Conexión de los proyectos de GCP a Microsoft Defender for Cloud

  • Artículo
  • Tiempo de lectura: 18 minutos

Las cargas de trabajo de nube abarcan normalmente varias plataformas de nube, por lo que los servicios de seguridad de la nube deben hacer lo mismo. Microsoft Defender for Cloud protege las cargas de trabajo de Azure, Amazon Web Services (AWS) y Google Cloud Platform (GCP).

Para proteger los recursos de GCP, puede conectar un proyecto de GCP con:

  • Conector en la nube nativo (se recomienda): proporciona una conexión sin agente con su cuenta de GCP, que se puede ampliar con los planes de Defender for Cloud para proteger los recursos de GCP:

    • Administración de la posición de seguridad en la nube (CSPM) evalúa los recursos de GCP según las recomendaciones de seguridad específicas de GCP y refleja su posición de seguridad en la puntuación de seguridad. Los recursos se muestran en el inventario de recursos de Defender for Cloud y se evalúan para cumplir los estándares integrados específicos de GCP.
    • Microsoft Defender para servidores proporciona la detección de amenazas y defensas avanzadas a las instancias admitidas de EC2 con Windows y Linux. Este plan incluye la licencia integrada de Microsoft Defender para punto de conexión, líneas de base de seguridad y evaluaciones de nivel de sistema operativo, análisis de evaluación de vulnerabilidades, controles de aplicaciones adaptables (AAC), supervisión de la integridad de archivos (FIM) y mucho más.
    • Microsoft Defender para contenedores incorpora detección de amenazas y defensas avanzadas a los clústeres admitidos de Amazon EKS. Este plan incluye protección contra amenazas de Kubernetes, análisis del comportamiento, procedimientos recomendados de Kubernetes, recomendaciones de control de admisión y mucho más.
    • Microsoft Defender para SQL aporta detección de amenazas y defensas avanzadas a las instancias de SQL Server que se ejecutan en instancias de motores de proceso de GCP, lo que incluye la protección contra amenazas y el examen de la evaluación de vulnerabilidades.

  • Conector en la nube clásico: requiere configuración en su proyecto de GCP para crear un usuario que Defender for Cloud pueda usar para conectarse a su entorno de GCP. Si tiene conectores en la nube clásicos, se recomienda eliminar estos conectores y usar el conector nativo para volver a conectarse a la cuenta. El uso de los conectores clásicos y nativos puede generar recomendaciones duplicadas.

Captura de pantalla de los proyectos de GCP que se muestran en el panel de información general de Microsoft Defender for Cloud.

Disponibilidad

Aspecto Detalles
Estado de la versión: Versión preliminar
Los Términos de uso complementarios para las versiones preliminares de Azure incluyen los términos legales adicionales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado con disponibilidad general.
Precios: El plan CSPM es gratuito.
El plan Defender para SQL se factura al mismo precio que los recursos de Azure.
El plan Defender para servidores se factura al mismo precio que el plan Microsoft Defender para servidores para máquinas de Azure. Si una instancia de máquina virtual de GCP no tiene implementado el agente Azure Arc, no se le cobrará por esa máquina.
El plan Defender para contenedores es gratuito mientras dure la versión preliminar. Después, se facturará para GCP al mismo precio que para los recursos de Azure.
Roles y permisos necesarios: Colaborador en la suscripción de Azure correspondiente
Propietario en la organización o el proyecto de GCP
Nubes: Nubes comerciales
Nacionales (Azure Government, Azure China 21Vianet, otras)

Conexión de proyectos de GCP

Al conectar los proyectos de GCP a suscripciones de Azure específicas, tenga en cuenta la jerarquía de recursos de Google Cloud y estas directrices:

  • Puede conectar los proyectos de GCP a Microsoft Defender for Cloud en el nivel de proyecto.
  • Puede conectar varios proyectos a una suscripción de Azure.
  • Puede conectar varios proyectos a varias suscripciones de Azure.

Siga los pasos que se indican a continuación para crear su conector de nube de GCP.

Para conectarse al proyecto de GCP en Defender for Cloud con un conector nativo:

  1. Inicie sesión en Azure Portal.

  2. Vaya a Defender for CloudConfiguración del entorno.

  3. Seleccione + Agregar entorno.

  4. Seleccione Google Cloud Platform.

    Captura de pantalla que muestra la ubicación del botón de entorno de Google Cloud.

