你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
将 GCP 项目连接到 Microsoft Defender for Cloud
由于云工作负载通常跨多个云平台分布,因此云安全服务也需要如此。 Microsoft Defender for Cloud 可保护 Azure、Amazon Web Services (AWS) 和 Google Cloud Platform (GCP) 中的工作负载。
若要保护基于 GCP 的资源,可使用以下任一方式连接 GCP 项目:
本机云连接器(推荐)- 提供到 GCP 帐户的无代理连接,你可使用 Defender for Cloud 的 Defender 计划扩展该连接来保护 GCP 资源:
- 云安全态势管理 (CSPM) 根据特定于 GCP 的安全建议来评估 GCP 资源,并通过安全功能分数反映安全状况。 这些资源显示在 Defender for Cloud 的资产清单中,并评估其是否符合 GCP 特定的内置标准。
- Microsoft Defender for Servers 向受支持的 Windows 和 Linux EC2 实例提供威胁检测和高级防御功能。 此计划包括用于 Microsoft Defender for Endpoint、安全基线和 OS 级别评估、漏洞评估扫描、自适应应用程序控制 (AAC)、文件完整性监视 (FIM) 等的集成许可证。
- Microsoft Defender for Containers 向受支持的 Amazon EKS 群集提供威胁检测和高级防御功能。 此计划包括 Kubernetes 威胁防护、行为分析、Kubernetes 最佳做法、许可控制建议等。
- Microsoft Defender for SQL 为在 GCP 计算引擎实例上运行的 SQL Server 提供威胁检测和高级防护功能,包括高级威胁防护和漏洞评估扫描。
经典云连接器 - 需要在 GCP 项目中进行配置才能创建 Defender for Cloud 可用于连接到 GCP 环境的用户。 如果你有经典云连接器,我们建议删除这些连接器并使用本机连接器重新连接到帐户。 同时使用经典连接器和本机连接器可能会生成重复的建议。
可用性
| 方面 | 详细信息 |
|---|---|
| 发布状态: | 预览 Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的版本的 Azure 功能的其他法律条款。 |
| 定价: | “CSPM 计划”是免费的。 Defender for SQL 计划采用与 Azure 资源相同的价格计费。 对于 Azure 计算机,Microsoft Defender for Servers 计划按与 Microsoft Defender for Servers 计划相同的价格计费。 如果 GCP VM 实例未部署 Azure Arc 代理,则不需要为该计算机付费。 Defender for Containers 计划在预览期间免费。 此后,会按 Azure 资源的价格针对 GCP 进行计费。 |
| 所需角色和权限: | 相关 Azure 订阅上的“所有者” GCP 组织或项目的所有者 |
| 云: |  商用云 国家云(Azure 政府、Azure 中国世纪互联、其他政府云) |
连接 GCP 项目
将 GCP 项目连接到特定的 Azure 订阅时,请考虑 Google Cloud 资源层次结构和以下指南:
- 可以在项目级别将 GCP 项目连接到 Microsoft Defender for Cloud。
- 可以将多个项目连接到一个 Azure 订阅。
- 可以将多个项目连接到多个 Azure 订阅。
按照以下步骤创建 GCP 云连接器。
若要使用本机连接器将 GCP 项目连接到 Defender for Cloud:
登录到 Azure 门户。
导航到“Defender for Cloud”>“环境设置”。
选择“+ 添加环境”。
选择“Google Cloud Platform”。
输入所有相关信息。
(可选)如果选择“组织”,则会为加入过程在 GCP 项目上创建管理项目和组织自定义角色。 将会为加入新项目启用自动预配。
选择“下一步: 选择计划”。
将要连接到的计划切换为“开”。 默认情况下将会预配所有必要的先决条件和组件。 (可选)了解如何配置每个计划。
(仅限容器)请确保满足 Defender for Containers 计划的网络要求。
选择“下一步: 配置访问权限”。
选择“复制”。
注意
若要发现 GCP 资源,以及为了身份验证过程,必须启用以下 API:iam.googleapis.com、sts.googleapis.com、cloudresourcemanager.googleapis.com、iamcredentials.googleapis.com、compute.googleapis.com。 如果未启用这些 API,我们将通过运行 GCloud 脚本在载入过程中启用它们。
选择“GCP Cloud Shell >”。
此时将打开 GCP Cloud Shell。
将脚本粘贴到 Cloud Shell 终端并运行它。
确保已创建以下资源:
CSPM Defender for Containers CSPM 服务帐户读取者角色
Microsoft Defender for Cloud 联合身份验证
CSPM 标识池
Microsoft Defender for Servers 服务帐户(在启用服务器计划后)
“Azure-Arc for servers 加入”服务帐户(在启用 Azure-Arc for servers 自动预配后)Microsoft Defender for Containers 的服务帐户角色
Microsoft Defender Data Collector 服务帐户角色
Microsoft Defender for Cloud 标识池
(仅限服务器/SQL)启用 Arc 自动预配后,复制 Cloud Shell 脚本末尾显示的唯一数字 ID。
若要在 GCP 门户中查找该唯一数字 ID,请导航到“IAM 与管理”>“服务帐户”,在“名称”列中,找到Azure-Arc for servers onboarding并复制唯一数字 ID 编号(OAuth 2 客户端 ID)。
导航回 Microsoft Defender for Cloud 门户。
(可选)如果更改了任何资源的任何名称,请更新相应字段中的名称。
(仅限服务器/SQL)选择“Azure-Arc for servers 加入”
输入服务帐户的唯一 ID,该 ID 是在运行 GCP Cloud Shell 后自动生成的。
选择“下一步: 审阅并生成 >”。
确保提供的信息正确无误。
选择“创建”。
创建连接器后,将在 GCP 环境中启动扫描。 新建议将在最多 6 小时后出现在 Defender for Cloud 中。 如果启用了自动预配,则会自动为检测到的每个新资源安装 Azure Arc 和任何已启用的扩展。
(可选)配置所选计划
默认情况下,所有计划都是 On。 可禁用不需要的计划。
配置服务器计划
将 GCP VM 实例连接到 Azure Arc,以便全面了解 Microsoft Defender for Servers 安全内容。
Microsoft Defender for Servers 为 GCP VM 实例提供威胁检测和高级防护功能。 若要全面了解 Microsoft Defender for Servers 安全内容,请确保已配置以下要求:
已在订阅上启用 Microsoft Defender for Servers。 在启用增强的安全功能一文中了解如何启用计划。
已在 VM 实例上安装 Azure Arc for servers。
- (建议)自动预配 - 自动预配默认在加入过程中启用,并且需要订阅的所有者权限。 Arc 自动预配过程在 GCP 端使用 OS 配置代理。 详细了解 GCP 计算机上 OS 配置代理的可用性。
注意
Arc 自动预配过程利用 Google Cloud Platform 上的 VM 管理器,通过 OS 配置代理在 VM 上强制执行策略。 具有活动 OS 代理的 VM 将根据 GCP 产生费用。 请参阅 GCP 的技术文档,了解这会如何影响帐户。
适用于服务器的 Microsoft Defender 不会将 OS 配置代理安装到未安装该代理的 VM。 但是,如果已安装 OS 配置代理,但该代理未与 OS 配置服务通信,则适用于服务器的 Microsoft Defender 将启用该代理与该服务之间的通信。
这可能会将 OS 配置代理从inactive更改为active,并会产生额外费用。- 手动安装 - 可以手动将 VM 实例连接到 Azure Arc for servers。 通过“GCP VM 实例应连接到 Azure Arc”建议,可以显示启用了 Defender for Servers 计划的项目中未连接到 Arc 的实例。 使用此建议中提供的“修复”选项在所选计算机上安装 Azure Arc。
应在已连接 Arc 的计算机上启用其他扩展。
用于终结点的 Microsoft Defender
VA 解决方案 (TVM/Qualys)
Arc 计算机上的 Log Analytics (LA) 代理。 确保所选工作区已安装安全解决方案。
LA 代理当前在订阅级别配置,因此,同一订阅下的所有多云帐户和项目(来自 AWS 和 GCP)都将继承与 LA 代理相关的订阅设置。
了解如何在订阅上配置自动预配。
注意
Defender for Servers 将标记分配给 GCP 资源,以管理自动预配过程。 必须将这些标签正确分配给资源,以便 Defender for Cloud 管理资源:Cloud、InstanceName、MDFCSecurityConnector、MachineId、ProjectId、ProjectNumber
若要配置服务器计划,请执行以下操作:
按照连接 GCP 项目的步骤执行操作。
在“选择计划”屏幕上选择“查看配置”。
在“自动预配”屏幕上,根据需要开启或关闭开关。
注意
如果 Azure Arc 已切换到“关”,你将需要按照上面提到的手动安装过程操作。
选择“保存”。
继续从连接 GCP 项目说明的步骤 8 开始。
配置数据库计划
将 GCP VM 实例连接到 Azure Arc,以便全面了解 Microsoft Defender for SQL 安全内容。
Microsoft Defender for SQL 为 GCP VM 实例提供威胁检测和漏洞评估功能。 若要全面了解 Microsoft Defender for SQL 安全内容,请确保已配置以下要求:
已在订阅上启用计算机上的 Microsoft SQL Server 计划。 在启用增强的安全功能一文中了解如何启用计划。
已在 VM 实例上安装 Azure Arc for servers。
- (建议)自动预配 - 自动预配默认在加入过程中启用,并且需要订阅的所有者权限。 Arc 自动预配过程在 GCP 端使用 OS 配置代理。 详细了解 GCP 计算机上 OS 配置代理的可用性。
注意
Arc 自动预配过程利用 Google Cloud Platform 上的 VM 管理器,通过 OS 配置代理在 VM 上强制执行策略。 具有活动 OS 代理的 VM 将根据 GCP 产生费用。 请参阅 GCP 的技术文档,了解这会如何影响帐户。
适用于服务器的 Microsoft Defender 不会将 OS 配置代理安装到未安装该代理的 VM。 但是,如果已安装 OS 配置代理,但该代理未与 OS 配置服务通信,则适用于服务器的 Microsoft Defender 将启用该代理与该服务之间的通信。
这可能会将 OS 配置代理从inactive更改为active,并会产生额外费用。应在已连接 Arc 的计算机上启用其他扩展。
计算机上的 SQL Server。 确保订阅上启用了计划。
Arc 计算机上的 Log Analytics (LA) 代理。 确保所选工作区已安装安全解决方案。
计算机上的 LA 代理和 SQL Server 计划当前在订阅级别配置,因此,同一订阅下的所有多云帐户和项目(来自 AWS 和 GCP)都将继承订阅设置并可能产生额外费用。
了解如何在订阅上配置自动预配。
注意
Defender for SQL 将标记分配给 GCP 资源,以管理自动预配过程。 必须将这些标签正确分配给资源,以便 Defender for Cloud 管理资源:Cloud、InstanceName、MDFCSecurityConnector、MachineId、ProjectId、ProjectNumber
自动 SQL Server 发现和注册。 启用这些设置以允许自动发现和注册 SQL Server,从而提供集中式 SQL 资产清单和管理。
配置数据库计划:
按照连接 GCP 项目的步骤执行操作。
在“选择计划”屏幕上选择“配置”。
在“自动预配”屏幕上,根据需要开启或关闭开关。
注意
如果 Azure Arc 已切换到“关”,你将需要按照上面提到的手动安装过程操作。
选择“保存” 。
继续从连接 GCP 项目说明的步骤 8 开始。
配置 Containers 计划
Microsoft Defender for Containers 为 GCP GKE 标准版群集带来了威胁检测和高级防护功能。 若要从 Defender for Containers 获取完整安全值并对 GCP 群集进行完整的保护,请确保已配置以下要求:
- Defender for Cloud 的 Kubernetes 审核日志 - 默认启用。 此配置仅在 GCP 项目级别提供。 这会通过 GCP 云日志记录将审核日志数据以无代理方式收集到 Microsoft Defender for Cloud 后端,供进一步分析。
- 已启用 Azure Arc 的 Kubernetes、Defender 扩展和 Azure Policy 扩展 - 默认启用。 可以通过 3 种不同的方式在 GKE 群集上安装已启用 Azure Arc 的 Kubernetes 及其扩展:
- (建议)在项目级别启用 Defender for Container 自动预配,如以下说明所述。
- 针对每个群集安装提供的 Defender for Cloud 建议,这些建议将显示在 Microsoft Defender for Cloud 的“建议”页上。 了解如何将解决方案部署到特定群集。
- 针对已启用 Arc 的 Kubernetes 和扩展进行的手动安装。
注意
如果你选择禁用可用的配置选项,则不会有任何代理或组件部署到你的群集。 详细了解功能可用性。
配置 Containers 计划:
删除“经典”连接器
如果存在使用经典云连接器体验创建的现有连接器,请先删除它们:
登录到 Azure 门户。
导航到“Defender for Cloud”>“环境设置”。
选择用于切换回经典连接器体验的选项。
对于每个连接器,选择行末尾的省略号按钮,然后选择“删除”。
可用性
| 方面 | 详细信息 |
|---|---|
| 发布状态: | 正式发布版 (GA) |
| 定价: | 需要 Microsoft Defender for Servers 计划 2 |
| 所需角色和权限: | 相关 Azure 订阅上的“所有者”或“参与者”角色 |
| 云: | 商用云 国家(Azure 政府、Azure 中国世纪互联) |
连接 GCP 项目
为要通过 Defender for Cloud 监视的每个组织创建一个连接器。
将 GCP 项目连接到特定的 Azure 订阅时,请考虑 Google Cloud 资源层次结构和以下指南:
- 可以在组织级别将 GCP 项目连接到 Defender for Cloud
- 可以将多个组织连接到一个 Azure 订阅
- 可以将多个组织连接到多个 Azure 订阅
- 连接某一个组织时,该组织中的所有项目都将添加到 Defender for Cloud
按照以下步骤创建 GCP 云连接器。
步骤 1。 使用“安全运行状况分析”设置 GCP 安全和命令中心
对于组织中的所有 GCP 项目,还需要:
- 按照 GCP 文档中的以下说明设置 GCP 安全命令中心。
- 按照 GCP 文档中的以下说明启用“安全运行状况分析”。
- 验证是否存在流向安全命令中心的数据。
连接 GCP 环境以进行安全配置的相关说明遵循了 Google 有关使用安全配置的建议。 此集成利用 Google 安全命令中心并使用可能会影响计费的其他资源。
首次启用安全运行状况分析时,可能需要几个小时才能获得数据。
步骤 2. 启用 GCP 安全命令中心 API
- 从 Google 的 Cloud Console API 库中,选择组织中要连接到 Microsoft Defender for Cloud 的每个项目。
- 在该 API 库中,查找并选择“安全命令中心 API”。
- 在 API 的页面上,选择“启用”。
了解有关安全命令中心 API 的详细信息。
步骤 3. 创建一个专用于安全配置集成的服务帐户
在 GCP Console 中,从要在其中创建所需服务帐户的组织中选择一个项目。
注意
在组织级别添加此服务帐户后,该服务帐户将用于访问安全命令中心从组织中所有其他已启用项目中收集的数据。
在“导航菜单”上的“IAM 和管理”选项下,选择“服务帐户”。
选择“创建服务帐户”。
输入帐户名称,并选择“创建”。
将“角色”指定为“Defender for Cloud 管理员查看器”,然后选择“继续” 。
“向用户授予对此服务帐户的访问权限”部分是可选的。 选择“完成”。
复制创建的服务帐户的电子邮件值,并将其保存待稍后使用。
在“导航菜单”上的“IAM 和管理”选项下,选择“IAM”
- 切换到组织级别。
- 选择“添加”。
- 在“新成员”字段中,粘贴之前复制的电子邮件值。
- 将“角色”指定为“Defender for Cloud 管理员查看器”,然后选择“保存” 。
步骤 4. 为专用服务帐户创建私钥
- 切换到项目级别。
- 在“导航菜单”上的“IAM 和管理”选项下,选择“服务帐户”。
- 打开专用服务帐户,然后选择“编辑”。
- 在“密钥”部分中,选择“添加密钥”,然后选择“创建新密钥”。
- 在“创建私钥”屏幕中,选择“JSON”,然后选择“创建”。
- 保存此 JSON 文件待稍后使用。
步骤 5。 将 GCP 连接到 Defender for Cloud
在 Defender for Cloud 的菜单中,打开“环境设置”,然后选择切换回经典连接器体验的选项。
选择“添加 GCP 项目”。
在“加入”页中,执行以下操作,然后选择“下一步”。
- 验证所选订阅。
- 在“显示名称”字段中,输入连接器的显示名称。
- 在“组织 ID”字段中,输入组织的 ID。 如果不知道该 ID,请参阅创建和管理组织。
- 在“私钥”文件框中,浏览到步骤 4.为专用服务帐户创建私钥中下载的 JSON 文件。
步骤 6。 确认
成功创建连接器并正确配置 GCP 安全命令中心后:
- Defender for Cloud 的合规性仪表板中会显示 GCP CIS 标准。
- 加入过程完成 5-10 分钟后,Defender for Cloud 门户和法规合规性仪表板中会显示有关 GCP 资源的安全建议:
监视 GCP 资源
如上图所示,Microsoft Defender for Cloud 的安全建议页同时显示了 GCP 资源和 Azure、AWS 资源,呈现了真正的多云视图。
若要按资源类型查看资源的所有活动建议,可使用 Defender for Cloud 的“资产清单”页,并筛选到所需的 GCP 资源类型:
常见问题解答 - 将 GCP 项目连接到 Microsoft Defender for Cloud
是否有 API 可用于将我的 GCP 资源连接到 Defender for Cloud?
是的。 若要使用 REST API 创建、编辑或删除 Defender for Cloud 云连接器,请查看连接器 API 的详细信息。
后续步骤
连接 GCP 项目是 Microsoft Defender for Cloud 提供的多云体验的一部分。 有关相关信息,请参阅以下页面:
- 将 AWS 帐户连接到 Microsoft Defender for Cloud
- Google Cloud 资源层次结构 - 通过 Google 的联机文档了解 Google Cloud 资源层次结构