Kết nối Google Cloud Platform với Microsoft Defender for Cloud

Bài viết sẽ hướng dẫn chi tiết cách kết nối Google Cloud Platform (GCP) vào Defender for Cloud (MDC) để MDC có thể bảo vệ các workload chạy trên GCP.

Yêu cầu

Một subscription trên Microsoft Azure với Defender for Cloud đã được kích hoạt.

Trên Azure subscription, người cấu hình kết nối cần quyền ở mức contributor trở lên

Có quyền truy cập tương ứng vào GCP project hoặc GCP organization cần kết nối đến MDC

Kết nối GCP Project vào MDC

Trên portal Microsoft Azure (https://portal.azure.com/), tìm kiếm Microsoft Defender for Cloud và truy cập vào mục Environment settings > Add environment > Google Cloud Platform.

Điền một số thông tin vào trong giao diện Add GCP Project, ví dụ như minh họa onboarding một project của GCP vào MDC.

• Connector name: tên kết nối giữa GCP và MDC, có thể đặt tên bất kỳ
• Onboard: chọn Organization or Single project. Trong ví dụ minh họa, chọn Single Project
• Subscription: chọn subscription trên Microsoft Azure
• Resource group: Resource group trên Microsoft Azure
• Location: chọn Region trên Microsoft Azure
• Scan interval: chọn 4, 6, 12, hoặc 24.
• GCP project number: nhập số của project trên GCP
• GCP project ID: nhập ID của project trên GCP

GCP project number and project ID có thể tìm thấy trên giao diện IAM & Admin > Settings của GCP.

Bước: Select Plans

Chọn các gói MDC sẽ bảo vệ cho tài nguyên trên GCP như Defender CSPM và các Cloud Workload Protection (CWPP) như Servers, Databases, Containers. Việc lựa chọn chỉ đơn giản là chuyển thanh trượt sang ON hoặc OFF. Các lựa chọn này có thể thay đổi về sau dễ dàng.

Bước: Configure access

Chọn chế độ truy cập mặc định (Default Access) hoặc truy cập với quyền vừa đủ (Least privilege access); chọn phương thức triển khai qua GCP Cloud shell hoặc Terraform. Trong minh họa này chọn GCP Cloud Shell.

Trên giao diện GCP, sao chép link truy cập trực tiếp vào GCP project của GCP Cloud Shell ở dòng Log in to GCP Cloud Shell.

Nhấn nút Copy để sao chép đoạn mã vào giao diện dòng lệnh GCP Cloud shell, chờ đợi quá trình kết nối hoàn tất.

Sau khi hoàn tất quá trình chạy script trên Google Cloud shell, trở lại giao diện cấu hình trên Microsoft Azure chọn Review and generate > Create để tiến hành khởi tạo kết nối.

Trên giao diện của Defender for Cloud, vào Environment Settings sẽ thấy GCP project vừa tạo đã kết nối thành công.

Chọn vào trong GCP Project để thay đổi các cấu hình như Defender plans, Security policies và kiểm tra trạng thái kết nối ở phần Environment details.