Connettiti a Microsoft Azure per la raccolta dei dati di configurazione e delle risorse

Puoi connettere il livello Security Command Center Enterprise al tuo ambiente Microsoft Azure per:

  • Attiva il rilevamento dei risultati relativi a errori di configurazione.
  • Identifica i potenziali percorsi di attacco da internet pubblico alle tue risorse Microsoft Azure di alto valore.
  • Mappa la conformità delle risorse Microsoft Azure a vari standard e benchmark.

La connessione da Security Command Center a Microsoft Azure crea un'unica posizione in cui il tuo team può gestire e correggere le configurazioni errate sia in Google Cloud che in Azure.

Configura una connessione di trust tra Security Command Center e Azure utilizzando un Google Cloud agente di servizio e un'identità gestita assegnata dall'utente di Microsoft Azure con accesso alle risorse Azure che vuoi monitorare. Gestisci e controlla la configurazione dell'attendibilità nel tuo ambiente Microsoft Azure.

Puoi creare una connessione Azure per ogni organizzazione Google Cloud .

Security Command Center utilizza questa connessione per raccogliere periodicamente dati sulle risorse Microsoft Azure che definisci. Questi dati vengono gestiti allo stesso modo dei Dati di servizio, come indicato nell'Informativa sulla privacy di Google Cloud. Il connettore utilizza chiamate API per raccogliere i dati delle risorse Azure. Queste chiamate API potrebbero comportare costi per Microsoft Azure.

Durante una scansione, la pipeline di raccolta dei dati dipende dall'agente del servizio per l'autenticazione nell'ambiente Microsoft Azure utilizzando l'identità gestita assegnata dall'utente.

Il seguente diagramma mostra come viene stabilita l'attendibilità tra Security Command Center e Azure.

Configurazione di Azure e Security Command Center.

Questo documento descrive come configurare la connessione con Microsoft Azure. A livello generale, i passaggi sono i seguenti:

  1. Esegui i passaggi preliminari descritti in Prima di iniziare.

  2. Crea il connettore Azure e configura gli abbonamenti e le posizioni da analizzare. Per eseguire questi passaggi, devi disporre dell'ID tenant di Microsoft Azure. Viene creato l'ID agente di servizio.

  3. Configura l'ambiente Azure per creare un'identità gestita assegnata dall'utente dedicata con i seguenti ruoli:

    • Lettore nell'ambito del gruppo di gestione radice di Microsoft Azure per leggere risorse, abbonamenti e gerarchia del gruppo di gestione.

    • Lettore Key Vault nell'ambito del gruppo di gestione radice di Microsoft Azure per leggere i metadati relativi a key vault e certificati, chiavi e secret correlati.

    • Lettore dati BLOB di archiviazione nell'ambito del gruppo di gestione radice di Microsoft Azure per leggere i metadati sulle risorse. Concedi questo ruolo se prevedi di attivare l'opzione Concedi le autorizzazioni per il rilevamento Sensitive Data Protection quando configuri il connettore Azure.

    • Lettori della directory in Microsoft Entra ID per leggere gruppi e iscrizioni.

    • Lettore della sicurezza in Microsoft Entra ID per leggere i criteri di autorizzazione.

    Il nome visualizzato predefinito per il gruppo di gestione radice è Tenant root group.

    Queste autorizzazioni sono necessarie a Security Command Center per identificare i gruppi di gestione, i gruppi con appartenenze e le definizioni dei ruoli, che si trovano a un livello superiore rispetto agli abbonamenti nella gerarchia delle risorse.

    Configura anche una credenziale di identità federata per l'identità gestita assegnata dall'utente utilizzando le informazioni sull'agente di servizio.

    Puoi eseguire i passaggi manualmente o utilizzare Terraform. Hai bisogno dell'ID agente di servizio quando esegui i passaggi manualmente.

  4. Completa la configurazione del connettore Azure e testa la connessione. Per eseguire questi passaggi, utilizza le informazioni sull'identità gestita assegnata dall'utente.

Il connettore Azure non importa i log Azure necessari per le funzionalità di rilevamento curate SIEM in Security Command Center Enterprise. Per queste informazioni, vedi Connettersi a Microsoft Azure per la raccolta dei dati di log.

Prima di iniziare

Le sezioni seguenti descrivono i prerequisiti, le decisioni e le informazioni necessari prima di configurare la connessione tra Security Command Center e Microsoft Azure.

Esaminare le funzionalità di Microsoft Azure

Assicurati di avere familiarità con i seguenti concetti e funzionalità di Microsoft Azure:

Pianificare la raccolta dei dati

Quando pianifichi la strategia di raccolta dei dati: Queste informazioni sono necessarie per eseguire i passaggi descritti in questo documento.

  • Crea o identifica il gruppo di risorse in cui creerai l'identità gestita definita dall'utente. Il nome del gruppo di risorse è necessario durante la configurazione.

    Sostituisci la variabile RESOURCE_GROUP_NAME con il nome del gruppo di risorse per compilare il valore nei passaggi successivi di questo documento.

  • Identifica le risorse per le quali vuoi raccogliere i dati. Se prevedi di raccogliere dati solo da abbonamenti o regioni specifici, identificali e registrali durante la pianificazione.

    Puoi anche configurare il connettore Azure per rilevare automaticamente le risorse in tutti gli abbonamenti e le regioni.

Configurare le autorizzazioni in Google Cloud

In Google Cloud, per creare e gestire una connessione ai provider di servizi cloud di terze parti, devi disporre del ruolo Proprietario asset cloud (roles/cloudasset.owner) nell'organizzazione. Per ulteriori informazioni sulla concessione dei ruoli, consulta Gestire l'accesso.

Configurare le autorizzazioni in Microsoft Azure

Per eseguire i passaggi descritti in Configurare Microsoft Azure manualmente o Configurare Microsoft Azure utilizzando Terraform, devi disporre di un'identità Azure con almeno un gruppo di risorse creato, oltre alle seguenti autorizzazioni per configurare i criteri IAM per Microsoft Azure e Microsoft Entra.

  • Autorizzazione Microsoft.Authorization/roleAssignments/write nell'ambito del gruppo di gestione radice. Questa opzione è disponibile in uno dei seguenti ruoli integrati: Amministratore del controllo dell'accesso basato sui ruoli o Amministratore accesso utente.

  • Le seguenti autorizzazioni nell'ambito di un gruppo di risorse in cui verrà creata l'identità gestita assegnata dall'utente:

    • Microsoft.ManagedIdentity/userAssignedIdentities/write
    • Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/write

    Queste sono disponibili nel ruolo Collaboratore identità gestita integrato.

  • L'autorizzazione Microsoft Entra, microsoft.directory/roleAssignments/allProperties/allTasks. Questa opzione è disponibile nel ruolo integrato di Microsoft Entra Amministratore dei ruoli con privilegi.

Devi disporre dell'accesso con privilegi per impostare le autorizzazioni nell'ambito del gruppo di gestione radice. Consulta Aumentare l'accesso per gestire tutti i gruppi di gestione e le sottoscrizioni Azure per i passaggi per aumentare l'accesso per un amministratore globale.

Abilita e configura il connettore Azure di Security Command Center

Per creare e configurare il connettore Azure:

  1. Assicurati di disporre delle autorizzazioni definite nella sezione Configurare le autorizzazioni in Google Cloud.

  2. Assicurati di avere l'ID tenant di Microsoft Azure di 36 caratteri.

  3. Apri la scheda Connettori nella pagina Impostazioni.

    Vai a Connettori

  4. Seleziona l'organizzazione in cui hai attivato Security Command Center Enterprise.

  5. Fai clic su Aggiungi connettore > Microsoft Azure.

  6. Nella pagina Configura connettore, inserisci l'ID tenant Azure.

  7. Per consentire a Sensitive Data Protection di profilare i tuoi dati Azure, mantieni selezionata l'opzione Concedi le autorizzazioni per il rilevamento Sensitive Data Protection. Questa opzione aggiunge il ruolo Lettore di dati BLOB di archiviazione nel modello Terraform per l'identità gestita definita dall'utente.

  8. Seleziona una delle seguenti opzioni:

    • Aggiungi abbonamenti automaticamente: Security Command Center rileverà e includerà automaticamente gli abbonamenti. Se vuoi, puoi escludere la raccolta degli ID abbonamento aggiungendoli al campo Escludi abbonamenti Azure.
    • Aggiungi abbonamenti singolarmente: Security Command Center non rileverà automaticamente gli abbonamenti. Devi definire almeno un abbonamento utilizzando il campo Aggiungi abbonamento Azure.

  9. Nella sezione Seleziona le località Azure dalle quali raccogliere i dati, seleziona facoltativamente una o più località Microsoft Azure dalle quali raccogliere i dati. Lascia vuoto questo campo per raccogliere dati da tutte le località. Quando selezioni una località dal menu, le località deselezionate vengono escluse.

    Le impostazioni consigliate sono Rileva automaticamente gli abbonamenti Azure e utilizza tutte le posizioni di Microsoft Azure.

  10. Fai clic su Avanti. Si apre la pagina Connetti ad Azure.

  11. Lascia aperta la pagina Connetti ad Azure e continua con Configurare l'ambiente Microsoft Azure.

    Dopo aver configurato Microsoft Azure, tornerai a questa pagina per completare la configurazione del connettore Azure.

Configura l'ambiente Microsoft Azure

Completa una delle seguenti sezioni:

Configurare Microsoft Azure manualmente

La sezione seguente descrive i passaggi manuali di alto livello per configurare l'ambiente Azure che stabilisce l'attendibilità tra Security Command Center e Microsoft Azure. Questa procedura non è esaustiva. Ogni sezione fornisce link alla documentazione di Microsoft Azure che spiega come eseguire l'attività.

Prerequisiti

Passaggio 1: crea un'identità gestita assegnata dall'utente in un gruppo di risorse

  1. Segui i passaggi descritti in Gestire le identità gestite assegnate dall'utente per creare l'identità gestita assegnata dall'utente.

    Quando crei l'identità, specifica quanto segue:

    • Abbonamento: seleziona l'abbonamento in cui verrà gestita l'identità.
    • Gruppo di risorse: specifica il nome del gruppo di risorse, RESOURCE_GROUP_NAME, in cui verrà gestita l'identità. Lo hai identificato durante la pianificazione della raccolta dei dati.
    • Regione: seleziona una regione, ad esempio East US.
    • Nome: inserisci un nome per l'identità gestita assegnata dall'utente, ad esempio: gcp-managed-identity. Sostituisci la variabile USER_ASSIGNED_MANAGED_IDENTITY_NAME con il nome dell'identità e verrà compilata nei passaggi di questo documento in cui è richiesta.

  2. Registra le seguenti informazioni. Lo utilizzerai nei passaggi successivi.

    • ID client: il valore di 36 caratteri assegnato all'identità.
    • ID oggetto (entità): il valore di 36 caratteri assegnato all'identità.
    • Nome identità: il valore che hai definito per Nome.

Passaggio 2: crea una credenziale federata per l'identità gestita assegnata dall'utente

Per aggiungere una credenziale federata nell'identità gestita assegnata dall'utente, segui i passaggi descritti in Configurare un'identità gestita assegnata dall'utente in modo che consideri attendibile un provider di identità esterno.

Utilizza le indicazioni descritte nello Scenario di altro emittente e imposta quanto segue:

  • Scenario delle credenziali federate: scegli Altro: configura un'identità gestita da un provider OpenID Connect esterno per accedere alle risorse Microsoft Azure come questa applicazione.
  • URL emittente: inserisci https://accounts.google.com.
  • Identificatore soggetto: inserisci l'ID agente di servizio generato quando hai creato il connettore Azure di Security Command Center.
  • Nome: inserisci un nome per la credenziale federata, ad esempio gcp-managed-identity-fic.
  • Pubblico: inserisci https://cloud.google.com

Passaggio 3: assegna i ruoli predefiniti di Microsoft Azure

Segui i passaggi descritti in Assegnare ruoli Azure utilizzando il portale Azure per assegnare i seguenti ruoli predefiniti di Microsoft Azure all'identità gestita assegnata dall'utente:

  • Vault Reader
  • Reader
  • Storage Blob Data Reader

Concedi questi ruoli nell'ambito del gruppo di gestione radice.

Passaggio 4: assegna i ruoli integrati di Microsoft Entra ID

Segui i passaggi descritti in Assegnare ruoli Microsoft Entra agli utenti per assegnare i seguenti ruoli integrati di Microsoft Entra ID all'identità gestita assegnata dall'utente:

  • Lettori di directory
  • Lettore sicurezza

Al termine, continua con la sezione Completa la configurazione del connettore Azure.

Configura Microsoft Azure utilizzando Terraform

I seguenti passaggi di alto livello descrivono come utilizzare Terraform per configurare Microsoft Azure. Questa procedura non è esaustiva. Per maggiori dettagli sull'utilizzo di Terraform per il provisioning delle risorse, consulta la documentazione di Terraform su Azure.

  1. Apri la pagina Connetti ad Azure che hai lasciato aperta quando hai creato il connettore Azure.

  2. Fai clic su Scarica modelli Terraform. Viene scaricato il file azure_terraform.zip contenente più file JSON.

  3. Accedi a Microsoft Azure, quindi apri Azure Cloud Shell con BASH o Azure PowerShell.

  4. Configura Terraform in base alle norme della tua organizzazione utilizzando una delle seguenti istruzioni:

  5. Copia il file azure_terraform.zip nell'ambiente Azure Cloud Shell e poi estrai i contenuti. Vedrai i seguenti file: main.tf.json, outputs.tf.json, providers.tf.json e variables.tf.json.

  6. Crea copie di questi file in una directory separata.

    1. Crea una nuova directory per testare il codice Terraform di esempio e impostala come directory corrente.

    2. Nella directory appena creata, crea copie dei file JSON estratti con lo stesso nome del file originale:

      • Crea un nuovo file denominato main.tf.json, quindi copia e incolla il codice dal file main.tf.json estratto.
      • Crea un nuovo file denominato providers.tf.json, quindi copia e incolla il codice dal file providers.tf.json estratto.
      • Crea un nuovo file denominato outputs.tf.json, quindi copia e incolla il codice dal file outputs.tf.json estratto.
      • Crea un nuovo file denominato variables.tf.json, quindi copia e incolla il codice dal file variables.tf.json estratto.

  7. Esegui questo comando per inizializzare il deployment di Terraform.

    terraform init -upgrade

  8. Esegui il comando seguente per creare un piano di esecuzione.

    terraform plan -out main.tfplan -var="resource_group_name=RESOURCE_GROUP_NAME" -var="user_assigned_managed_identity_name=USER_ASSIGNED_MANAGED_IDENTITY_NAME"

    Sostituisci quanto segue:

    • RESOURCE_GROUP_NAME: il nome del gruppo di risorse Microsoft Azure in cui verrà creata l'identità gestita assegnata dall'utente.
    • USER_ASSIGNED_MANAGED_IDENTITY_NAME: il nome dell'identità gestita assegnata dall'utente da creare. Se non è specificato, il valore predefinito è google-cloud-managed-identity.

  9. Esegui questo comando per applicare il piano di esecuzione all'infrastruttura Microsoft Azure.

    terraform apply main.tfplan

  10. Continua con la sezione Completa la configurazione del connettore Azure.

Completare la configurazione del connettore Azure

  1. Assicurati di avere le seguenti informazioni sull'identità gestita assegnata dall'utente di Microsoft Azure:

    • ID client: il valore di 36 caratteri assegnato all'identità.
    • ID oggetto (entità): il valore di 36 caratteri assegnato all'identità.

    Per informazioni su come trovare queste informazioni, vedi Elencare le identità gestite assegnate dall'utente.

  2. Apri la pagina Connetti ad Azure che hai lasciato aperta quando hai creato il connettore Azure.

  3. Nella sezione Dettagli dell'identità gestita da Azure, inserisci quanto segue:

    • ID client dell'identità gestita: questo è l'ID client.
    • ID oggetto dell'identità gestita: questo è l'ID oggetto (entità di sicurezza).

  4. Fai clic su Continua.

  5. Nella pagina Test connector (Prova connettore), fai clic su Test Connector (Prova connettore) per verificare che Security Command Center possa connettersi all'ambiente Microsoft Azure.

    Se la connessione va a buon fine, Google Cloud l'agente di servizio può assumere l'identità gestita assegnata dall'utente Microsoft Azure e dispone delle autorizzazioni Microsoft Azure e Microsoft Entra richieste. Se la connessione non va a buon fine, vedi Risoluzione degli errori durante il test della connessione.

  6. Fai clic su Salva. Viene visualizzata la pagina Connettori.

Il connettore inizia a eseguire la scansione e a raccogliere i dati dagli abbonamenti e dalle località Azure che hai specificato. Potrebbero essere necessarie fino a 24 ore prima che vengano visualizzati i risultati.

Risoluzione degli errori durante il test della connessione

La sezione seguente descrive gli errori che possono verificarsi quando testi la connessione tra Security Command Center e Microsoft Azure e come risolverli.

Errore AZURE_ENABLED_SUBSCRIPTIONS_NOT_FOUND

Il connettore Azure non ha trovato abbonamenti abilitati nel tenant identificato dal campo ID tenant Azure. Controlla quanto segue:

  • Se è selezionata l'opzione Aggiungi automaticamente gli abbonamenti, verifica che il tenant includa abbonamenti con stato Enabled e che non vengano visualizzati nel campo Escludi abbonamenti Azure.
  • Se è selezionata l'opzione Aggiungi abbonamenti singolarmente, verifica che gli abbonamenti specificati abbiano lo stato Enabled.

Errore AZURE_FAILED_TO_ASSUME_MANAGED_IDENTITY

La connessione non è valida perché l'identità gestita assegnata dall'utente di Microsoft Azure non può essere assunta dall'agente di servizio Google Cloud . Di seguito sono riportate alcune possibili cause:

  • L'identità gestita assegnata dall'utente specificata nella connessione non esiste o la configurazione non è corretta.
  • L'identità gestita assegnata dall'utente specificata nella connessione potrebbe non avere le credenziali di identità federata necessarie per considerare attendibile l'agente di servizio Google Cloud .

Per risolvere il problema:

Errore AZURE_MANAGED_IDENTITY_MISSING_REQUIRED_PERMISSION

La connessione non è valida perché l'identità gestita assegnata dall'utente di Azure non dispone di un ruolo Microsoft Azure o Microsoft Entra obbligatorio. Il messaggio di errore include il ruolo mancante.

Per risolvere il problema, esamina le impostazioni configurate quando hai configurato i ruoli integrati di Microsoft Azure e i ruoli integrati di Microsoft Entra per assicurarti che la configurazione sia corretta.

Errore AZURE_MANAGED_IDENTITY_ASSUMPTION_FAILED_AND_MISSING_REQUIRED_PERMISSION

La connessione non è valida perché l'identità gestita assegnata dall'utente di Microsoft Azure non è stata assunta dall agente di servizio e, contemporaneamente, mancano alcuni dei ruoli Microsoft Azure o Microsoft Entra richiesti. Google Cloud

Il messaggio di errore include dettagli sull'ambito che l'identità gestita assegnata dall'utente non è riuscita ad assumere e sui ruoli mancanti.

Per risolvere il problema:

Altri suggerimenti per la risoluzione dei problemi

La sezione seguente descrive i comportamenti e i possibili passaggi da intraprendere.

Il risultato viene restituito per una risorsa Azure eliminata

Dopo l'eliminazione di una risorsa Azure, possono essere necessarie fino a 40 ore prima che venga rimossa dal sistema di inventario degli asset di Security Command Center. Se scegli di risolvere un problema eliminando la risorsa, potresti visualizzare il problema segnalato entro questo periodo di tempo perché l'asset non è ancora stato rimosso dal sistema di inventario degli asset di Security Command Center.

Passaggi successivi