分享方式:


連線 GCP 專案與適用於雲端的 Microsoft Defender

工作負載通常需要跨越多個雲端平台。 因此雲端安全性服務也必須這麼做。 適用於雲端的 Microsoft Defender 能協助保護 Google Cloud Platform (GCP) 中的工作負載,但您必須在那些工作負載和適用於雲端的 Defender 之間設定連線。

此螢幕擷取畫面說明了顯示於適用於雲端的 Defender 概觀儀表板中的 GCP 帳戶。

顯示適用於雲端的 Defender 概觀儀表板上所列的 GCP 專案螢幕擷取畫面。

GCP 授權設計

適用於雲端的 Microsoft Defender 與 GCP 之間的驗證流程是同盟驗證流程。

當您上線至適用於雲端的 Defender 時,GCloud 範本會用來建立下列資源做為驗證流程的一部分:

  • 工作負載身分識別集區和提供者

  • 服務帳戶和原則繫結

驗證流程的運作方式如下:

圖表顯示適用於雲端的 Defender 的 GCP 連接器驗證流程。

  1. 適用於雲端的 Microsoft Defender CSPM 服務會取得 Microsoft Entra 權杖。 權杖會使用 RS256 演算法由 Microsoft Entra ID 進行簽署,且有效期為 1 小時。

  2. Microsoft Entra 權杖會與 Google 的 STS 權杖交換。

  3. Google STS 會向工作負載識別提供者驗證權杖。 Microsoft Entra 權杖會傳送至 Google 的 STS,以向工作負載識別提供者驗證權杖。 然後會發生物件驗證,並簽署權杖。 接著,Google STS 權杖會返回適用於雲端的 Defender CSPM 服務。

  4. 適用於雲端的 Defender CSPM 服務會使用 Google STS 權杖來模擬服務帳戶。 適用於雲端的 Defender CSPM 會接收用來掃描專案的服務帳戶認證。

必要條件

若要完成本文中的程序,您需要:

  • Microsoft Azure 訂用帳戶。 如果您沒有 Azure 訂用帳戶,您可以免費註冊一個

  • 已在您的 Azure 訂用帳戶上設定的適用於雲端的 Microsoft Defender (部分機器翻譯)。

  • 存取 GCP 專案。

  • 相關 Azure 訂用帳戶的參與者等級權限。

您可以在定價頁面深入了解適用於雲端的 Defender 定價。

當您將 GCP 專案連線到特定 Azure 訂閱時,請考慮 Google Cloud 資源階層和下列指導方針:

  • 您可以在專案層級將 GCP 專案連線到適用於雲端的 Microsoft Defender。
  • 您可以將多個專案連線至一個 Azure 訂閱。
  • 您可以將多個專案連線到多個 Azure 訂閱。

連接 GCP 專案

當您建立 GCP 專案與適用於雲端的 Microsoft Defender 之間的安全性連線時,上線流程有四個部分。

專案詳細資料

在第一節中,您需要新增 GCP 專案與適用於雲端的 Defender 之間的連線基本屬性。

螢幕擷取畫面顯示 GCP 專案上線流程的組織詳細資料頁面。

在這裡,您要為連接器命名,並選取訂用帳戶和資源群組,用來建立稱為安全性連接器的 ARM 樣本資源。 安全性連接器代表保存專案設定的設定資源。

您也會選取位置,並新增專案的組織識別碼。

您也可以設定介於 1 到 24 小時的掃描間隔。

某些資料收集器會以固定掃描間隔執行,且不會受到自訂間隔設定的影響。 下表顯示已每個排除資料收集器的固定掃描間隔:

資料收集器名稱 掃描間隔
ComputeInstance
ArtifactRegistryRepositoryPolicy
ArtifactRegistryImage
ContainerCluster
ComputeInstanceGroup
ComputeZonalInstanceGroupInstance
ComputeRegionalInstanceGroupManager
ComputeZonalInstanceGroupManager
ComputeGlobalInstanceTemplate
1 小時

當您將組織上線時,也可以選擇排除專案編號和資料夾識別碼。

選取您專案的方案

輸入組織的詳細資料之後,您就可以選取要啟用的方案。

螢幕擷取畫面顯示您可以為 GCP 專案啟用的可用方案。

從這裡,您可以根據您想要接收的安全性值來決定要保護的資源。

設定專案的存取權

選取方案之後,若您想要啟用您要保護的資源,則必須設定適用於雲端的 Defender 與 GCP 專案之間的存取權。

顯示設定存取權的部署選項和指示的螢幕擷取畫面。

在此步驟中,您可以找到必須在要上線的 GCP 專案上執行的 GCloud 指令碼。 GCloud 指令碼會根據您選取的上線方案來產生。

GCloud 指令碼會在 GCP 環境中建立所有必要的資源,讓適用於雲端的 Defender 能夠運作並提供下列安全性值:

  • 工作負載身分識別集區
  • 工作負載識別提供者 (每個方案)
  • 服務帳戶
  • 專案層級原則繫結 (服務帳戶只能存取特定專案)

檢閱並產生專案的連接器

上線的最後一個步驟是檢閱所有選取項目,並建立連接器。

螢幕擷取畫面顯示檢閱和產生畫面,其中已列出您的所有選取項目。

注意

必須啟用下列 API 才能探索您的 GCP 資源,並允許進行驗證流程:

  • iam.googleapis.com
  • sts.googleapis.com
  • cloudresourcemanager.googleapis.com
  • iamcredentials.googleapis.com
  • compute.googleapis.com 如果您目前未啟用這些 API,則可以執行 GCloud 指令碼,在上線流程期間啟用它們。

建立連接器之後,掃描會在 GCP 環境中啟動。 最多 6 小時後,新建議會出現在適用於雲端的 Defender 中。 如果您已啟用自動佈建,則會自動為每個新偵測到的資源安裝 Azure Arc 和任何已啟用的延伸模組。

連線您的 GCP 組織

與上線單一專案類似,在上線 GCP 組織時,適用於雲端的 Defender 會為組織下的每個專案建立安全性連接器 (除非排除特定專案)。

組織詳細資料

在第一節中,您需要新增 GCP 組織與適用於雲端的 Defender 之間的連線基本屬性。

螢幕擷取畫面顯示 GCP 組織上線流程的組織詳細資料頁面。

在這裡,您要為連接器命名,並選取訂用帳戶和資源群組,用來建立稱為安全性連接器的 ARM 樣本資源。 安全性連接器代表保存專案設定的設定資源。

您也會選取位置,並新增專案的組織識別碼。

當您將組織上線時,也可以選擇排除專案編號和資料夾識別碼。

選取您組織的方案

輸入組織的詳細資料之後,您就可以選取要啟用的方案。

螢幕擷取畫面顯示您可以為 GCP 組織啟用的可用方案。

從這裡,您可以根據您想要接收的安全性值來決定要保護的資源。

設定組織的存取權

選取方案之後,若您想要啟用您要保護的資源,則必須設定適用於雲端的 Defender 與 GCP 組織之間的存取權。

螢幕擷取畫面顯示適用於雲端的 Defender 與您 GCP 組織之間的 [設定存取權] 畫面。

當您將組織上線時,有一個區段包含管理專案詳細資料。 與其他 GCP 專案類似,組織也會被視為專案,且由適用於雲端的 Defender 用來建立將組織連線至適用於雲端的 Defender 所需的所有資源。

在 [管理專案詳細資料] 區段中,您可以選擇:

  • 為適用於雲端的 Defender 提供管理專案,以包含在 GCloud 指令碼中。
  • 提供已存在的專案詳細資料,以做為適用於雲端的 Defender 的管理專案。

您必須決定最適合貴組織架構的選項。 建議為適用於雲端的 Defender 建立專用專案。

GCloud 指令碼會根據您選取的上線方案來產生。 指令碼會在 GCP 環境中建立所有必要的資源,讓適用於雲端的 Defender 能夠運作並提供下列安全性優點:

  • 工作負載身分識別集區
  • 每個方案的工作負載識別提供者
  • 將適用於雲端的 Defender 存取權授與自訂角色,以探索並取得已上線組織下的專案
  • 每個方案的服務帳戶
  • 自動佈建服務的服務帳戶
  • 每個服務帳戶的組織層級原則繫結
  • 管理專案層級的 API 啟用

某些 API 未直接與管理專案搭配使用。 相反地,API 會透過此專案進行驗證,並使用來自另一個專案的其中一個 API。 必須在管理專案上啟用 API。

檢閱並產生您組織的連接器

上線的最後一個步驟是檢閱所有選取項目,並建立連接器。

螢幕擷取畫面顯示檢閱和產生畫面,其中已列出您針對您的組織所選的所有選取項目。

注意

必須啟用下列 API 才能探索您的 GCP 資源,並允許進行驗證流程:

  • iam.googleapis.com
  • sts.googleapis.com
  • cloudresourcemanager.googleapis.com
  • iamcredentials.googleapis.com
  • compute.googleapis.com 如果您目前未啟用這些 API,則可以執行 GCloud 指令碼,在上線流程期間啟用它們。

建立連接器之後,掃描會在 GCP 環境中啟動。 最多 6 小時後,新建議會出現在適用於雲端的 Defender 中。 如果您已啟用自動佈建,則會自動為每個新偵測到的資源安裝 Azure Arc 和任何已啟用的延伸模組。

選用:設定選取的方案

所有方案依預設皆為 [開啟]。 您可以關閉不需要的方案。

螢幕擷取畫面顯示已針對所有方案開啟切換。

設定適用於伺服器的 Defender 方案

適用於伺服器的 Microsoft Defender 會將威脅防護和進階防禦帶入 GCP 虛擬機器 (VM) 執行個體。 若要完整掌握適用於伺服器的 Microsoft Defender 安全性內容,請將您的 GCP VM 執行個體連線至 Azure Arc。如果您選擇適用於伺服器的 Microsoft Defender 方案,您會需要:

  • 您的訂閱必須啟用適用於雲端的 Microsoft Defender。 在啟用增強的安全性功能一文中了解如何啟用方案。

  • 安裝於 VM 執行個體上適用於伺服器的 Azure Arc。

建議您使用自動佈建流程,在 VM 執行個體上安裝 Azure Arc。 自動佈建預設會在上線流程中啟用,而且需要訂用帳戶的擁有者權限。 Azure Arc 自動佈建流程會在 GCP 端使用 OS 設定代理程式。 深入了解 GCP 機器上 OS 設定代理程式的可用性

Azure Arc 自動佈建流程會使用 GCP 上的 VM 管理員,透過 OS 設定代理程式在您的 VM 上強制執行原則。 具有作用中 OS 設定代理程式的 VM 會根據 GCP 產生成本。 若要查看此成本如何影響您的帳戶,請參閱 GCP 技術文件

適用於伺服器的 Microsoft Defender 不會將 OS 設定代理程式安裝到未安裝它的 VM。 但如果已安裝代理程式,但未與服務通訊,適用於伺服器的 Microsoft Defender 會啟用作業系統設定代理程式,和作業系統設定服務之間的通訊。 此通訊可以將 OS 設定代理程式從 inactive 變更為 active,並產生更多成本。

或者,您可以手動將 VM 執行個體連線到適用於伺服器的 Azure Arc。 已啟用適用於伺服器的 Defender 方案的專案中未連線至 Azure Arc 的執行個體,將會以 GCP VM 執行個體應連線至 Azure Arc 的建議呈現。選取建議中的 [修正] 選項,以在選取的電腦上安裝 Azure Arc。

GCP 虛擬機器已經不再存在的個別 Azure Arc 伺服器 (以及具有已中斷連線或已過期 (部分機器翻譯) 狀態的個別 Azure Arc 伺服器) 會在 7 天後移除。 此流程會移除無關的 Azure Arc 實體,以確保只會顯示與現有執行個體相關的 Azure Arc 伺服器。

請確定您已滿足 Azure Arc 的網路需求 (部分機器翻譯)。

在與 Azure Arc 連線的機器上啟用這些其他延伸模組:

  • 適用於端點的 Microsoft Defender
  • 弱點評量解決方案 (Microsoft Defender 弱點管理或 Qualys)

適用於伺服器的 Defender 會將標籤指派給您的 Azure Arc GCP 資源,以管理自動佈建流程。 您必須將這些標籤正確指派給資源,讓適用於伺服器的 Defender 可以管理您的資源:CloudInstanceNameMDFCSecurityConnectorMachineIdProjectIdProjectNumber

若要設定適用於伺服器的 Defender 方案:

  1. 請依照連線至 GCP 專案的步驟。

  2. 在 [選取方案] 索引標籤上,選取 [設定]

    螢幕擷取畫面顯示用於設定適用於伺服器的 Defender 方案的連結。

  3. 在 [自動佈建組態] 窗格上,視您的需求而定,將切換開關切換為 [開啟] 或 [關閉]

    螢幕擷取畫面顯示適用於伺服器的 Defender 方案的切換。

    如果 [Azure Arc 代理程式] 為 [關閉],您必須遵循先前所述的手動安裝流程。

  4. 選取 [儲存]。

  5. 請從連線 GCP 專案指示的步驟 8 繼續進行。

設定適用於資料庫的 Defender 方案

若要完整掌握適用於資料庫的 Microsoft Defender 安全性內容,請將您的 GCP VM 執行個體連線至 Azure Arc。

若要設定適用於資料庫的 Defender 方案:

  1. 請依照連線至 GCP 專案的步驟。

  2. 在 [選取方案] 索引標籤上的 [資料庫] 中,選取 [設定]

  3. 在 [方案組態] 窗格上,視您的需求而定,將切換開關切換為 [開啟] 或 [關閉]

    螢幕擷取畫面顯示適用於資料庫的 Defender 方案的切換。

    如果 Azure Arc 的切換為 [關閉],您必須遵循稍早所述的手動安裝流程。

  4. 選取 [儲存]。

  5. 請從連線 GCP 專案指示的步驟 8 繼續進行。

設定適用於容器的 Defender 方案

適用於容器的 Microsoft Defender 會將威脅偵測與進階防禦帶入 GCP Google Kubernetes Engine (GKE) 標準叢集中。 若要從適用於容器的 Defender 取得完整的安全性值,並完全保護 GCP 叢集,請確定您符合下列需求。

注意

  • Kubernetes 稽核記錄至適用於雲端的 Defender:預設為啟用。 此組態僅適用於 GCP 專案層級。 其會透過 GCP 雲端記錄對適用於雲端的 Microsoft Defender 後端提供稽核記錄資料的無代理程式收集,以進行進一步的分析。 適用於容器的 Defender 需要控制平面稽核記錄,以提供執行階段威脅防護。 若要將 Kubernetes 稽核記錄傳送至 Microsoft Defender,請將設定切換為 [開啟]

    注意

    如果您停用此設定,則將會停用 Threat detection (control plane) 功能。 深入了解功能可用性

  • 自動佈建適用於 Azure Arc 的 Defender 感應器自動佈建適用於 Azure Arc 的 Azure 原則延伸模組:預設為啟用。 您可以透過三種方式在 GKE 叢集上安裝已啟用 Azure Arc 的 Kubernetes 及其延伸模組:

  • Kubernetes 的無代理程式探索可讓您透過 API 來探索 Kubernetes 叢集。 若要啟用 [Kubernetes 的無代理程式探索] 功能,請將設定切換為 [開啟]

  • 無代理程式容器弱點評量會針對儲存在 Google Container Registry (GCR) 和 Google Artifact Registry (GAR) 中的映像,以及在您 GKE 叢集上執行的映像,提供弱點管理。 若要啟用 [無代理程式容器弱點評量] 功能,請將設定切換為 [開啟]

若要設定適用於容器的 Defender 元件:

  1. 請依照連線 GCP 專案的步驟。

  2. 在 [選取方案] 索引標籤上,選取 [設定]。 然後,在 [適用於容器的 Defender組態] 窗格上,將切換開關切換為 [開啟]

    螢幕擷取畫面顯示適用於雲端的 Defender 環境設定頁面,其中顯示容器方案的設定。

  3. 選取 [儲存]。

  4. 請從連線 GCP 專案指示的步驟 8 繼續進行。

設定 Defender CSPM 方案

如果您選擇 Microsoft Defender CSPM 方案,您會需要:

  • Microsoft Azure 訂用帳戶。 如果您沒有 Azure 訂用帳戶,您可以註冊免費訂用帳戶
  • 您必須在 Azure 訂用帳戶上啟用適用於雲端的 Microsoft Defender
  • 若要存取 CSPM 方案提供的所有功能,該方案必須由訂用帳戶擁有者啟用。
  • 若要啟用 CIEM (雲端基礎結構權利管理) 功能,用於上線流程的 Entra ID 帳戶必須具有租用戶的應用程式管理員或雲端應用程式管理員目錄角色 (或建立應用程式註冊的同等管理員權限)。 只有在上線流程期間才需要這項需求。

深入了解如何啟用 Defender CSPM (部分機器翻譯)。

若要設定 Defender CSPM 方案:

  1. 請依照連線至 GCP 專案的步驟。

  2. 在 [選取方案] 索引標籤上,選取 [設定]

    顯示用於設定 Defender CSPM 方案的連結螢幕擷取畫面。

  3. 在 [方案組態] 窗格上,將切換開關切換為 [開啟] 或 [關閉]。 若要取得 Defender CSPM 的完整值,我們建議您將所有切換開關都切換為 [開啟]

    顯示 Defender CSPM 切換的螢幕擷取畫面。

  4. 選取 [儲存]。

  5. 請從連線 GCP 專案指示的步驟 8 繼續進行。

監視 GCP 資源

適用於雲端的 Defender 中的安全性建議頁面會顯示您的 GCP 資源以及 Azure 和 AWS 資源,而提供真正的多重雲端檢視。

若要依資源類型檢視資源的所有作用中建議,請使用適用於雲端的 Defender 中的資產清查頁面,並篩選至您所要的 GCP 資源類型。

螢幕擷取畫面顯示資產清查頁面中資源類型篩選的 GCP 選項。

注意

由於 Log Analytics 代理程式 (也稱為 MMA) 設定為在 2024 年 8 月 (英文) 淘汰,目前相依於該代理程式的所有適用於伺服器的 Defender 功能及安全性功能 (包括此頁面上所述的功能),在淘汰日期之前都可以透過適用於端點的 Microsoft Defender 整合 (部分機器翻譯) 或無代理程式掃描 (部分機器翻譯) 取用。 如果要深入了解目前依賴 Log Analytics 代理程式的每項功能藍圖,請參閱此公告

與 Microsoft Defender XDR 整合

啟用適用於雲端的 Defender 時,系統會自動將適用於雲端的 Defender 警示整合至 Microsoft Defender 入口網站中。 不需任何進一步的步驟。

適用於雲端的 Microsoft Defender 和 Microsoft Defender XDR 之間的整合,能將您的雲端環境導入 Microsoft Defender XDR 中。 現在,藉由將適用於雲端的 Defender 警示和雲端關聯性整合到 Microsoft Defender XDR,SOC 小組就能從單一介面中存取所有安全性資訊。

深入了解適用於雲端的 Defender 在 Microsoft Defender XDR 中的警示 (部分機器翻譯)。

下一步

與 GCP 專案連線是適用於雲端的 Microsoft Defender 所提供的多重雲端體驗之一: