Conectar seu projeto do GCP ao Microsoft Defender para Nuvem

As cargas de trabalho geralmente abrangem várias plataformas de nuvem. Os serviços de segurança de nuvem devem fazer o mesmo. O Microsoft Defender para Nuvem ajuda proteger as cargas de trabalho no Google Cloud Platform (GCP), mas você precisa configurar a conexão entre elas e o Defender para Nuvem.

Esta captura de tela mostra as contas do GCP exibidas no painel de visão geral do Defender para Nuvem.

Design de autorização do GCP

O processo de autenticação entre Microsoft Defender para Nuvem e GCP é um processo de autenticação federada.

Quando você integra o Defender para Nuvem, o modelo do GCloud é usado para criar os seguintes recursos como parte do processo de autenticação:

• Pool de identidades e provedores de carga de trabalho

• Contas de serviço e associações de política

O processo de autenticação funciona da seguinte maneira:

1. O serviço de CSPM do Microsoft Defender para Nuvem adquire um token do Microsoft Entra. A ID do Microsoft Entra assina o token usando o algoritmo RS256. O token é válido por uma hora.

2. O token do Microsoft Entra é trocado pelo token STS do Google.

3. O Google STS valida o token usando o provedor de identidade de carga de trabalho. O token do Microsoft Entra é enviado ao STS do Google, que valida o token usando o provedor de identidade de trabalho. Em seguida, ocorre a validação de audiência e o token é assinado. Em seguida, um token STS do Google é retornado ao serviço CSPM do Defender para Nuvem.

4. O serviço de CSPM do Microsoft Defender para Nuvem usa o token STS do Google para representar a conta do serviço. O CSPM do Defender para Nuvem recebe credenciais da conta de serviço que serão usadas para examinar o projeto.

Pré-requisitos

Para concluir os procedimentos deste artigo, você precisa:

• Uma assinatura do Microsoft Azure. Se não tiver uma assinatura do Azure, você pode inscrever-se gratuitamente.

• Configurar o Microsoft Defender para Nuvem na sua assinatura do Azure.

• Acesso a um projeto do GCP.

• Permissão de nível de colaborador para a assinatura do Azure relevante.

• Se você habilitar o CIEM como parte do Defender para CSPM, o usuário que integra o conector também precisará da função de administrador de segurança e da permissão Application.ReadWrite.All para seu locatário.

• Para ingerir o GCP Cloud Logging usando tópicos Pub/Sub, verifique se você atende aos pré-requisitos com base em sua opção de implantação.

  • Se você criar novos recursos de Log na Nuvem e Pub/Sub:

    • Permissões para criar e gerenciar coletores de Log na Nuvem, tópicos pub/sub e assinaturas no GCP.

    • Permissões do IAM para configurar o Pub/Sub e gerenciar contas de serviço.

  • Se você planeja usar os recursos existentes de Log de Nuvem e Pub/Sub:

    • Acesso aos recursos existentes de Log na Nuvem e Pub/Sub.

    • Compreensão das configurações existentes de retenção de logs e Pub/Sub da sua organização.

Você pode saber mais sobre os preços do Defender para Nuvem na página de preços. Você também pode estimar os custos com a calculadora de custos do Defender para Nuvem.

Ao conectar seus projetos do GCP a assinaturas específicas do Azure, considere a hierarquia de recursos do Google Cloud e estas diretrizes:

• Conecte seus projetos do GCP ao Microsoft Defender para Nuvem no nível do projeto .
• Você pode conectar vários projetos a uma assinatura do Azure.
• Você pode conectar vários projetos a várias assinaturas do Azure.

Conecte seu projeto do GCP

1. Entre no portal do Azure.

2. Pesquise pelo Microsoft Defender para Nuvem e selecione-o.

3. Vá para Configurações> de AmbienteAdicionar ambiente>google cloud platform.

   

4. Inserir as seguintes informações

   • Nome do conector.
   • Selecione Organização ou Projeto Único.
   • Assinatura.
   • Grupo de recursos.
   • Location.
   • Intervalo de verificação: 4, 6, 12 ou 24.
   • (Somente organização) ID da organização.
   • (Opcional – somente organização) Excluir números de projeto.
   • (Opcional – somente organização) Excluir IDs de pasta.
   • (Somente projeto único) Número do projeto GCP.
   • (Somente projeto único) ID do projeto GCP.

   Observação

   Alguns coletores de dados são executados com intervalos de verificação fixos e não são afetados por configurações de intervalo personalizadas. A tabela a seguir mostra os intervalos de varredura fixos para cada coletor de dados excluído:

   Nome do coletor de dados	Intervalo de verificação
   ComputeInstance PolíticaDoRepositórioDoRegistroDeArtefatos ArtifactRegistryImage Agrupamento de Contêineres ComputeInstanceGroup ComputeZonalInstanceGroupInstance ComputeRegionalInstanceGroupManager ComputeZonalInstanceGroupManager ComputeGlobalInstanceTemplate	1 hora

5. Selecione Avançar: Selecionar planos.

   Observação

   Como o agente do Log Analytics (também conhecido como MMA) será desativado em agosto de 2024, todos os recursos e capacidades de segurança do Defender para Servidores que atualmente dependem dele, incluindo aqueles descritos nesta página, estarão disponíveis por meio da integração do Microsoft Defender para Endpoint ou da verificação sem agente, antes dessa data. Para obter mais informações sobre o roteiro de cada recurso que atualmente depende do Agente do Log Analytics, consulte este comunicado.

6. Alterne os planos para Ativar ou Desativar , dependendo de suas necessidades.

   

7. Selecione Avançar: configurar acesso.

8. Selecione o tipo de permissão, o acesso padrão ou o acesso a privilégios mínimos.

9. Siga as instruções na tela para configurar o acesso entre o Defender para Nuvem e seu projeto GCP.

   

   O script cria todos os recursos necessários em seu ambiente GCP para que o Defender para Nuvem possa operar e fornecer os seguintes valores de segurança:

   • Pool de identidades de carga de trabalho
   • Provedor de identidade de carga de trabalho (por plano)
   • Contas de serviço
   • Vinculações de política no nível do projeto (a conta de serviço tem acesso apenas ao projeto específico)

   Observação

   As SEGUINTEs APIs devem ser habilitadas no projeto em que você executa o script de integração para descobrir os recursos do GCP e permitir que o processo de autenticação ocorra:

   • iam.googleapis.com
   • sts.googleapis.com
   • cloudresourcemanager.googleapis.com
   • iamcredentials.googleapis.com
   • compute.googleapis.com

   Ao integrar no nível da organização, habilite essas APIs no projeto de gerenciamento, mesmo que você as use para acessar recursos em todos os projetos em sua organização.

   Se você não habilitar essas APIs, poderá habilitá-las durante o processo de integração executando o script do GCP Cloud Shell.

10. Selecione Avançar: Examinar e gerar.

11. Examine as informações para obter precisão.

12. Selecione Criar.

Depois que o conector é criado, uma varredura é iniciada no seu ambiente do GCP. Novas recomendações aparecem no Defender para Nuvem após até seis horas. Se você habilitou o provisionamento automático, o Azure Arc e todas as extensões habilitadas serão instalados automaticamente para cada recurso recém-detectado.

Exibir sua cobertura atual

O Defender para Nuvem fornece acesso a pastas de trabalho por meio de pastas de trabalho do Azure. Workbooks são relatórios personalizáveis que fornecem insights sobre sua postura de segurança.

A planilha de cobertura ajuda você a entender sua cobertura atual, mostrando quais planos estão habilitados nas suas assinaturas e recursos.

Próximas etapas

Conectar seu projeto do GCP faz parte da experiência de várias nuvens disponível no Microsoft Defender para Nuvem:

• Atribuir acesso aos proprietários da carga de trabalho.
• Proteja todos os seus recursos com o Defender para Nuvem.
• Configure seus computadores locais e a conta do AWS.
• Solucionar problemas com seus conectores multinuvem.
• Resolver a política de compartilhamento restrito de domínio.
• Veja respostas para perguntas comuns sobre como conectar seu projeto do GCP.