Associar o projeto GCP ao Microsoft Defender para a Cloud

As cargas de trabalho geralmente abrangem várias plataformas de nuvem. Os serviços de segurança na nuvem devem fazer o mesmo. O Microsoft Defender for Cloud ajuda a proteger cargas de trabalho no Google Cloud Platform (GCP), mas você precisa configurar a conexão entre eles e o Defender for Cloud.

Esta captura de tela mostra as contas do GCP exibidas no painel de visão geral do Defender for Cloud.

Projeto de autorização GCP

O processo de autenticação entre o Microsoft Defender for Cloud e o GCP é um processo de autenticação federada.

Quando você integra o Defender for Cloud, o modelo GCloud é usado para criar os seguintes recursos como parte do processo de autenticação:

• Pool de identidades e provedores de carga de trabalho

• Contas de serviço e vinculações de política

O processo de autenticação funciona da seguinte forma:

1. O serviço CSPM do Microsoft Defender for Cloud adquire um token Microsoft Entra. O ID Microsoft Entra assina o token usando o algoritmo RS256. O token é válido por uma hora.

2. O token Microsoft Entra é trocado pelo token STS da Google.

3. O Google STS valida o token usando o fornecedor de identidade da carga de trabalho. O token Microsoft Entra é enviado ao STS da Google, que valida o token utilizando o fornecedor de identidade de carga de trabalho. Em seguida, ocorre a validação do público e o token é assinado. Um token STS do Google é retornado ao serviço CSPM do Defender for Cloud.

4. O serviço CSPM do Defender for Cloud usa o token STS do Google para representar a conta do serviço. O CSPM do Defender for Cloud recebe as credenciais da conta de serviço que utiliza para analisar o projeto.

Pré-requisitos

Para concluir os procedimentos neste artigo, você precisa:

• Uma subscrição do Microsoft Azure. Se não tiver uma subscrição do Azure, pode inscrever-se numa subscrição gratuita.

• Configuração do Microsoft Defender for Cloud na sua subscrição do Azure.

• Acesso a um projeto GCP.

• Permissão de nível de colaborador para a assinatura relevante do Azure.

• Se ativares o CIEM como parte do Defender para CSPM, o utilizador que está a integrar o conector também precisa de permissão de Administrador de Segurança e Application.ReadWrite.All para o teu tenant.

• Para ingerir GCP Cloud Logging usando tópicos Pub/Sub, assegure-se de cumprir os requisitos necessários conforme a sua opção de implementação.

  • Se você criar novos recursos de Cloud Logging e Pub/Sub:

    • Permissões para criar e gerir destinos de Cloud Logging, tópicos de Pub/Sub e assinaturas no Google Cloud Platform.

    • Permissões do IAM para configurar Pub/Sub e gerenciar contas de serviço.

  • Se você planeja usar os recursos existentes do Cloud Logging e Pub/Sub:

    • Acesso aos recursos existentes do Cloud Logging e Pub/Sub.

    • Entendimento das configurações de retenção de logs da sua organização e de Pub/Sub.

Saiba mais sobre os preços do Defender for Cloud na página de preços. Você também pode estimar custos com a calculadora de custos do Defender for Cloud.

Ao conectar projetos do GCP a assinaturas específicas do Azure, considere a hierarquia de recursos do Google Cloud e estas diretrizes:

• Liga os seus projetos GCP ao Microsoft Defender for Cloud ao nível do projeto .
• Você pode conectar vários projetos a uma assinatura do Azure.
• Você pode conectar vários projetos a várias assinaturas do Azure.

Conecte seu projeto GCP

1. Inicie sessão no portal Azure.

2. Procure e selecione Microsoft Defender for Cloud.

3. Vá a Definições> do ambienteAdicionar ambiente>Google Cloud Platform.

   

4. Introduza as seguintes informações

   • Nome do conector.
   • Selecione Organização ou Projeto Único.
   • Subscrição.
   • Grupo de recursos.
   • Location.
   • Intervalo de varrimento: 4, 6, 12 ou 24.
   • (Somente para organizações) ID da organização.
   • (Opcional - Apenas organização) Exclua os números dos projetos.
   • (Opcional - Apenas organização) Exclua os IDs das pastas.
   • (Apenas projeto único) Número do projeto GCP.
   • (Apenas projeto único) ID do projeto GCP.

   Nota

   Alguns coletores de dados são executados com intervalos de verificação fixos e não são afetados por configurações de intervalo personalizadas. A tabela a seguir mostra os intervalos de verificação fixos para cada coletor de dados excluído:

   Nome do coletor de dados	Intervalo de varredura
   ComputeInstance Política do Repositório do Registro de Artefatos Imagem do Registro de Artefatos Cluster de Contêiner ComputeInstanceGroup ComputeZonalInstanceGroupInstance GestorDeGrupoDeInstânciasRegionaisDeComputação ComputeZonalInstanceGroupManager ComputeGlobalInstanceTemplate	Uma hora

5. Selecione Avançar: Selecione planos.

   Nota

   Como o agente do Log Analytics (também conhecido como MMA) foi aposentado em agosto de 2024, todos os recursos e recursos de segurança do Defender for Servers que dependem dele atualmente, incluindo os descritos nesta página, estarão disponíveis por meio da integração do Microsoft Defender for Endpoint ou da verificação sem agente, antes da data de desativação. Para obter mais informações sobre o roteiro para cada um dos recursos que dependem atualmente do Log Analytics Agent, consulte este anúncio.

6. Alterne os planos para Ligado ou Desligado , dependendo das suas necessidades.

   

7. Selecione Seguinte: Configurar acesso.

8. Selecione o tipo de permissão, acesso padrão ou acesso com privilégio mínimo.

9. Siga as instruções no ecrã para configurar o acesso entre o Defender for Cloud e o seu projeto GCP.

   

   O script cria todos os recursos necessários no seu ambiente GCP para que o Defender for Cloud possa operar e fornecer os seguintes valores de segurança:

   • Pool de identidades de carga de trabalho
   • Provedor de identidade de carga de trabalho (por plano)
   • Contas de serviço
   • Associações de política no nível do projeto (a conta de serviço tem acesso apenas ao projeto específico)

   Nota

   As seguintes APIs devem estar ativadas no projeto onde executa o script de onboarding para descobrir os seus recursos GCP e permitir que o processo de autenticação ocorra:

   • iam.googleapis.com
   • sts.googleapis.com
   • cloudresourcemanager.googleapis.com
   • iamcredentials.googleapis.com
   • compute.googleapis.com

   Quando fizer integração ao nível da organização, ative estas APIs no projeto de gestão, mesmo que as use para aceder a recursos de todos os projetos dentro da sua organização.

   Se não ativares estas APIs, podes ativá-las durante o processo de onboarding, executando o script do GCP Cloud Shell.

10. Selecione Avançar: Revisar e gerar.

11. Revise a informação para garantir a sua exatidão.

12. Selecione Criar.

Depois de criar o conector, uma verificação é iniciada no ambiente GCP. Novas recomendações aparecem no Defender para Cloud após até seis horas. Se você habilitou o provisionamento automático, o Azure Arc e quaisquer extensões habilitadas serão instaladas automaticamente para cada recurso recém-detectado.

Veja a sua cobertura atual

O Defender for Cloud fornece acesso a pastas de trabalho por meio de pastas de trabalho do Azure. As pastas de trabalho são relatórios personalizáveis que fornecem informações sobre sua postura de segurança.

A livro de cobertura ajuda a entender a sua cobertura atual, mostrando quais planos estão habilitados nas suas assinaturas e recursos.

Próximos passos

Conectar seu projeto GCP faz parte da experiência multicloud disponível no Microsoft Defender for Cloud:

• Atribua acesso a proprietários de carga de trabalho.
• Proteja todos os seus recursos com o Defender for Cloud.
• Configure suas máquinas locais e sua conta da AWS.
• Solucione problemas de seus conectores multicloud.
• Resolva a política de Compartilhamento Restrito de Domínio.
• Obtenha respostas para perguntas comuns sobre como conectar seu projeto GCP.