Google Cloud のプロジェクトを Microsoft Defender for Cloud へ接続後にセキュリティチェックを行う方法

Google Cloud のプロジェクトを Microsoft Defender for Cloud へ接続後にセキュリティチェックを行う方法

Google Cloud のプロジェクトを Microsoft Defender for Cloud へ接続する方法とセキュリティチェックを行う方法について解説します
#Microsoft Azure
#Microsoft Defender for Cloud
にしざわ

にしざわ

facebook logohatena logotwitter logo
Clock Icon2024.07.07

はじめに

Microsoft Defender for Cloud (以下、DfC) では、Azure はもちろん、AWS や Google Cloud のセキュリティチェックを行うことができます。本記事では、Azure と Google Cloud を接続する方法およびセキュリティチェックの方法について解説します。

手順

参考

GCP プロジェクトに接続する - Microsoft Defender for Cloud | Microsoft Learn

詳細手順

  1. Azure Portal から DfC の「環境設定」ブレードを開き、「環境の追加」をクリック
  2. リストの中から「Google Cloud Platform」をクリック
    1
  3. 「GCP プロジェクトの追加」画面から各フォームを入力
    本フォームはすべての内容が必須項目ですが、特に迷う項目はないと思います。「オンボード」の項目は、Google Cloud と接続する単位として「組織」か「プロジェクト」の単位を選択します。今回はプロジェクト単位で設定しますが、「組織」単位で接続することにより、一つ一つのプロジェクトに対して設定せずに済みます。また、特定のプロジェクト番号を除外することもできます。
    2
    ※「GCP プロジェクト番号」と「GCP プロジェクト ID」について補足すると、Google Cloud コンソールのトップ画面(プロジェクトは選択済み)に表示される番号を指定します。
    3
  4. 使用するプランを選択
    今回は検証目的のため、無料で使用できる「Foundational CSPM」のみを有効化します。
    4
  5. Google Cloud コンソールで実行するスクリプトをコピー
    本手順ではスクリプトを使用しますが、Terraform も選択可能です。
    5
  6. Google Cloud の Cloud Shell にてコピーしたスクリプトを実行
    本手順では、Google Cloud コンソールのトップ画面から Cloud Shell を起動し、コピーしたスクリプトを実行します。
    なお、実行前に、Goolge Cloud コンソールが、Azure と接続するプロジェクトであることを確認してください。
    6
    ※ドキュメントの注意事項にも記載がありますが、以下の API を有効化していない場合は、スクリプトの実行時に承認が求められます。内容に問題なければ「承認」をクリックしてください。
    • iam.googleapis.com
    • sts.googleapis.com
    • cloudresourcemanager.googleapis.com
    • iamcredentials.googleapis.com
    • compute.googleapis.com
      7
  7. Azure Portal に戻り、最後の画面(レビューと作成)に進む
    画面下部の「次へ:レビューと生成 >」をクリックします。
    8
  8. 接続作成前の最終確認を行う
    内容に問題がなければ、画面下部の「作成」をクリックします。もし、内容を変更したい場合は、前の画面へ戻って設定し直してください。
    9
  9. Google Cloud のプロジェクトと正常に接続できたことを確認する
    しばらく待つと、「環境設定」画面に Google Cloud のプロジェクト番号とコネクタ名、「接続性の状態」が「接続済み」と表示されます。
    10
    また、DfC のトップ画面である「概要」ページでも、Google Cloud のセキュリティスコアを取得できていることが確認できます。
    ※推奨事項は「Foundational CSPM」プランに含まれていますが、優先順位(優先度・高 など)は「Defender CSPM」プランに含まれます。そのため、以下の画面から優先順位は確認できません(黄色の枠線内)。
    11
  10. セキュリティポリシーを確認する
    「Foundational CSPM」プランのみを有効化した状態で使用できるセキュリティポリシーは、以下の 2 点です。
    • GCP Default
    • Microsoft cloud security banchmark
      12
  11. Azure で Google Cloud の推奨事項を取得できるかテストする
    セキュリティポリシー:Microsoft cloud security benchmark に含まれる ファイアウォールをパブリック アクセスに対してオープンに構成しないでください を確認してみます。
    テストのために、Google Cloud 側でインターネットに開放された VPC ファイアウォール(test-fw)を作成しておきます。
    13
    その後、「推奨事項(プレビュー)」ブレードを確認します。すると、推奨名は英語表示になってしまっていますが、テスト用リソースを検知していることが確認できます。
    14
    なお、推奨名をクリックすると、詳細画面に遷移し、推奨事項の具体的な内容や修復方法をみることができます。
    15

以上で、Google Cloud との接続方法とセキュリティチェック方法について確認できました。
今回有効化したのは「Foundational CSPM」プランのみだったため、確認できる内容に制限がありましたが、今後は有償プランも検証していきます。

Azure と AWS を接続する方法

DevelopersIO には、Azure と AWS を接続する方法について解説した記事もございます。
目的に応じて、こちらも参照ください。

Microsoft Defender for CloudでAWSのセキュリティチェックをやってみる(2023年5月版)

アノテーション株式会社について

アノテーション株式会社はクラスメソッドグループのオペレーション専門特化企業です。サポート・運用・開発保守・情シス・バックオフィスの専門チームが、最新 IT テクノロジー、高い技術力、蓄積されたノウハウをフル活用し、お客様の課題解決を行っています。当社は様々な職種でメンバーを募集しています。「オペレーション・エクセレンス」と「らしく働く、らしく生きる」を共に実現するカルチャー・しくみ・働き方にご興味がある方は、アノテーション株式会社 採用サイト をぜひご覧ください。

この記事をシェアする

facebook logohatena logotwitter logo

関連記事

Azure リソースグループに付与したタグ別に利用料金を確認するために Cost Management のタグの継承機能を利用してみた

Azure リソースグループに付与したタグ別に利用料金を確認するために Cost Management のタグの継承機能を利用してみた

User avatar
yhana
2024.09.28
Azure のコストアラートを予算の割合に応じて段階的に通知する設定を試してみた

Azure のコストアラートを予算の割合に応じて段階的に通知する設定を試してみた

User avatar
yhana
2024.08.30
Azure Monitor ログの基本プランの制限が緩和されたので既存テーブルの設定を変更してみた

Azure Monitor ログの基本プランの制限が緩和されたので既存テーブルの設定を変更してみた

User avatar
いわさ
2024.08.12
Azure Load Balancer で「管理者の状態」という機能がプレビュー利用出来るようになっていたので使ってみた

Azure Load Balancer で「管理者の状態」という機能がプレビュー利用出来るようになっていたので使ってみた

User avatar
いわさ
2024.08.05
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.