcesz otrzymać.

Konfigurowanie dostępu dla organizacji

Po wybraniu planów chcesz włączyć zasoby, które chcesz chronić, musisz skonfigurować dostęp między Defender dla Chmury a organizacją GCP.

Zrzut ekranu przedstawiający ekran Konfigurowanie dostępu między Defender dla Chmury a organizacją GCP.

Podczas dołączania organizacji znajduje się sekcja zawierająca szczegóły projektu zarządzania. Podobnie jak w przypadku innych projektów GCP organizacja jest również traktowana jako projekt i jest używana przez Defender dla Chmury do tworzenia wszystkich wymaganych zasobów potrzebnych do połączenia organizacji z Defender dla Chmury.

W sekcji szczegółów projektu zarządzania masz do wyboru:

  • Poświęcanie projektu zarządzania dla Defender dla Chmury do uwzględnienia w skry skrypucie usługi GCloud.
  • Podaj szczegóły już istniejącego projektu, który ma być używany jako projekt zarządzania Defender dla Chmury.

Musisz zdecydować, jaka jest najlepsza opcja dla architektury organizacji. Zalecamy utworzenie dedykowanego projektu dla Defender dla Chmury.

Skrypt usługi GCloud jest generowany na podstawie planów wybranych do dołączenia. Skrypt tworzy wszystkie wymagane zasoby w środowisku GCP, aby Defender dla Chmury mogły działać i zapewnić następujące korzyści zabezpieczeń:

  • Pula tożsamości obciążenia
  • Dostawca tożsamości obciążenia dla każdego planu
  • Rola niestandardowa w celu udzielenia Defender dla Chmury dostępu do odnajdywania i pobierania projektu w organizacji dołączonej
  • Konto usługi dla każdego planu
  • Konto usługi dla usługi automatycznego aprowizowania
  • Powiązania zasad na poziomie organizacji dla każdego konta usługi
  • Włączanie interfejsu API na poziomie projektu zarządzania

Niektóre interfejsy API nie są używane bezpośrednio w projekcie zarządzania. Zamiast tego interfejsy API uwierzytelniają się za pośrednictwem tego projektu i używają jednego z interfejsów API z innego projektu. Interfejs API musi być włączony w projekcie zarządzania.

Przeglądanie i generowanie łącznika dla organizacji

Ostatnim krokiem dołączania jest przejrzenie wszystkich wybranych opcji i utworzenie łącznika.

Zrzut ekranu przedstawiający ekran przeglądania i generowania ze wszystkimi opcjami wymienionymi dla organizacji.

Uwaga

Aby odnaleźć zasoby GCP i umożliwić proces uwierzytelniania, należy włączyć następujące interfejsy API:

  • iam.googleapis.com
  • sts.googleapis.com
  • cloudresourcemanager.googleapis.com
  • iamcredentials.googleapis.com
  • compute.googleapis.com Jeśli w tej chwili nie włączysz tych interfejsów API, możesz je włączyć podczas procesu dołączania, uruchamiając skrypt usługi GCloud.

Po utworzeniu łącznika skanowanie rozpoczyna się w środowisku GCP. Nowe zalecenia są wyświetlane w Defender dla Chmury po maksymalnie 6 godzinach. Jeśli włączono automatyczne aprowizowanie, usługa Azure Arc i wszystkie włączone rozszerzenia są instalowane automatycznie dla każdego nowo wykrytego zasobu.

Opcjonalnie: Konfigurowanie wybranych planów

Domyślnie wszystkie plany są włączone. Możesz wyłączyć plany, których nie potrzebujesz.

Zrzut ekranu przedstawiający przełączanie włączone dla wszystkich planów.

Konfigurowanie planu usługi Defender for Servers

Usługa Microsoft Defender dla serwerów zapewnia wykrywanie zagrożeń i zaawansowane zabezpieczenia wystąpień maszyn wirtualnych GCP. Aby uzyskać pełny wgląd w zawartość zabezpieczeń usługi Microsoft Defender for Servers, połącz wystąpienia maszyn wirtualnych GCP z usługą Azure Arc. Jeśli wybierzesz plan usługi Microsoft Defender dla serwerów, potrzebne są następujące elementy:

  • Usługa Microsoft Defender dla serwerów jest włączona w ramach subskrypcji. Dowiedz się, jak włączyć plany w temacie Włączanie rozszerzonych funkcji zabezpieczeń.

  • Usługa Azure Arc dla serwerów zainstalowanych w wystąpieniach maszyn wirtualnych.

Zalecamy użycie procesu automatycznego aprowizowania w celu zainstalowania usługi Azure Arc w wystąpieniach maszyn wirtualnych. Automatyczne aprowizowanie jest domyślnie włączone w procesie dołączania i wymaga uprawnień właściciela w subskrypcji. Proces automatycznego aprowizowania usługi Azure Arc używa agenta konfiguracji systemu operacyjnego na końcu GCP. Dowiedz się więcej o dostępności agenta konfiguracji systemu operacyjnego na maszynach GCP.

Proces automatycznego aprowizowania usługi Azure Arc używa menedżera maszyn wirtualnych na platformie GCP do wymuszania zasad na maszynach wirtualnych za pośrednictwem agenta konfiguracji systemu operacyjnego. Maszyna wirtualna, która ma aktywnego agenta konfiguracji systemu operacyjnego, generuje koszt zgodnie z GCP. Aby dowiedzieć się, jak ten koszt może mieć wpływ na Twoje konto, zapoznaj się z dokumentacją techniczną platformy GCP.

Usługa Microsoft Defender dla serwerów nie instaluje agenta konfiguracji systemu operacyjnego na maszynie wirtualnej, która nie ma zainstalowanej. Jednak usługa Microsoft Defender dla serwerów umożliwia komunikację między agentem konfiguracji systemu operacyjnego i usługą konfiguracji systemu operacyjnego, jeśli agent jest już zainstalowany, ale nie komunikuje się z usługą. Ta komunikacja może zmienić agenta konfiguracji systemu operacyjnego z inactive na active i prowadzić do większej liczby kosztów.

Alternatywnie możesz ręcznie połączyć wystąpienia maszyn wirtualnych z usługą Azure Arc dla serwerów. Wystąpienia w projektach z włączonym planem usługi Defender for Servers, które nie są połączone z usługą Azure Arc, są udostępniane przez zalecenie wystąpienia maszyn wirtualnych GCP powinny być połączone z usługą Azure Arc. Wybierz opcję Napraw w rekomendacji, aby zainstalować usługę Azure Arc na wybranych maszynach.

Odpowiednie serwery usługi Azure Arc dla maszyn wirtualnych GCP, które już nie istnieją (i odpowiednie serwery usługi Azure Arc ze stanem Odłączone lub Wygasłe) są usuwane po siedmiu dniach. Ten proces usuwa nieistotne jednostki usługi Azure Arc, aby upewnić się, że są wyświetlane tylko serwery usługi Azure Arc powiązane z istniejącymi wystąpieniami.

Upewnij się, że spełniasz wymagania sieciowe usługi Azure Arc.

Włącz te inne rozszerzenia na maszynach połączonych z usługą Azure Arc:

  • Usługa Microsoft Defender dla punktu końcowego
  • Rozwiązanie do oceny luk w zabezpieczeniach (Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender lub Qualys)

Usługa Defender for Servers przypisuje tagi do zasobów usługi Azure Arc GCP w celu zarządzania procesem automatycznego aprowizowania. Te tagi muszą być prawidłowo przypisane do zasobów, aby usługa Defender for Servers mogła zarządzać zasobami: Cloud, , MDFCSecurityConnectorInstanceName, MachineId, ProjectIdi ProjectNumber.

Aby skonfigurować plan usługi Defender for Servers:

  1. Wykonaj kroki, aby połączyć projekt GCP.

  2. Na karcie Wybierz plany wybierz pozycję Konfiguruj.

    Zrzut ekranu przedstawiający link do konfigurowania planu usługi Defender for Servers.