  5. Escriba toda la información pertinente.

    Captura de pantalla que muestra la página de creación de un conector de GCP para especificar toda la información relevante.

    (Opcional) Si selecciona Organización, se creará un proyecto de administración y un rol personalizado de organización en el proyecto de GCP para el proceso de incorporación. El aprovisionamiento automático se habilitará para la incorporación de nuevos proyectos.

  6. Seleccione Next: Select Plans (Siguiente: Seleccionar Planes).

  7. Cambie el botón de los planes a los que desee conectarse a Activado. De forma predeterminada, se aprovisionarán todos los requisitos previos y componentes necesarios. (Opcional) Aprenda a configurar cada plan.

  8. (Solo para contenedores) Asegúrese de que cumple los requisitos de red para el plan Defender para contenedores.

  9. Seleccione Next: Configure access. (Siguiente: Configurar acceso).

  10. Seleccione Copiar.

    Captura de pantalla que muestra la ubicación del botón Copiar.

    Nota

    Para detectar recursos de GCP y para el proceso de autenticación, se deben habilitar las siguientes API: iam.googleapis.com, sts.googleapis.com, cloudresourcemanager.googleapis.com, iamcredentials.googleapis.com y compute.googleapis.com. Si estas API no están habilitadas, las habilitaremos durante el proceso de incorporación mediante la ejecución del script de GCloud.

  11. Seleccione el Cloud Shell de GCP .

  12. Se abrirá el Cloud Shell de GCP.

  13. Pegue el script en el terminal de Cloud Shell y ejecútelo.

  14. Asegúrese de que se crearon los siguientes recursos:

    CSPM Defender para contenedores
    Rol de lector de la cuenta de servicio de CSPM
    Federación de identidades de Microsoft Defender for Cloud
    Grupo de identidades de CSPM
    Cuenta de servicio de Microsoft Defender para servidores (cuando el plan de servidores está habilitado)
    Cuenta de servicio de incorporación de Azure-Arc para servidores (cuando el aprovisionamiento automático de Arc para servidores está habilitado)    		 Rol de la cuenta de servicio de contenedores de Microsoft Defender
    Rol de la cuenta de servicio de recopilador de datos de Microsoft Defender
    Grupo de identidades de Microsoft Defender for Cloud

(Solo servidores/SQL) Cuando el aprovisionamiento automático de Arc esté habilitado, copie el identificador numérico único que se presenta al final del script de Cloud Shell.

Captura de pantalla que muestra la ventana para copiar el identificador numérico único.

Para buscar el identificador numérico único en el portal de GCP, vaya a IAM Admin>>, en la columna Nombre, busque Azure-Arc for servers onboarding y copie el número de identificador numérico único (identificador de cliente OAuth 2).

  1. Vuelva al portal de Microsoft Defender for Cloud.

  2. (Opcional) Si ha cambiado el nombre de cualquiera de los recursos, actualice los nombres en los campos adecuados.

  3. (Solo servidores/SQL) Seleccione Incorporación de Azure Arc para servidores.

    Captura de pantalla que muestra la sección de la pantalla de incorporación de Azure Arc para servidores.

    Escriba el identificador único de la cuenta de servicio, que se genera automáticamente después de ejecutar el Cloud Shell de GCP.

  4. Seleccione Next: Review and generate (Siguiente: Revisar y crear).

  5. Asegúrese de que la información presentada es correcta.

  6. Seleccione el botón Crear.

Después de crear un conector, se iniciará un examen en el entorno de GCP. Las nuevas recomendaciones aparecerán en Defender for Cloud después de un máximo de 6 horas. Si ha habilitado el aprovisionamiento automático, Azure Arc y las extensiones habilitadas se instalarán automáticamente para cada nuevo recurso detectado.

(Opcional) Configuración de planes seleccionados

De forma predeterminada, todos los planes son On. Puede deshabilitar los planes que no necesite.

Captura de pantalla que muestra que todos los planes están activados.

Configuración del plan de servidores

Conecte las instancias de VM de GPC a Azure Arc para tener visibilidad completa del contenido de seguridad de Microsoft Defender para servidores.

Microsoft Defender para servidores proporciona la detección de amenazas y defensas avanzadas a las instancias de VM de GCP. Para tener visibilidad completa del contenido de seguridad de Microsoft Defender para servidores, asegúrese de que tiene configurados los siguientes requisitos:

  • Microsoft Defender para servidores está habilitado en la suscripción. Obtenga información sobre cómo habilitar planes en el artículo Habilitación de características de seguridad mejoradas.

  • Azure Arc para servidores instalado en las instancias de máquina virtual.

    • (Recomendado) Aprovisionamiento automático: el aprovisionamiento automático está habilitado de forma predeterminada en el proceso de incorporación y requiere permisos de propietario en la suscripción. El proceso de aprovisionamiento automático de Arc usa el agente de configuración del sistema operativo en el extremo de GCP. Obtenga más información sobre la disponibilidad del agente de configuración del sistema operativo en máquinas GCP.

    Nota

    El proceso de aprovisionamiento automático de Arc aprovecha el administrador de máquinas virtuales de Google Cloud Platform, para aplicar directivas en las máquinas virtuales mediante el agente de configuración del sistema operativo. Una máquina virtual con un agente de sistema operativo activo incurrirá en un costo según GCP. Consulte la documentación técnica de GCP para ver cómo esto puede afectar a la cuenta.

    Microsoft Defender para servidores no instala el agente de configuración del sistema operativo en una máquina virtual que no lo tenga instalado. Sin embargo, Microsoft Defender para servidores habilitará la comunicación entre el agente de configuración del sistema operativo y el servicio de configuración del sistema operativo si el agente ya está instalado pero no se comunica con el servicio.

    Esto puede cambiar el agente de configuración del sistema operativo de inactive a active y provocará costos adicionales.

    • Instalación manual: puede conectar manualmente las instancias de la máquina virtual a Azure Arc para servidores. Las instancias de los proyectos con el plan Defender para servidores habilitado que no estén conectadas a Arc aparecerán con la recomendación "Las instancias de VM de GCP deben estar conectadas a Azure Arc". Use la opción "Corregir" que se ofrece en esta recomendación para instalar Azure Arc en las máquinas seleccionadas.

  • Se deben habilitar extensiones adicionales en las máquinas conectadas a Arc.

    • Microsoft Defender para punto de conexión

    • Solución VA (TVM/Qualys)

    • Agente de Log Analytics (LA) en máquinas de Arc. Asegúrese de que el área de trabajo seleccionada tenga instalada la solución de seguridad.

      El agente de LA está configurado actualmente en el nivel de suscripción, de modo que todas las cuentas y proyectos multinube (tanto de AWS como de GCP) de la misma suscripción heredarán la configuración de la suscripción en lo relativo al agente de LA.

    Aprenda a configurar el aprovisionamiento automático en su suscripción.

    Nota

    Defender para servidores asigna etiquetas a los recursos de GCP para administrar el proceso de aprovisionamiento automático. Debe tener estas etiquetas asignadas correctamente a los recursos para que Defender for Cloud pueda administrarlos: Cloud, InstanceName, MDFCSecurityConnector, MachineId, ProjectId y ProjectNumber.

Para configurar el plan de servidores:

  1. Siga los pasos para la conexión de proyectos de GCP.

  2. En la pantalla Seleccionar planes, seleccione Ver configuración.

    Captura de pantalla que muestra dónde hacer clic para configurar el plan Servidores.

  3. En la pantalla Aprovisionamiento automático, active o desactive los conmutadores según sus necesidades.

    Captura de pantalla que muestra los conmutadores del plan Servidores.

    Nota:

    Si Azure Arc está desactivado, debería seguir el proceso de instalación manual mencionado anteriormente.

  4. Seleccione Guardar.

  5. Continúe en el paso 8 del apartado Conexión de proyectos de GCP.

Configuración del plan de bases de datos

Conecte las instancias de VM de GCP a Azure Arc para tener visibilidad completa del contenido de seguridad de Microsoft Defender para SQL.

Microsoft Defender para SQL ofrece la detección de amenazas y defensas avanzadas a las instancias de VM de GCP. Para tener visibilidad completa del contenido de seguridad de Microsoft Defender para SQL, asegúrese de que tiene configurados los siguientes requisitos:

  • Instancias de Microsoft SQL Server en el plan de máquinas habilitado en la suscripción. Obtenga información sobre cómo habilitar los planes en el artículo Habilitación de las características de seguridad mejoradas.

  • Azure Arc para servidores instalado en las instancias de máquina virtual.

    • (Recomendado) Aprovisionamiento automático: el aprovisionamiento automático está habilitado de forma predeterminada en el proceso de incorporación y requiere permisos de propietario en la suscripción. El proceso de aprovisionamiento automático de Arc usa el agente de configuración del sistema operativo en el extremo de GCP. Obtenga más información sobre la disponibilidad del agente de configuración del sistema operativo en máquinas GCP.

    Nota

    El proceso de aprovisionamiento automático de Arc aprovecha el administrador de máquinas virtuales de Google Cloud Platform, para aplicar directivas en las máquinas virtuales mediante el agente de configuración del sistema operativo. Una máquina virtual con un agente de sistema operativo activo incurrirá en un costo según GCP. Consulte la documentación técnica de GCP para ver cómo esto puede afectar a la cuenta.

    Microsoft Defender para servidores no instala el agente de configuración del sistema operativo en una máquina virtual que no lo tenga instalado. Sin embargo, Microsoft Defender para servidores habilitará la comunicación entre el agente de configuración del sistema operativo y el servicio de configuración del sistema operativo si el agente ya está instalado pero no se comunica con el servicio.

    Esto puede cambiar el agente de configuración del sistema operativo de inactive a active y provocará costos adicionales.

  • Se deben habilitar extensiones adicionales en las máquinas conectadas a Arc.

    • Instancias de SQL Server en máquinas. Asegúrese de que el plan esté habilitado en la suscripción.

    • Agente de Log Analytics (LA) en máquinas de Arc. Asegúrese de que el área de trabajo seleccionada tenga instalada la solución de seguridad.

      El agente de LA y las instancias de SQL Server en el plan de máquinas están configurados actualmente a nivel de la suscripción, de modo que todas las cuentas y proyectos multinube (tanto de AWS como de GCP) de la misma suscripción heredarán la configuración de la suscripción y podrán generar cargos adicionales.

    Aprenda a configurar el aprovisionamiento automático en su suscripción.

    Nota

    Defender para SQL asigna etiquetas a los recursos de GCP para administrar el proceso de aprovisionamiento automático. Debe tener estas etiquetas asignadas correctamente a los recursos para que Defender for Cloud pueda administrarlos: Cloud, InstanceName, MDFCSecurityConnector, MachineId, ProjectId y ProjectNumber.

  • Detección y registro automáticos de SQL Server Habilite esta configuración para permitir la detección y el registro automáticos de las instancias de SQL Server, lo que ofrece un inventario y administración centralizados de los recursos de SQL.

Para configurar el plan de bases de datos:

  1. Siga los pasos para la conexión de proyectos de GCP.

  2. En la pantalla Selección de planes, seleccione Configurar.

    Captura de pantalla que muestra dónde hacer clic para configurar el plan Bases de datos.

  3. En la pantalla Aprovisionamiento automático, active o desactive los conmutadores según sus necesidades.

    Captura de pantalla que muestra los conmutadores del plan Bases de datos.

    Nota:

    Si Azure Arc está desactivado, debería seguir el proceso de instalación manual mencionado anteriormente.

  4. Seleccione Guardar.

  5. Continúe en el paso 8 del apartado Conexión de proyectos de GCP.

Configuración del plan de contenedores

Microsoft Defender para contenedores ofrece detección de amenazas y defensas avanzadas a los clústeres de GKE Standard para GCP. Para obtener el valor de seguridad completo de Defender para contenedores y para proteger completamente los clústeres de GCP, asegúrese de que tiene configurados los siguientes requisitos:

  • Registros de auditoría de Kubernetes para Microsoft Defender for Cloud: habilitados de forma predeterminada. Esta configuración solo está disponible en un nivel de proyecto de GCP. Esto proporciona una recopilación sin agente de los datos del registro de auditoría a través de Registros de nube de GCP en el back-end de Microsoft Defender for Cloud para su posterior análisis.
  • Kubernetes habilitado para Azure Arc, la extensión de Defender y la extensión de Azure Policy: habilitados de forma predeterminada. Puede instalar Kubernetes habilitado para Azure Arc y sus extensiones en los clústeres de GKE de tres maneras diferentes:
    • (Recomendado) Habilite el aprovisionamiento automático de Defender para contenedores en el nivel de proyecto, tal como se explica en las instrucciones siguientes.
    • Recomendaciones de Defender for Cloud, para la instalación por clúster, que aparecerán en la página de recomendaciones de Microsoft Defender for Cloud. Obtenga información sobre cómo implementar la solución en clústeres específicos.
    • Instalación manual para Kubernetes habilitado para Arc y extensiones.

Nota

Si decide deshabilitar todas las opciones de configuración disponibles, no se implementarán agentes ni componentes en los clústeres. Más información sobre la disponibilidad de las características.

Para configurar el plan de contenedores:

  1. Siga los pasos para la conexión de proyectos de GCP.

  2. En la pantalla Selección de planes, seleccione Configurar.

    Captura de pantalla que muestra dónde hacer clic para configurar el plan Contenedores.

  3. En la pantalla Aprovisionamiento automático, active los conmutadores.

    Captura de pantalla que muestra los conmutadores del plan Contenedores.

  4. Seleccione Guardar.

  5. Continúe en el paso 8 del apartado Conexión de proyectos de GCP.

Eliminación de conectores "clásicos"

Si tiene conectores existentes creados con conectores en la nube clásicos, quítelos primero:

  1. Inicie sesión en Azure Portal.

  2. Vaya a Defender for CloudConfiguración del entorno.

  3. Seleccione la opción para volver a la experiencia de conectores clásicos.

    Volver a la experiencia de conectores clásicos en la nube en Defender for Cloud.

  4. Para cada conector, seleccione el botón de tres puntos al final de la fila y seleccione Eliminar.

Disponibilidad

Aspecto Detalles
Estado de la versión: Disponibilidad general (GA)
Precios: Requiere el Plan 2 de Microsoft Defender para servidores.
Roles y permisos necesarios: propietario o colaborador en la suscripción de Azure en cuestión
Nubes: Nubes comerciales
Nacionales (Azure Government, Azure China 21Vianet)

Conexión del proyecto de GCP

Cree un conector para cada organización que desee supervisar desde Defender for Cloud.

Al conectar los proyectos de GCP a suscripciones de Azure específicas, tenga en cuenta la jerarquía de recursos de Google Cloud y estas directrices:

  • Puede conectar los proyectos de GCP a Defender for Cloud en el nivel de organización.
  • Puede conectar varias organizaciones a una suscripción de Azure.
  • Puede conectar varias organizaciones a varias suscripciones de Azure.
  • Al conectar una organización, todos los proyectos de esa organización se agregan a Defender for Cloud.

Siga los pasos que se indican a continuación para crear su conector de nube de GCP.

Paso 1. Configurar el centro de comandos de seguridad GCP con el análisis del estado de seguridad

En el caso de todos los proyectos de GCP de la organización, también debe:

  1. Configurar el centro de comandos de seguridad GCP mediante estas instrucciones de la documentación de GCP.
  2. Habilitar el análisis del estado de seguridad mediante estas instrucciones de la documentación de GCP.
  3. Compruebe que hay datos que fluyen al centro de comandos de seguridad.

Las instrucciones para conectar el entorno de GCP para la configuración de seguridad siguen las recomendaciones de Google para consumir recomendaciones de configuración de seguridad. La integración aprovecha el centro de comandos de seguridad de Google y consumirá recursos adicionales que podrían afectar a la facturación.

La primera vez que se habilita el análisis del estado de seguridad, los datos pueden tardar varias horas en estar disponibles.

Paso 2. Habilitar la API del centro de comandos de seguridad GCP

  1. En la biblioteca de API de la consola en la nube de Google, seleccione los proyectos de la organización que desea conectar a Microsoft Defender for Cloud.
  2. En la biblioteca de API, busque y seleccione la API del centro de comandos de seguridad.
  3. En la página de la API, seleccione HABILITAR.

Obtenga más información sobre la API del centro de comandos de seguridad.

Paso 3. Crear una cuenta de servicio dedicada para la integración de la configuración de seguridad

  1. En la consola de GCP, seleccione un proyecto de la organización donde vaya a crear la cuenta de servicio necesaria.

    Nota

    Cuando esta cuenta de servicio se agrega en el nivel de organización, se usará para acceder a los datos recopilados por Security Command Center de todos los demás proyectos habilitados en la organización.

  2. En el menú de navegación, en las opciones de IAM y administrador, seleccione Cuentas de servicio.

  3. Seleccione CREACIÓN DE LA CUENTA DE SERVICIO.

  4. Especifique un nombre de cuenta y seleccione Crear.

  5. Especifique el rol como Visor del administrador de Defender for Cloud y seleccione Continuar.

  6. La sección sobre la concesión a los usuarios de acceso a esta cuenta de servicio es opcional. Seleccione Listo.

  7. Copie el valor Correo electrónico de la cuenta de servicio creada y guárdelo para usarlo posteriormente.

  8. En el menú de navegación, en las opciones de IAM y administrador, seleccione IAM.

    1. Cambie al nivel de organización.
    2. Seleccione AGREGAR.
    3. En el campo Nuevos miembros, pegue el valor Correo electrónico que copió anteriormente.
    4. Especifique el rol como Visor del administrador de Defender for Cloud y, a continuación, seleccione Guardar. Establecimiento de los permisos de GCP pertinentes.

Paso 4. Crear una clave privada para la cuenta de servicio dedicada

  1. Cambie al nivel de proyecto.
  2. En el menú de navegación, en las opciones de IAM y administrador, seleccione Cuentas de servicio.
  3. Abra la cuenta de servicio dedicada y seleccione Editar.
  4. En la sección Claves, seleccione AGREGAR CLAVE y, a continuación, Creación de una clave nueva.
  5. En la pantalla Creación de una clave privada, seleccione JSON y, a continuación, seleccione CREAR.
  6. Guarde este archivo JSON para su uso posterior.

Paso 5. Conectar GCP a Defender for Cloud

  1. En el menú de Defender for Cloud, abra Configuración del entorno y seleccione la opción para volver a la experiencia de conectores clásicos.

    Volver a la experiencia de conectores clásicos en la nube en Defender for Cloud.

  2. Seleccione la opción para agregar el proyecto de GCP.

  3. En la página Incorporación, haga lo siguiente y, a continuación, seleccione Siguiente.

    1. Valide la suscripción elegida.
    2. En el campo Nombre para mostrar, escriba un nombre para mostrar para el conector.
    3. En el campo Id. de la organización, escriba el identificador de la organización. Si no lo sabe, consulte el artículo sobre creación y administración de organizaciones.
    4. En el cuadro Archivo de clave privada, vaya al archivo JSON que descargó en el paso 4. Cree una clave privada para la cuenta de servicio dedicada.

Paso 6. Confirmación

Cuando el conector se ha creado correctamente y el centro de comandos de seguridad GCP se ha configurado correctamente:

  • El estándar CIS de GCP se mostrará en el panel de cumplimiento de normativas de Defender for Cloud.
  • Las recomendaciones de seguridad para los recursos de GCP aparecerán en el portal de Defender for Cloud y en el panel de cumplimiento normativo de 5 a 10 minutos después de que se complete la incorporación: Recursos y recomendaciones de GCP en la página de recomendaciones de Defender for Cloud.

Supervisión de los recursos de GCP

Como se mostró anteriormente, en la página de recomendaciones de seguridad de Microsoft Defender for Cloud aparecen los recursos de GCP junto con los recursos de Azure y AWS, lo que ofrece una verdadera vista multinube.

Para ver todas las recomendaciones activas de los recursos por tipo de recurso, use la página de inventario de recursos de Defender for Cloud y filtre por el tipo de recurso de GCP que le interesa:

Filtro de tipo de recurso de la página de inventario de recursos que muestra las opciones de GCP

Preguntas más frecuentes: Conexión de proyectos de GCP a Microsoft Defender for Cloud

¿Hay una API para conectar mis recursos de GCP a Defender for Cloud?

Sí. Para crear, editar o eliminar conectores de nube de Defender for Cloud con una API REST, consulte los detalles de la API de conectores.

Pasos siguientes

La conexión del proyecto de GCP forma parte de la experiencia multinube disponible en Microsoft Defender for Cloud. Para información relacionada, consulte la página siguiente: