Подключение учетных записей GCP

  • 12 мин

При подключении учетной записи GCP к Microsoft Defender для облака выполняется интеграция GCP Security Command и Defender для облака. Таким образом, Defender для облака обеспечивает мониторинг и защиту в обеих облачных средах, а также следующие возможности:

  • определение неправильных настроек системы безопасности;

  • единое представление с рекомендациями Defender для облака и сведениями из центра управления безопасностью GCP;

  • учет ресурсов GCP при оценке безопасности в Defender для облака;

  • отображение рекомендаций центра управления безопасностью GCP (на основе стандарта CIS) на панели мониторинга соответствия нормативными требованиям в Defender для облака.

На снимке экрана ниже показаны проекты GCP, отображаемые на обзорной панели мониторинга в Defender для облака.

Screenshot of the G C P project overview settings.

Чтобы создать облачный соединитель GCP, сделайте следующее.

Настройка центра управления безопасностью GCP и его службы анализа работоспособности системы безопасности

Для всех проектов GCP вашей организации также необходимо выполнить следующие действия:

  • Настроить центр управления безопасностью GCP, выполнив эти инструкции из документации по GCP.

  • Включить службу анализа работоспособности системы безопасности, выполнив эти инструкции из документации по GCP.

  • Проверьте, поступают ли данные в Security Command Center.

Инструкции по подключению среды GCP для настройки системы безопасности см. в соответствующих рекомендациях Google. Интеграция использует Google Security Command Center и потребляет больше ресурсов, что может повлиять на ваш биллинг.

При первом включении службы анализа работоспособности системы безопасности на доступ к данным может потребоваться несколько часов.

Включение API центра управления безопасностью GCP

  1. В библиотеке Google с API для Cloud Console выберите проект, который нужно подключить к Центру безопасности Azure.

  2. В библиотеке API найдите и выберите элемент Security Command Center API (API центра управления безопасностью).

  3. На странице API нажмите кнопку ENABLE (Включить).

Создание отдельной учетной записи службы для интеграции настроек безопасности

  1. В консоли GCP Console выберите проект, который нужно подключить к Центру безопасности.

  2. В меню навигации в разделе "IAM и администрирование" выберите элемент Service accounts (Учетные записи служб).

  3. Выберите CREATE SERVICE ACCOUNT (Создание учетной записи службы).

  4. Введите имя учетной записи и нажмите кнопку Create (Создать).

  5. Для параметра Role (Роль) выберите вариант Security Center Admin Viewer (Наблюдатель администратора Центра безопасности) и нажмите Continue (Продолжить).

  6. При необходимости задайте настройки в разделе предоставления пользователям доступа к учетной записи службы. Нажмите кнопку Готово.

  7. Скопируйте адрес электронной почты созданной учетной записи службы и сохраните его.

  8. В меню навигации в разделе "IAM и администрирование" выберите IAM

  9. Переключитесь на уровень организации.

  10. Нажмите кнопку ADD (Добавить).

  11. В поле New members (Новые участники) вставьте адрес электронной почты, скопированный ранее.

  12. Для параметра роли выберите вариант Security Center Admin Viewer (Наблюдатель администратора Центра безопасности) и нажмите кнопку Save (Сохранить).

Создание закрытого ключа для отдельной учетной записи службы

Переключитесь на уровень проекта.

  1. В меню навигации в разделе "IAM и администрирование" выберите элемент Service accounts (Учетные записи служб).

  2. Откройте выделенную учетную запись службы и нажмите кнопку Edit (Изменить).

  3. В разделе "Ключи" выберите "ДОБАВИТЬ КЛЮЧ" и " Создать новый ключ".

  4. На экране создание закрытого ключа выберите JSON и нажмите кнопку CREATE (Создать).

  5. Сохраните этот файл JSON.

Подключение GCP к Defender для облака

  1. В меню Defender для облака выберите элемент Облачные соединители.

  2. Выберите Add GCP account (Добавить учетную запись GCP).

  3. На странице подключения выполните описанные ниже действия, а затем нажмите Next (Далее).

  4. Проверьте выбранную подписку.

  5. В поле Отображаемое имя введите отображаемое имя для соединителя.

  6. В поле ИД организации введите идентификатор своей организации.

  7. В поле Файл закрытого ключа (Private key file) перейдите к файлу JSON, который вы скачали на предыдущем шаге. Создайте закрытый ключ для выделенной учетной записи службы.

Подтверждение

После успешного создания соединителя и правильной настройки центра управления безопасностью GCP:

  • На панели мониторинга соответствия нормативным требованиям в Defender для облака будет отображаться стандарт GCP CIS.

  • Рекомендации по безопасности для ваших ресурсов GCP появятся на портале Центра безопасности и на панели мониторинга соответствия нормативным требованиям через 5–10 минут после подключения:

Screenshot of the G C P resources in recommendations