  3. W okienku Konfiguracja automatycznej aprowizacji włączlub wyłącz przełączanie w zależności od potrzeb.

    Zrzut ekranu przedstawiający przełączanie planu usługi Defender for Servers.

    Jeśli agent usługi Azure Arc jest wyłączony, należy postępować zgodnie z opisanym wcześniej procesem instalacji ręcznej.

  4. Wybierz pozycję Zapisz.

  5. Kontynuuj od kroku 8 Połączenie instrukcji dotyczących projektu GCP.

Konfigurowanie planu usługi Defender for Databases

Aby uzyskać pełny wgląd w zawartość zabezpieczeń usługi Microsoft Defender for Databases, połącz wystąpienia maszyn wirtualnych GCP z usługą Azure Arc.

Aby skonfigurować plan usługi Defender for Databases:

  1. Wykonaj kroki, aby połączyć projekt GCP.

  2. Na karcie Wybierz plany w obszarze Bazy danych wybierz pozycję Ustawienia.

  3. W okienku Konfiguracja planu włącz lub wyłącz w zależności od potrzeb.

    Zrzut ekranu przedstawiający przełączanie planu usługi Defender for Databases.

    Jeśli przełącznik usługi Azure Arc jest wyłączony, należy postępować zgodnie z opisanym wcześniej procesem instalacji ręcznej.

  4. Wybierz pozycję Zapisz.

  5. Kontynuuj od kroku 8 Połączenie instrukcji dotyczących projektu GCP.

Konfigurowanie planu usługi Defender for Containers

Usługa Microsoft Defender for Containers zapewnia wykrywanie zagrożeń i zaawansowane zabezpieczenia klastrów GCP Google Kubernetes Engine (GKE) w warstwie Standardowa. Aby uzyskać pełną wartość zabezpieczeń z usługi Defender for Containers i w pełni chronić klastry GCP, upewnij się, że spełniasz następujące wymagania.

Uwaga

  • Jeśli zdecydujesz się wyłączyć dostępne opcje konfiguracji, żaden agent lub składniki nie zostaną wdrożone w klastrach. Dowiedz się więcej o dostępności funkcji.
  • Usługa Defender for Containers wdrożona na platformie GCP może spowodować naliczenie kosztów zewnętrznych, takich jak koszty rejestrowania, koszty pubu/subskrypcji i koszty ruchu wychodzącego.

  • Dzienniki inspekcji platformy Kubernetes do Defender dla Chmury: włączone domyślnie. Ta konfiguracja jest dostępna tylko na poziomie projektu GCP. Udostępnia ona bez agenta zbieranie danych dziennika inspekcji za pośrednictwem rejestrowania chmury GCP do zaplecza Microsoft Defender dla Chmury na potrzeby dalszej analizy. Usługa Defender for Containers wymaga dzienników inspekcji płaszczyzny sterowania w celu zapewnienia ochrony środowiska uruchomieniowego przed zagrożeniami. Aby wysłać dzienniki inspekcji platformy Kubernetes do usługi Microsoft Defender, przełącz ustawienie na Włączone.

    Uwaga

    Jeśli wyłączysz tę konfigurację, funkcja zostanie wyłączona Threat detection (control plane) . Dowiedz się więcej o dostępności funkcji.

  • Automatycznie aprowizacja czujnika usługi Defender dla usługi Azure Arc i automatycznego aprowizowania rozszerzenia usługi Azure Policy dla usługi Azure Arc: domyślnie włączona. Platforma Kubernetes z obsługą usługi Azure Arc i jej rozszerzenia można zainstalować w klastrach GKE na trzy sposoby:

  • Odnajdywanie bez agenta dla platformy Kubernetes zapewnia oparte na interfejsie API odnajdywanie klastrów Kubernetes. Aby włączyć funkcję Odnajdywanie bez agenta dla platformy Kubernetes , przełącz ustawienie na Włączone.

  • Ocena luk w zabezpieczeniach kontenera bez agenta zapewnia zarządzanie lukami w zabezpieczeniach obrazów przechowywanych w usłudze Google Container Registry (GCR) i Google Artifact Registry (GAR) oraz uruchamiania obrazów w klastrach GKE. Aby włączyć funkcję Ocena luk w zabezpieczeniach kontenera bez agenta, przełącz ustawienie na Włączone.

Aby skonfigurować plan usługi Defender for Containers:

  1. Wykonaj kroki, aby połączyć projekt GCP.

  2. Na karcie Wybierz plany wybierz pozycję Konfiguruj. Następnie w okienku konfiguracji usługi Defender for Containers włącz opcję Włączone.

    Zrzut ekranu przedstawiający stronę ustawień środowiska Defender dla Chmury z ustawieniami planu kontenerów.

  3. Wybierz pozycję Zapisz.

  4. Kontynuuj od kroku 8 Połączenie instrukcji dotyczących projektu GCP.

Konfigurowanie planu CSPM w usłudze Defender

Jeśli wybierzesz plan CSPM w usłudze Defender firmy Microsoft, potrzebne są następujące elementy:

Dowiedz się więcej na temat włączania CSPM w usłudze Defender.

Aby skonfigurować plan CSPM w usłudze Defender:

  1. Wykonaj kroki, aby połączyć projekt GCP.

  2. Na karcie Wybierz plany wybierz pozycję Konfiguruj.

    Zrzut ekranu przedstawiający link do konfigurowania planu CSPM w usłudze Defender.

  3. W okienku Konfiguracja planu włącz lub wyłącz przełączanie. Aby uzyskać pełną wartość CSPM w usłudze Defender, zalecamy włączenie wszystkich przełączeń do opcji Włączone.

    Zrzut ekranu przedstawiający przełączanie dla CSPM w usłudze Defender.

  4. Wybierz pozycję Zapisz.

  5. Kontynuuj od kroku 8 Połączenie instrukcji dotyczących projektu GCP.

Monitorowanie zasobów GCP

Strona zaleceń dotyczących zabezpieczeń w Defender dla Chmury wyświetla zasoby GCP wraz z zasobami platformy Azure i platformy AWS dla rzeczywistego widoku wielochmurowego.

Aby wyświetlić wszystkie aktywne zalecenia dotyczące zasobów według typu zasobu, użyj strony spisu zasobów w Defender dla Chmury i przefiltruj typ zasobu GCP, który cię interesuje.

Zrzut ekranu przedstawiający opcje GCP w filtrze typu zasobu na stronie spisu zasobów.

Uwaga

Ponieważ agent usługi Log Analytics (znany również jako MMA) zostanie wycofany w sierpniu 2024 r., wszystkie funkcje usługi Defender for Servers i możliwości zabezpieczeń, które obecnie są od niego zależne, w tym te opisane na tej stronie, będą dostępne za pośrednictwem Ochrona punktu końcowego w usłudze Microsoft Defender integracji lub skanowania bez agenta przed datą wycofania. Aby uzyskać więcej informacji na temat planu działania dla każdej z funkcji, które są obecnie zależne od agenta usługi Log Analytics, zobacz to ogłoszenie.

Integracja z usługą Microsoft Defender XDR

Po włączeniu Defender dla Chmury alerty Defender dla Chmury są automatycznie zintegrowane z portalem Usługi Microsoft Defender. Nie są potrzebne żadne dalsze kroki.

Integracja między Microsoft Defender dla Chmury i usługą Microsoft Defender XDR umożliwia korzystanie ze środowisk chmury w usłudze Microsoft Defender XDR. Dzięki alertom Defender dla Chmury i korelacjom w chmurze zintegrowanym z usługą Microsoft Defender XDR zespoły SOC mogą teraz uzyskiwać dostęp do wszystkich informacji o zabezpieczeniach z jednego interfejsu.

Dowiedz się więcej o alertach Defender dla Chmury w usłudze Microsoft Defender XDR.

Następne kroki

Połączenie projektu GCP jest częścią środowiska wielochmurowego dostępnego w Microsoft Defender dla Chmury: