Puoi collegare il livello Enterprise di Security Command Center al tuo ambiente Microsoft Azure per:
- Attiva il rilevamento di risultati relativi a configurazioni errate.
- Identifica i potenziali percorsi di attacco dalla rete internet pubblica alle tue risorse di valore elevato di Microsoft Azure.
- Mappa la conformità delle risorse Microsoft Azure a vari standard e benchmark.
La connessione di Security Command Center a Microsoft Azure consente al tuo team di gestire e correggere le configurazioni errate sia in Google Cloud che in Azure.
Configura una connessione attendibile tra Security Command Center e Azure utilizzando un Google Cloud agente di servizio e un'identità gestita assegnata dall'utente di Microsoft Azure con accesso alle risorse Azure che vuoi monitorare. Gestisci e controlla la configurazione della attendibilità nel tuo ambiente Microsoft Azure.
Puoi creare una connessione Azure per ogni Google Cloud organizzazione.
Security Command Center utilizza questa connessione per raccogliere periodicamente i dati sulle risorse Microsoft Azure che definisci. Questi dati vengono gestiti nello stesso modo come i Dati di servizio ai sensi dell'Informativa sulla privacy di Google Cloud. Il connettore utilizza le chiamate API per raccogliere i dati delle risorse Azure. Per queste chiamate API potrebbero essere applicati costi di Microsoft Azure.
Durante una scansione, la pipeline di raccolta dei dati dipende dall'agente di servizio per l'autenticazione nell'ambiente Microsoft Azure utilizzando l'identità gestita assegnata dall'utente.
Il seguente diagramma mostra come viene stabilita la fiducia tra Security Command Center e Azure.
Questo documento descrive come configurare la connessione con Microsoft Azure. In linea generale, i passaggi sono i seguenti:
Esegui i passaggi preliminari descritti in Prima di iniziare.
Crea il connettore Azure e configura gli abbonamenti e le località da analizzare. Per eseguire questi passaggi, devi disporre dell'ID tenant di Microsoft Azure. Viene creato l'ID agente di servizio.
Configura l'ambiente Azure per creare un'identità gestita assegnata dall'utente dedicata con i seguenti ruoli:
Lettore nell'ambito del gruppo di gestione principale di Microsoft Azure per leggere risorse, abbonamenti e la gerarchia dei gruppi di gestione.
Lettore di Key Vault nell'ambito del gruppo di gestione principale di Microsoft Azure per leggere i metadati relativi alle casseforti e ai certificati, alle chiavi e ai secret correlati.
Lettore di dati BLOB di archiviazione nell'ambito del gruppo di gestione principale di Microsoft Azure per leggere i metadati sulle risorse. Concedi questo ruolo se prevedi di attivare l'opzione Concedi le autorizzazioni per il rilevamento Sensitive Data Protection quando configuri il connettore Azure.
Lettori di directory in Microsoft Entra ID per leggere gruppi e iscrizioni.
Lettore di sicurezza in Microsoft Entra ID per leggere i criteri di autorizzazione.
Il nome visualizzato predefinito per il gruppo di gestione principale è
Tenant root group.Queste autorizzazioni sono necessarie per consentire a Security Command Center di identificare i gruppi di gestione, i gruppi con i membri e le definizioni dei ruoli, che si trovano a un livello superiore agli abbonamenti nella gerarchia delle risorse.
Configura anche una credenziale di identità federata per l'identità gestita assegnata dall'utente utilizzando le informazioni sull'agente di servizio.
Puoi eseguire i passaggi manualmente o utilizzare Terraform. Devi disporre dell'ID agente di servizio quando esegui i passaggi manualmente.
Completa la configurazione del connettore Azure e testa la connessione. Per eseguire questi passaggi, utilizzi le informazioni sull'identità gestita assegnata dall'utente.
Il connettore Azure non importa i log di Azure necessari per le funzionalità di rilevamento selezionate di SIEM in Security Command Center Enterprise. Per queste informazioni, consulta Connettersi a Microsoft Azure per la raccolta dei dati dei log.
Prima di iniziare
Le sezioni seguenti descrivono i prerequisiti, le decisioni e le informazioni necessarie prima di configurare la connessione tra Security Command Center e Microsoft Azure.
Esamina le funzionalità di Microsoft Azure
Assicurati di conoscere i seguenti concetti e funzionalità di Microsoft Azure:
Federazione delle identità per i carichi di lavoro in Azure, credenziali federate, e configurazione di un'identità federata su un'identità gestita assegnata dall'utente.
Creazione e gestione di gruppi di risorse utilizzando il portale di Microsoft Azure, Azure CLI o Terraform.
Assegnazione di ruoli integrati di Azure e ruoli integrati di Microsoft Entra.
Pianifica la raccolta dei dati
Quando pianifichi la strategia di raccolta dei dati: Queste informazioni sono necessarie per eseguire i passaggi descritti in questo documento.
Crea o identifica il gruppo di risorse in cui creerai l'identità gestita definita dall'utente. Durante la configurazione, devi avere il nome del gruppo di risorse.
Sostituisci la variabile RESOURCE_GROUP_NAME con il nome del gruppo di risorse per compilare il valore nei passaggi successivi di questo documento.
Identifica le risorse per le quali vuoi raccogliere i dati. Se prevedi di raccogliere i dati solo da abbonamenti o regioni specifici, identificali e registrali durante la pianificazione.
Puoi anche configurare il connettore Azure per rilevare automaticamente le risorse in tutti gli abbonamenti e le regioni.
Configurare le autorizzazioni in Google Cloud
In Google Cloud, per creare e gestire una connessione ai fornitori di cloud di terze parti, devi disporre del ruolo Proprietario asset cloud (roles/cloudasset.owner) nell'organizzazione. Per ulteriori informazioni sulla concessione dei ruoli, consulta Gestire l'accesso.
Configurare le autorizzazioni in Microsoft Azure
Per eseguire i passaggi descritti in Configurare Microsoft Azure manualmente o Configurare Microsoft Azure utilizzando Terraform, devi avere un'identità Azure con almeno un gruppo di risorse creato, oltre alle seguenti autorizzazioni per configurare i criteri IAM per Microsoft Azure e Microsoft Entra.
Microsoft.Authorization/roleAssignments/writenell'ambito del gruppo di gestione principale. Questo è disponibile in uno dei seguenti ruoli integrati: Amministratore del controllo dell'accesso basato sui ruoli o Amministratore dell'accesso utente.Le seguenti autorizzazioni nell'ambito di un gruppo di risorse in cui verrà creata l'identità gestita assegnata dall'utente:
Microsoft.ManagedIdentity/userAssignedIdentities/writeMicrosoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/write
Sono disponibili nel ruolo predefinito Collaboratore per le identità gestite.
L'autorizzazione Microsoft Entra,
microsoft.directory/roleAssignments/allProperties/allTasks. Questo ruolo è disponibile nel ruolo predefinito di Microsoft Entra Amministratore dei ruoli con privilegi.
Devi disporre di accesso elevato per impostare le autorizzazioni nell'ambito del gruppo di gestione principale. Per conoscere la procedura per elevare l'accesso di un amministratore globale, consulta Elevare l'accesso per gestire tutti gli abbonamenti e i gruppi di gestione di Azure.
Abilita e configura il connettore Azure di Security Command Center
Per creare e configurare il connettore Azure:
Assicurati di disporre delle autorizzazioni definite nella sezione Configurare le autorizzazioni in Google Cloud.
Assicurati di disporre dell'ID tenant di Microsoft Azure di 36 caratteri.
Apri la scheda Connettori nella pagina Impostazioni.
Seleziona l'organizzazione in cui hai attivato Security Command Center Enterprise.
Fai clic su Aggiungi connettore > Microsoft Azure.
Nella pagina Configura connettore, inserisci l'ID tenant Azure.
Per consentire a Sensitive Data Protection di creare un profilo dei tuoi dati di Azure, mantieni selezionata l'opzione Concedi le autorizzazioni per il rilevamento Sensitive Data Protection. Questa opzione aggiunge il ruolo Lettore di dati BLOB di archiviazione nel modello Terraform per l'identità gestita definita dall'utente.
Seleziona una delle seguenti opzioni:
- Aggiungi abbonamenti automaticamente: Security Command Center rileverà e includerà automaticamente gli abbonamenti. Se vuoi, puoi escludere la raccolta degli ID abbonamento aggiungendoli al campo Escludi abbonamenti Azure.
- Aggiungi gli abbonamenti singolarmente: Security Command Center non li rileverà automaticamente. Devi definire almeno un abbonamento utilizzando il campo Aggiungi abbonamento Azure.
Nella sezione Seleziona le località Azure dalle quali raccogliere i dati, seleziona facoltativamente una o più località Microsoft Azure da cui raccogliere i dati. Lascia vuoto questo campo per raccogliere i dati da tutte le località. Quando selezioni una località dal menu, le località deselezionate vengono escluse.
Le impostazioni consigliate sono Rileva automaticamente i tuoi abbonamenti Azure e utilizza tutte le località di Microsoft Azure.
Fai clic su Avanti. Si apre la pagina Connetti ad Azure.
Lascia aperta la pagina Connetti a Azure e vai a Configurare l'ambiente Microsoft Azure.
Dopo aver configurato Microsoft Azure, tornerai a questa pagina per completare la configurazione del connettore Azure.
Configura l'ambiente Microsoft Azure
Completa una delle seguenti sezioni:
Configurare Microsoft Azure manualmente
La sezione seguente descrive i passaggi manuali di alto livello per configurare l'ambiente Azure che stabilisce la fiducia tra Security Command Center e Microsoft Azure. Questa procedura non è completa. Ogni sezione fornisce link alla documentazione di Microsoft Azure che spiegano come completare l'attività.
Prerequisiti
Assicurati di disporre delle autorizzazioni definite nella sezione Configurare le autorizzazioni in Microsoft Azure.
Assicurati di disporre dell'ID agente di servizio, generato quando hai creato il connettore Azure di Security Command Center.
Passaggio 1: crea un'identità gestita assegnata dall'utente in un gruppo di risorse
Segui i passaggi descritti in Gestire le identità gestite assegnate dall'utente per creare l'identità gestita assegnata dall'utente.
Quando crei l'identità, specifica quanto segue:
- Abbonamento: seleziona l'abbonamento in cui verrà gestita l'identità.
- Gruppo di risorse: specifica il nome del gruppo di risorse,RESOURCE_GROUP_NAME, dove verrà gestita l'identità. Lo hai identificato durante la pianificazione della raccolta dei dati.
- Regione: seleziona una regione, ad esempio
East US. - Nome: inserisci un nome per l'identità gestita assegnata dall'utente, ad esempio
gcp-managed-identity. Sostituisci la variabile USER_ASSIGNED_MANAGED_IDENTITY_NAME con il nome dell'identità, che verrà compilata nei passaggi di questo documento ove richiesto.
Registra le seguenti informazioni. Lo utilizzerai nei passaggi successivi.
- ID client: il valore di 36 caratteri assegnato all'identità.
- ID oggetto (principale): il valore di 36 caratteri assegnato all'identità.
- Nome identità: il valore definito per Nome.
Passaggio 2: crea una credenziale federata per l'identità gestita assegnata dall'utente
Per aggiungere una credenziale federata nell'identità gestita assegnata dall'utente, segui i passaggi descritti in Configurare un'identità gestita assegnata dall'utente per considerare attendibile un provider di identità esterno.
Segui le indicazioni descritte nello scenario Altro emittente e imposta quanto segue:
- Scenario delle credenziali federate: scegli Altro: configura un'identità gestita da un provider OpenID Connect esterno per accedere alle risorse di Microsoft Azure come questa applicazione.
- URL emittente: inserisci
https://accounts.google.com. - Identificatore soggetto: inserisci l'ID agente di servizio generato quando hai creato il connettore Azure di Security Command Center.
- Nome: inserisci un nome per la credenziale federata, ad esempio
gcp-managed-identity-fic. - Segmento di pubblico: inserisci
https://cloud.google.com
Passaggio 3: assegna i ruoli integrati di Microsoft Azure
Segui i passaggi descritti in Assegnare i ruoli di Azure utilizzando il portale di Azure per assegnare i seguenti ruoli integrati di Microsoft Azure all'identità gestita assegnata dall'utente:
- Lettore Vault
- Reader
- Lettore di dati di blob di archiviazione
Concedi questi ruoli nell'ambito del gruppo di gestione principale.
Passaggio 4: assegna i ruoli integrati di Microsoft Entra ID
Segui i passaggi descritti in Assegnare i ruoli di Microsoft Entra agli utenti per assegnare i seguenti ruoli integrati di ID Microsoft Entra all'identità gestita assegnata dall'utente:
- Lettori di directory
- Lettore di sicurezza
Al termine, vai alla sezione Completa la configurazione del connettore Azure.
Configurare Microsoft Azure utilizzando Terraform
I seguenti passaggi di alto livello descrivono come utilizzare Terraform per configurare Microsoft Azure. Questa procedura non è completa. Per ulteriori dettagli sull'utilizzo di Terraform per il provisioning delle risorse, consulta la documentazione di Terraform su Azure.
Apri la pagina Connetti a Azure che hai lasciato aperta quando hai creato il connettore Azure.
Fai clic su Scarica modelli Terraform. Verrà scaricato il
azure_terraform.zipfile contenente più file JSON.Accedi a Microsoft Azure, quindi apri Azure Cloud Shell con BASH o Azure PowerShell.
Configura Terraform in base ai criteri della tua organizzazione utilizzando una delle seguenti istruzioni:
Copia il file
azure_terraform.zipnell'ambiente Azure Cloud Shell e poi estrailo. Vedrai i seguenti file:main.tf.json,outputs.tf.json,providers.tf.jsonevariables.tf.json.Creare copie di questi file in una directory separata.
- Crea una nuova directory per testare il codice Terraform di esempio e impostala come directory corrente.
Nella directory appena creata, crea copie dei file JSON estratti con lo stesso nome del file originale:
- Crea un nuovo file denominato
main.tf.json, quindi copia e incolla il codice dal filemain.tf.jsonestratto. - Crea un nuovo file denominato
providers.tf.json, quindi copia e incolla il codice dal fileproviders.tf.jsonestratto. - Crea un nuovo file denominato
outputs.tf.json, quindi copia e incolla il codice dal fileoutputs.tf.jsonestratto. - Crea un nuovo file denominato
variables.tf.json, quindi copia e incolla il codice dal filevariables.tf.jsonestratto.
- Crea un nuovo file denominato
Esegui il comando seguente per inizializzare il deployment di Terraform.
terraform init -upgradeEsegui il comando seguente per creare un piano di esecuzione.
terraform plan -out main.tfplan -var="resource_group_name=RESOURCE_GROUP_NAME" -var="user_assigned_managed_identity_name=USER_ASSIGNED_MANAGED_IDENTITY_NAME"Sostituisci quanto segue:
RESOURCE_GROUP_NAME: il nome del gruppo di risorse Microsoft Azure in cui verrà creata l'identità gestita assegnata dall'utente.USER_ASSIGNED_MANAGED_IDENTITY_NAME: il nome dell'identità gestita assegnata dall'utente da creare. Se non è specificato, il valore predefinito ègoogle-cloud-managed-identity.
Esegui il seguente comando per applicare il piano di esecuzione all'infrastruttura Microsoft Azure.
terraform apply main.tfplanVai alla sezione Completa la configurazione del connettore Azure.
Completa la configurazione del connettore Azure
Assicurati di disporre delle seguenti informazioni sull'identità gestita assegnata dall'utente di Microsoft Azure:
- ID client: il valore di 36 caratteri assegnato all'identità.
- ID oggetto (principale): il valore di 36 caratteri assegnato all'identità.
Per informazioni su come trovare queste informazioni, consulta Elenco delle identità gestite assegnate dall'utente.
Apri la pagina Connetti a Azure che hai lasciato aperta quando hai creato il connettore Azure.
Nella sezione Dettagli dell'identità gestita da Azure, inserisci quanto segue:
- ID client dell'identità gestita: si tratta dell'ID client.
- ID oggetto dell'identità gestita: si tratta dell'ID oggetto (principale).
Fai clic su Continua.
Nella pagina Test connettore, fai clic su Test connettore per verificare che Security Command Center possa connettersi all'ambiente Microsoft Azure.
Se la connessione è riuscita, Google Cloud l'agente di servizio può assumere l'identità gestita assegnata dall'utente di Microsoft Azure e disporre delle autorizzazioni di Microsoft Azure e Microsoft Entra richieste. Se la connessione non va a buon fine, consulta Risolvere gli errori durante il test della connessione.
Fai clic su Salva. Viene visualizzata la pagina Connettori.
Il connettore inizia a eseguire la scansione e a raccogliere i dati dagli abbonamenti e dalle località Azure specificati. Potrebbero essere necessarie fino a 24 ore prima che i risultati vengano visualizzati.
Risolvere gli errori durante il test della connessione
La sezione seguente descrive gli errori che possono verificarsi durante il test della connessione tra Security Command Center e Microsoft Azure e come risolverli.
Errore AZURE_ENABLED_SUBSCRIPTIONS_NOT_FOUND
Il connettore Azure non ha trovato abbonamenti abilitati nel tenant identificato dal campo ID tenant Azure. Verifica quanto segue:
- Se è selezionata l'opzione Aggiungi abbonamenti automaticamente, verifica che il tenant includa gli abbonamenti nello stato
Enablede che non compaiano nel campo Escludi abbonamenti Azure. - Se è selezionata l'opzione Aggiungi abbonamenti singolarmente, verifica che gli abbonamenti specificati abbiano lo stato
Enabled.
Errore AZURE_FAILED_TO_ASSUME_MANAGED_IDENTITY
La connessione non è valida perché l'agente di servizio Google Cloud non può assumere l'identità gestita assegnata dall'utente di Microsoft Azure. Di seguito sono riportate alcune possibili cause:
- L'identità gestita assegnata dall'utente specificata nella connessione non esiste o la configurazione non è corretta.
- All'identità gestita assegnata dall'utente specificata nella connessione potrebbe mancare la credential dell'identità federata richiesta per considerare attendibile l'agente di servizio. Google Cloud
Per risolvere il problema:
- Rivedi le impostazioni quando hai creato l'identità gestita assegnata dall'utente in un gruppo di risorse per assicurarti che esista e che la configurazione sia corretta.
- Esamina le impostazioni definite nella credenziale di identità federata per assicurarti che la configurazione sia corretta.
Errore AZURE_MANAGED_IDENTITY_MISSING_REQUIRED_PERMISSION
La connessione non è valida perché all'identità gestita assegnata dall'utente di Azure manca un ruolo Microsoft Azure o Microsoft Entra obbligatorio. Il messaggio di errore include il ruolo mancante.
Per risolvere il problema, rivedi le impostazioni impostate durante la configurazione dei ruoli integrati di Microsoft Azure e dei ruoli integrati di Microsoft Entra per assicurarti che la configurazione sia corretta.
Errore AZURE_MANAGED_IDENTITY_ASSUMPTION_FAILED_AND_MISSING_REQUIRED_PERMISSION
La connessione non è valida perché l'identità gestita assegnata dall'utente di Microsoft Azure non è stata assunta dall'agente di servizio e, allo stesso tempo, mancano alcuni dei ruoli Microsoft Azure o Microsoft Entra richiesti. Google Cloud
Il messaggio di errore include dettagli sull'ambito che l'identità gestita assegnata dall'utente non è riuscita ad assumere e sui ruoli mancanti.
Per risolvere il problema:
- Esamina le impostazioni assegnate quando hai creato l'identità gestita assegnata dall'utente in un gruppo di risorse per assicurarti che l'identità nella connessione esista e che le impostazioni siano corrette.
- Rivedi le impostazioni impostate durante la configurazione dei ruoli integrati di Microsoft Azure e dei ruoli integrati di Microsoft Entra per assicurarti che la configurazione sia corretta.
Altri suggerimenti per la risoluzione dei problemi
La sezione seguente descrive i comportamenti e i possibili passaggi da seguire.
Il rilevamento viene restituito per una risorsa Azure eliminata
Dopo l'eliminazione di una risorsa Azure, possono essere necessarie fino a 40 ore prima che venga rimossa dal sistema di inventario delle risorse di Security Command Center. Se scegli di risolvere un rilevamento eliminando la risorsa, potresti visualizzare il rilevamento segnalato all'interno di questo periodo di tempo perché la risorsa non è ancora stata rimossa dal sistema di inventario delle risorse di Security Command Center.
Passaggi successivi
Se stai configurando Security Command Center Enterprise per la prima volta, continua con il passaggio 4 della guida alla configurazione nella console.
Puoi anche:
- Esamina e correggi i risultati dai dati di Azure.
- Visualizza le risorse relative ai risultati nella console Security Operations.
- Visualizza le simulazioni del percorso di attacco per le risorse Azure.
- Identifica la conformità delle risorse Azure con vari standard e benchmark.