Connexion d’un projet GCP à Microsoft Defender pour le cloud

Les charges de travail s’étendent généralement sur plusieurs plateformes cloud. Les services de sécurité du cloud doivent faire de même. Microsoft Defender pour le cloud protège les charges de travail dans Google Cloud Platform (GCP), mais vous devez configurer la connexion entre elles et Defender pour le cloud.

Cette capture d’écran montre des comptes GCP dans le tableau de bord de vue d’ensemble de Defender pour le cloud.

Capture d’écran montrant les projets GCP répertoriés dans le tableau de bord de vue d’ensemble dans Defender pour le cloud.

Conception d’autorisation GCP

Le processus d’authentification entre Microsoft Defender pour le cloud et GCP est un processus d’authentification fédérée.

Lorsque vous intégrez Defender pour le cloud, le modèle GCloud est utilisé pour créer les ressources suivantes dans le cadre du processus d’authentification :

  • Pool et fournisseurs d’identités de charge de travail

  • Comptes de service et liaisons de stratégie

Le processus d’authentification fonctionne comme suit :

Diagramme du processus d’authentification du connecteur GCP Defender pour le cloud.

  1. Le service CSPM pour Microsoft Defender pour le cloud acquiert un jeton Microsoft Entra. Le jeton est signé par Microsoft Entra ID à l’aide de l’algorithme RS256 et est valide pendant 1 heure.

  2. Le jeton Microsoft Entra est échangé avec le jeton STS de Google.

  3. Le service STS Google valide le jeton avec le fournisseur d’identité de charge de travail. Le jeton Microsoft Entra est envoyé au service STS de Google qui valide le jeton auprès du fournisseur d’identité de charge de travail. La validation du public se produit et le jeton est signé. Un jeton Google STS est ensuite retourné au service CSPM de Defender pour le cloud.

  4. Le service CSPM de Defender pour le cloud utilise le jeton STS Google pour emprunter l’identité du compte de service. Le module CSPM de Defender pour le cloud reçoit les informations d’identification du compte de service qui sont ensuite utilisées pour analyser le projet.

Prérequis

Pour suivre les procédures décrites dans cet article, vous devez disposer des éléments suivants :

Pour en savoir plus sur la tarification de Defender pour le cloud, consultez la page de tarification.

Lorsque vous connectez vos projets GCP à des abonnements Azure spécifiques, tenez compte de la hiérarchie des ressources Google Cloud et des instructions suivantes :

  • Vous pouvez connecter vos projets GCP à Microsoft Defender pour le cloud au niveau du projet.
  • Vous pouvez connecter plusieurs projets à un seul abonnement Azure.
  • Vous pouvez connecter plusieurs projets à plusieurs abonnements Azure.

Connexion du projet GCP

Le processus d’intégration comprend quatre parties qui se produisent lorsque vous créez la connexion de sécurité entre votre projet GCP et Microsoft Defender pour le cloud.

Détails du projet

Dans la première section, vous devez ajouter les propriétés de base de la connexion entre votre projet GCP et Defender pour le cloud.

Capture d’écran de la page des détails de l’organisation du processus d’intégration du projet GCP.

Ici, vous nommez votre connecteur, sélectionnez un abonnement et un groupe de ressources, qui sont utilisés pour créer une ressource de modèle ARM appelée « connecteur de sécurité ». Le connecteur de sécurité représente une ressource de configuration qui contient les paramètres des projets.

Vous sélectionnez également un emplacement et ajoutez l’ID d’organisation de votre projet.

Vous pouvez également sélectionner un intervalle de balayage compris entre une et 24 heures.

Certains collecteurs de données s’exécutent avec des intervalles de balayage fixes et ne sont pas affectés par les configurations d’intervalle personnalisées. Le tableau suivant présente les intervalles de balayage fixes pour chaque collecteur de données exclu :

Nom du collecteur de données Intervalle de balayage
ComputeInstance
ArtifactRegistryRepositoryPolicy
ArtifactRegistryImage
ContainerCluster
ComputeInstanceGroup
ComputeZonalInstanceGroupInstance
ComputeRegionalInstanceGroupManager
ComputeZonalInstanceGroupManager
ComputeGlobalInstanceTemplate
1 heure

Lorsque vous intégrez une organisation, vous pouvez également choisir d’exclure les numéros de projet et les ID de dossier.

Sélectionner des plans pour votre projet

Après avoir entré les détails de votre organisation, vous pourrez sélectionner les plans à activer.

Capture d’écran des plans disponibles que vous pouvez activer pour votre projet GCP.

À partir de là, vous pouvez choisir les ressources que vous souhaitez protéger en fonction du niveau de sécurité que vous souhaitez recevoir.

Configurer l’accès pour votre projet

Une fois que vous avez sélectionné les plans, si vous souhaitez activer les ressources que vous voulez protéger, vous devez configurer l’accès entre Defender pour le cloud et votre projet GCP.

Capture d’écran montrant les options de déploiement et les instructions pour configurer l’accès.

Dans cette étape, vous trouvez le script GCloud qui doit être exécuté sur le projet GCP qui va être intégré. Le script GCloud est généré en fonction des plans que vous avez sélectionnés pour l’intégration.

Le script GCloud crée toutes les ressources requises sur votre environnement GCP pour que Defender pour le cloud puisse fonctionner et fournir les valeurs de sécurité suivantes :

  • Pool d’identités de charge de travail
  • Fournisseur d’identité de charge de travail (par plan)
  • Comptes de service
  • Liaisons de stratégie au niveau du projet (le compte de service n’a accès qu’au projet spécifique)

Examiner et générer le connecteur pour votre projet

La dernière étape de l’intégration consiste à passer en revue toutes vos sélections et à créer le connecteur.

Capture de l’écran de vérification et de génération avec toutes vos sélections répertoriées.

Remarque

Pour découvrir vos ressources GCP et permettre l’exécution du processus d’authentification, vous devez activer les API suivantes :

  • iam.googleapis.com
  • sts.googleapis.com
  • cloudresourcemanager.googleapis.com
  • iamcredentials.googleapis.com
  • compute.googleapis.com Si vous n’activez pas ces API pour le moment, vous pouvez le faire pendant le processus d’intégration en exécutant le script GCloud.

Une fois le connecteur créé, une analyse démarre sur votre environnement GCP. De nouvelles recommandations apparaissent dans Defender pour le cloud au bout de six heures. Si vous avez activé le provisionnement automatique, Azure Arc et toutes les extensions activées sont installés automatiquement pour chaque ressource nouvellement détectée.

Connecter votre organisation GCP

Comme pour l’intégration d’un seul projet, lors de l’intégration d’une organisation GCP, Defender pour le cloud crée un connecteur de sécurité pour chaque projet sous l’organisation (sauf si des projets spécifiques ont été exclus).

Détails de l’organisation

Dans la première section, vous devez ajouter les propriétés de base de la connexion entre votre organisation GCP et Defender pour le cloud.

Capture d’écran de la page des détails de l’organisation du processus d’intégration de l’organisation GCP.

Ici, vous nommez votre connecteur, sélectionnez un abonnement et un groupe de ressources qui seront utilisés pour créer une ressource de modèle ARM appelée « connecteur de sécurité ». Le connecteur de sécurité représente une ressource de configuration qui contient les paramètres des projets.

Vous sélectionnez également un emplacement et ajoutez l’ID d’organisation de votre projet.

Lorsque vous intégrez une organisation, vous pouvez également choisir d’exclure les numéros de projet et les ID de dossier.

Sélectionner des plans pour votre organisation

Après avoir entré les détails de votre organisation, vous pourrez sélectionner les plans à activer.

Capture d’écran des plans disponibles que vous pouvez activer pour votre organisation GCP.

À partir de là, vous pouvez choisir les ressources que vous souhaitez protéger en fonction du niveau de sécurité que vous souhaitez recevoir.

Configurer l’accès pour votre organisation

Une fois que vous avez sélectionné les plans, si vous souhaitez activer les ressources que vous voulez protéger, vous devez configurer l’accès entre Defender pour le cloud et votre organisation GCP.

Capture de l’écran Configurer l’accès entre Defender pour le cloud et votre organisation GCP.

Lorsque vous intégrez une organisation, il existe une section qui inclut les détails du projet de gestion. À l’instar d’autres projets GCP, l’organisation est également considérée comme un projet et est utilisée par Defender pour le cloud pour créer toutes les ressources nécessaires pour connecter l’organisation à Defender pour le cloud.

Dans la section Détails du projet de gestion, vous avez le choix entre :

  • Dédier un projet de gestion pour Defender pour le cloud à inclure dans le script GCloud.
  • Fournir les détails d’un projet déjà existant à utiliser comme projet de gestion avec Defender pour le cloud.

Vous devez décider quelle est la meilleure option pour l’architecture de votre organisation. Nous vous recommandons de créer un projet dédié pour Defender pour le cloud.

Le script GCloud est généré en fonction des plans que vous avez sélectionnés pour l’intégration. Le script crée toutes les ressources requises sur votre environnement GCP pour que Defender pour le cloud puisse fonctionner et fournir les avantages de sécurité suivants :

  • Pool d’identités de charge de travail
  • Fournisseur d’identité de charge de travail pour chaque plan
  • Rôle personnalisé pour accorder à Defender pour le cloud l’accès pour découvrir et obtenir le projet sous l’organisation intégrée
  • Un compte de service pour chaque plan
  • Un compte de service pour le service d’approvisionnement automatique
  • Liaisons de stratégie au niveau de l’organisation pour chaque compte de service
  • Activations d’API au niveau du projet de gestion

Certaines API ne sont pas directement utilisées avec le projet de gestion. Au lieu de cela, les API s’authentifient via ce projet et utilisent l’une des API d’un autre projet. L’API doit être activée sur le projet de gestion.

Examiner et générer le connecteur pour votre organisation

La dernière étape de l’intégration consiste à passer en revue toutes vos sélections et à créer le connecteur.

Capture de l’écran de vérification et de génération avec toutes vos sélections répertoriées pour votre organisation.

Remarque

Pour découvrir vos ressources GCP et permettre l’exécution du processus d’authentification, vous devez activer les API suivantes :

  • iam.googleapis.com
  • sts.googleapis.com
  • cloudresourcemanager.googleapis.com
  • iamcredentials.googleapis.com
  • compute.googleapis.com Si vous n’activez pas ces API pour le moment, vous pouvez le faire pendant le processus d’intégration en exécutant le script GCloud.

Une fois le connecteur créé, une analyse démarre sur votre environnement GCP. De nouvelles recommandations apparaissent dans Defender pour le cloud au bout de six heures. Si vous avez activé le provisionnement automatique, Azure Arc et toutes les extensions activées sont installés automatiquement pour chaque ressource nouvellement détectée.

Facultatif : configuration des plans sélectionnés

Par défaut, tous les plans sont Activés. Vous pouvez désactiver les plans dont vous n’avez pas besoin.

Capture d’écran montrant les bascules activées pour tous les plans.

Configurer le plan Defender pour serveurs

Microsoft Defender pour serveurs ajoute la détection des menaces et des défenses avancées à vos instances de machines virtuelles GCP. Pour avoir une visibilité complète sur le contenu de sécurité de Microsoft Defender pour serveurs, connectez vos instances de machine virtuelle GCP à Azure Arc. Si vous choisissez le plan Microsoft Defender pour serveurs, vous avez besoin des éléments suivants :

Nous vous recommandons d'utiliser le processus de provisionnement automatique pour installer Azure Arc sur vos instances de machine virtuelle. Le provisionnement automatique est activé par défaut dans le processus d'intégration et nécessite des autorisations de propriétaire sur l'abonnement. Le processus de provisionnement automatique d'Azure Arc utilise l'agent OS Config côté GCP. Apprenez-en davantage sur la disponibilité de l’agent de configuration du système d’exploitation sur les machines GCP.

Le processus de provisionnement automatique d'Azure Arc utilise le gestionnaire de machines virtuelles sur GCP pour appliquer des stratégies sur vos machines virtuelles via l'agent OS Config. Une machine virtuelle qui a un agent de configuration du système d’exploitation actif entraîne un coût en fonction de GCP. Pour voir comment ce coût peut affecter votre compte, reportez-vous à la documentation technique GCP.

Microsoft Defender pour serveurs n'installe pas l'agent OS Config sur une machine virtuelle qui ne l'a pas installé. Toutefois, Microsoft Defender pour serveurs autorise la communication entre l’agent de configuration du système d’exploitation et le service de configuration du système d’exploitation si l’agent est déjà installé mais ne communique pas avec le service. Cette communication peut modifier l’agent de configuration du système d’exploitation de inactive en active, et entraîner des coûts supplémentaires.

Vous pouvez également connecter manuellement vos instances de machines virtuelles à Azure Arc pour serveurs. Les instances des projets pour lesquels le plan Defender pour serveurs est activé et qui ne sont pas connectées à Azure Arc sont mises en évidence par la recommandation Les instances de machine virtuelle GCP doivent être connectées à Azure Arc. Sélectionnez l’option Corriger dans la recommandation pour installer Azure Arc sur les machines sélectionnées.

Les serveurs Azure Arc respectifs pour les machines virtuelles GCP qui n'existent plus (et les serveurs Azure Arc respectifs avec l'état Déconnecté ou Expiré) sont supprimés au bout de sept jours. Ce processus a pour effet de supprimer les entités Azure Arc superflues, garantissant ainsi que seuls les serveurs Azure Arc liés aux instances existantes sont affichés.

Assurez-vous que vous remplissez la configuration réseau requise pour Azure Arc.

Activez ces autres extensions sur les machines connectées à Azure Arc :

  • Microsoft Defender for Endpoint
  • Une solution d’évaluation des vulnérabilités (Gestion des vulnérabilités Microsoft Defender ou Qualys)

Defender pour serveurs attribue des balises à vos ressources GCP Azure Arc pour gérer le processus de provisionnement automatique. Vous devez avoir ces balises correctement affectées à vos ressources afin que Defender pour serveurs puissent gérer vos ressources : Cloud, InstanceName, MDFCSecurityConnector, MachineId, ProjectId et ProjectNumber.

Pour configurer le plan Defender pour serveurs :

  1. Suivez la procédure de Connexion du projet GCP.

  2. Sous l’onglet Sélectionner des plans, sélectionnez Configurer.

    Capture d’écran montrant le lien pour configurer le plan Defender pour serveurs.

  3. Dans le volet Configuration de l’approvisionnement automatique, activez ou désactivez les bascules, selon vos besoins.

    Capture d’écran montrant les bascules pour le plan Defender pour serveurs.

    Si l’agent Azure Arc est désactivé, vous devrez suivre le processus d’installation manuelle mentionné ci-dessus.

  4. Sélectionnez Enregistrer.

  5. Continuez à partir de l’étape 8 dans les instructions de Connexion du projet GCP.

Configurer le plan Defender pour bases de données

Pour avoir une visibilité complète sur le contenu de sécurité de Microsoft Defender pour bases de données, connectez vos instances de machine virtuelle GCP à Azure Arc.

Pour configurer le plan Defender pour bases de données :

  1. Suivez la procédure de Connexion du projet GCP.

  2. Sous l’onglet Sélectionner des plans, dans Bases de données, sélectionnez Paramètres.

  3. Dans le volet Configuration du plan, activez ou désactivez les bascules en fonction de vos besoins.

    Capture d’écran montrant les bascules pour le plan Defender pour bases de données.

    Si la bascule pour Azure Arc est désactivée, vous devrez suivre le processus d’installation manuelle mentionné ci-dessus.

  4. Sélectionnez Enregistrer.

  5. Continuez à partir de l’étape 8 dans les instructions de Connexion du projet GCP.

Configurer le plan Defender pour les conteneurs

Microsoft Defender pour les conteneurs apporte la détection des menaces et des défenses avancées à vos clusters GCP Google Kubernetes Engine (GKE) Standard. Pour obtenir la valeur de sécurité complète de Defender pour les conteneurs, et pour protéger entièrement les clusters GCP, vérifiez que vous répondez aux exigences suivantes.

Notes

  • Journaux d’audit Kubernetes vers Defender pour le cloud : activés par défaut. Cette configuration est disponible au niveau du projet GCP uniquement. Elle fournit une collection sans agent des données du journal d’audit à travers GCP Cloud Logging vers le back-end de Microsoft Defender pour le cloud pour approfondir l’analyse. Defender pour les conteneurs nécessite des journaux d’audit du plan de contrôle pour fournir une protection contre les menaces au moment de l’exécution. Pour envoyer les journaux d’audit Kubernetes à Microsoft Defender, basculez le paramètre sur Activé.

    Remarque

    Si vous désactivez cette configuration, la fonctionnalité Threat detection (control plane) est désactivée. En savoir plus sur la disponibilité des fonctionnalités.

  • Approvisionnement automatique du capteur Defender pour Azure Arc et Approvisionnement automatique de l’extension Azure Policy pour Azure Arc : activés par défaut. Vous pouvez installer Kubernetes avec Azure Arc et ses extensions sur vos clusters GKE de trois façons différentes :

    • Activez le provisionnement automatique de Microsoft Defender pour les conteneurs au niveau du projet, comme expliqué dans les instructions de cette section. Nous recommandons cette méthode.
    • Utilisez les recommandations de Defender pour le cloud pour l’installation par cluster. Elles s’affichent sur la page des recommandations de Microsoft Defender pour le cloud. Découvrez comment déployer la solution sur des clusters spécifiques.
    • Installez manuellement Kubernetes avec Arcet les extensions.
  • La découverte sans agent pour Kubernetes fournit une découverte basée sur l’API de vos clusters Kubernetes. Pour activer la fonctionnalité Découverte sans agent pour Kubernetes, basculez le paramètre sur Activé.

  • L’évaluation de la vulnérabilité des conteneurs sans agent assure la gestion des vulnérabilités pour les images stockées dans Google Container Registry (GCR) et Google Artifact Registry (GAR) et les images en cours d’exécution sur vos clusters GKE. Pour activer la fonctionnalité Évaluation de la vulnérabilité des conteneurs sans agent, basculez le paramètre sur Activé.

Pour configurer le plan Defender pour les conteneurs :

  1. Suivez la procédure de Connexion du projet GCP.

  2. Sous l’onglet Sélectionner des plans, sélectionnez Configurer. Ensuite, dans le volet de configuration de Defender pour les conteneurs, basculez le paramètre sur Activé.

    Capture d’écran de la page de paramètres d’environnement de Defender pour le cloud montrant les paramètres du plan Conteneurs.

  3. Sélectionnez Enregistrer.

  4. Continuez à partir de l’étape 8 dans les instructions de Connexion du projet GCP.

Configurer le plan Defender CSPM

Si vous choisissez le plan Microsoft Defender CSPM, vous avez besoin des éléments suivants :

  • Un abonnement Microsoft Azure. Si vous n’avez pas d’abonnement Azure, inscrivez-vous pour obtenir un abonnement gratuit.
  • Vous devez activer Microsoft Defender pour le cloud sur votre abonnement Azure.
  • Pour accéder à toutes les fonctionnalités disponibles à partir du plan CSPM, le plan doit être activé par le propriétaire de l’abonnement.
  • Pour activer les fonctionnalités CIEM (Gestion des droits d’utilisation de l’infrastructure cloud), il faut que le compte Entra ID utilisé pour le processus d’intégration ait le rôle d’annuaire Administrateur d’application ou Administrateur d’application cloud pour votre locataire (ou des droits d’administrateur équivalents pour créer des inscriptions d’applications). Cette exigence est nécessaire uniquement pendant le processus d’intégration.

En savoir plus sur comment Activer Defender CSPM.

Pour configurer le plan CSPM Defender :

  1. Suivez la procédure de Connexion du projet GCP.

  2. Sous l’onglet Sélectionner des plans, sélectionnez Configurer.

    Capture d’écran montrant le lien pour configurer le plan Defender CSPM.

  3. Dans le volet Configuration du plan, activez ou désactivez les boutons bascules. Pour tirer pleinement parti de Defender CSPM, nous vous recommandons d’activer tous les boutons bascules.

    Capture d’écran montrant les boutons bascule pour Defender CSPM.

  4. Sélectionnez Enregistrer.

  5. Continuez à partir de l’étape 8 dans les instructions de Connexion du projet GCP.

Monitoring des ressources GCP

La page de recommandations de sécurité de Defender pour le cloud affiche vos ressources GCP avec vos ressources Azure et AWS pour un véritable affichage multicloud.

Afin de voir toutes les recommandations actives pour vos ressources par type de ressource, utilisez la page d’inventaire des ressources de Defender pour le cloud et filtrez sur le type de ressource GCP qui vous intéresse.

Capture d’écran des options GPC dans le filtre de type de ressource de la page d’inventaire des ressources.

Remarque

L’agent Log Analytics (également appelé MMA) étant prévu pour être mis hors service en août 2024, toutes les fonctionnalités et les fonctionnalités de sécurité de Defender pour serveurs qui en dépendent actuellement, y compris celles décrites dans cette page, seront disponibles via l’intégration Microsoft Defender pour point de terminaison ou l’analyse sans agent, avant la date de mise hors service. Pour plus d’informations sur la feuille de route de chacune des fonctionnalités qui s’appuient actuellement sur l’agent Log Analytics, consultez cette annonce.

Intégrer à Microsoft Defender XDR

Lorsque vous activez Defender pour le cloud, les alertes Defender pour le cloud sont automatiquement intégrées au portail Microsoft Defender. Aucune autre étape n’est nécessaire.

L’intégration entre Microsoft Defender pour le cloud et Microsoft Defender XDR apporte vos environnements cloud dans Microsoft Defender XDR. Avec les alertes et les corrélations cloud de Defender pour le cloud intégrées à Microsoft Defender XDR, les équipes SOC peuvent désormais accéder à toutes les informations de sécurité à partir d’une interface unique.

Apprenez-en davantage sur les alertes de Defender pour le cloud dans Microsoft Defender XDR.

Étapes suivantes

La connexion de votre projet GCP fait partie de l’expérience multicloud disponible dans Microsoft Defender pour le cloud :