« 开始使用 GCP 的 CSPM CSPM 权限要求 »
Elastic 文档 Elastic 安全解决方案 [8.17] 云安全 云安全态势管理

开始使用 Azure 的 CSPM

编辑

开始使用 Azure 的 CSPM

编辑

概述

编辑

本页介绍如何使用云安全态势管理 (CSPM) 功能开始监控云资产的安全态势。

要求

  • 最低权限因您是否需要读取、写入或管理 CSPM 数据和集成而异。请参阅 CSPM 权限要求
  • 所有 Elastic Cloud 用户都可以使用 CSPM 集成。本地部署需要 企业版订阅
  • CSPM 仅在 默认 Kibana 空间中工作。在不同的 Kibana 空间安装 CSPM 集成将无法工作。
  • CSPM 仅在 AWS、GCP 和 Azure 商业云平台以及 AWS GovCloud 上受支持。不支持其他政府云平台。单击此处请求支持
  • 在 Azure 中授予 CSPM 集成权限的用户必须是 Azure 订阅管理员

设置 Azure 的 CSPM

编辑

您可以通过注册包含多个订阅的 Azure 组织(管理组),或者通过注册单个订阅来设置 Azure 的 CSPM。无论哪种方式,首先添加 CSPM 集成,然后启用云账户访问权限。有两种部署技术可用:无代理和基于代理。无代理部署 允许您收集云态势数据,而无需管理云中代理的部署。基于代理的部署 要求您在要监控的云帐户中部署和管理代理。

无代理部署

编辑

此功能处于测试阶段,可能会发生变化。其设计和代码不如正式 GA 功能成熟,并按原样提供,不提供任何保证。测试版功能不受官方 GA 功能的支持 SLA 约束。

  1. 在导航菜单中查找 集成,或使用 全局搜索字段
  2. 搜索 CSPM,然后单击结果。
  3. 单击 添加云安全态势管理 (CSPM)
  4. 选择 Azure,然后选择 Azure 组织 以载入整个组织,或选择 单个订阅 以载入单个订阅。
  5. 为您的集成命名,该名称应与您要监控的 Azure 订阅/组织的目的或团队相匹配,例如 dev-azure-account
  6. 单击 高级选项,然后选择 无代理 (BETA)
  7. 接下来,您需要通过提供 客户端 ID租户 ID客户端密钥 来验证 Azure 身份。要了解如何生成它们,请参阅 具有客户端密钥的服务主体
  8. 在您提供了必要的凭据后,单击 保存并继续 以完成部署。您的数据应该在几分钟内开始显示。

基于代理的部署

编辑
添加您的 CSPM 集成
编辑
  1. 在导航菜单中查找 集成,或使用 全局搜索字段
  2. 搜索 CSPM,然后单击结果。
  3. 单击 添加云安全态势管理 (CSPM)
  4. 配置集成 下,选择 Azure,然后根据您要监控的资源,选择 Azure 组织单个订阅
  5. 为您的集成命名,该名称应与您要监控的 Azure 资源的目的或团队相匹配,例如 azure-CSPM-dev-1
设置云帐户访问权限
编辑

要为 Azure 组织或订阅设置 CSPM,您将需要该组织或订阅的管理员权限。

对于大多数用户来说,最简单的选项是使用 Azure 资源管理器 (ARM) 模板自动在 Azure 中预配必要的资源和权限。如果您喜欢更亲力亲为的方法,或需要 ARM 模板不支持的特定配置,您可以使用下面描述的手动设置选项之一。

ARM 模板设置(推荐)

编辑

如果您正在部署到 Azure 组织,您需要以下权限:Microsoft.Resources/deployments/*Microsoft.Authorization/roleAssignments/write。您还需要 提升访问权限以管理所有 Azure 订阅和管理组

  1. 设置访问权限 下,选择 ARM 模板

  2. 将此集成添加到哪里

    1. 选择 新主机
    2. 为 Elastic Agent 策略命名。使用与您要监控的资源匹配的名称。例如,azure-dev-policy。单击 保存并继续ARM 模板部署窗口出现。
    3. 在一个新选项卡中,登录到 Azure 门户,然后返回到 Kibana 并单击 启动 ARM 模板。这将在 Azure 中打开 ARM 模板。
    4. 如果您正在部署到 Azure 组织,请从下拉菜单中选择您要监控的管理组。接下来,输入您要部署将扫描您的资源的 VM 的订阅 ID。
    5. 将 Kibana 中显示的 Fleet URL注册令牌 复制到 ARM 模板中的相应字段,然后单击 查看 + 创建
    6. (可选)更改 资源组名称 参数。否则,资源组的名称默认为前缀为 cloudbeat- 的时间戳。
  3. 返回到 Kibana 并等待确认从您的新集成接收到的数据。然后,您可以单击 查看资产 来查看您的数据。

手动设置

编辑

对于手动设置,有多种身份验证方法可用

  • 托管标识(推荐)
  • 具有客户端密钥的服务主体
  • 具有客户端证书的服务主体
选项 1:托管标识(推荐)
编辑

此方法涉及创建 Azure VM(或使用现有的 VM),授予其对您要使用 CSPM 监控的资源的读取访问权限,并在其上安装 Elastic Agent。

  1. 转到 Azure 门户以 创建新的 Azure VM
  2. 按照设置过程,并确保在 管理 选项卡下启用 系统分配的托管标识
  3. 转到您的 Azure 订阅列表,然后选择您要使用 CSPM 监控的订阅或管理组。
  4. 转到 访问控制 (IAM),然后选择 添加角色分配
  5. 选择 读取者 功能角色,将访问权限分配给 托管标识,然后选择您的 VM。

在分配角色后

  1. 返回到 Kibana 中的 添加 CSPM 页面。
  2. 配置集成 下,选择 Azure。在 设置访问权限 下,选择 手动
  3. 将此集成添加到哪里 下,选择 新主机
  4. 单击 保存并继续,然后按照说明在您的 Azure VM 上安装 Elastic Agent。

等待确认 Kibana 收到了来自您新集成的数据。然后,您可以单击 查看资产 来查看您的数据。

选项 2:具有客户端密钥的服务主体
编辑

在使用此方法之前,您必须设置一个 可以访问资源的 Microsoft Entra 应用程序和服务主体

  1. 添加云安全态势管理 (CSPM) 集成 页面上,滚动到 设置访问权限 部分,然后选择 手动
  2. 首选手动方法 下,选择 具有客户端密钥的服务主体
  3. 转到 Microsoft Entra ID注册的应用程序 部分。
  4. 单击 新建注册,为您的应用程序命名,然后单击 注册
  5. 复制您新应用程序的 目录(租户)ID应用程序(客户端)ID。将其粘贴到 Kibana 中的相应字段。
  6. 返回到 Azure 门户。选择 证书和机密,然后转到 客户端机密 选项卡。单击 新建客户端机密
  7. 复制新的机密。将其粘贴到 Kibana 中的相应字段。
  8. 返回到 Azure。转到您的 Azure 订阅列表,然后选择您要使用 CSPM 监控的订阅或管理组。
  9. 转到 访问控制 (IAM),然后选择 添加角色分配
  10. 选择 读取者 功能角色,将访问权限分配给 用户、组或服务主体,然后选择您的新应用程序。
  11. 返回到 Kibana 中的 添加 CSPM 页面。
  12. 将此集成添加到哪里 下,选择 新主机
  13. 单击 保存并继续,然后按照说明在您选择的主机上安装 Elastic Agent。

等待确认 Kibana 收到了来自您新集成的数据。然后,您可以单击 查看资产 来查看您的数据。

选项 3:具有客户端证书的服务主体
编辑

在使用此方法之前,您必须设置一个 可以访问资源的 Microsoft Entra 应用程序和服务主体

  1. 添加云安全态势管理 (CSPM) 集成 页面上的 设置访问权限 下,选择 手动
  2. 首选手动方法 下,选择 具有客户端证书的服务主体
  3. 转到 Microsoft Entra ID注册的应用程序 部分。
  4. 单击 新建注册,为您的应用程序命名,然后单击 注册
  5. 复制您新应用程序的 目录(租户)ID应用程序(客户端)ID。将其粘贴到 Kibana 中的相应字段。
  6. 返回到 Azure。转到您的 Azure 订阅列表,然后选择您要使用 CSPM 监控的订阅或管理组。
  7. 转到 访问控制 (IAM),然后选择 添加角色分配
  8. 选择 读取者 功能角色,将访问权限分配给 用户、组或服务主体,然后选择您的新应用程序。

接下来,创建证书。如果您打算使用受密码保护的证书,则必须使用 pkcs12 证书。否则,您必须使用 pem 证书。

创建一个 pkcs12 证书,例如

# Create PEM file
openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -days 365 -nodes

# Create pkcs12 bundle using legacy flag (CLI will ask for export password)
openssl pkcs12 -legacy -export -out bundle.p12 -inkey key.pem -in cert.pem

创建一个 PEM 证书,例如

# Generate certificate signing request (csr) and key
openssl req -new -newkey rsa:4096 -nodes -keyout cert.key -out cert.csr

# Generate PEM and self-sign with key
openssl x509 -req -sha256 -days 365 -in cert.csr -signkey cert.key -out signed.pem

# Create bundle
cat cert.key > bundle.pem
cat signed.pem >> bundle.pem

在创建证书后

  1. 返回到 Azure。
  2. 导航到 证书和机密 菜单。选择 证书 选项卡。

  3. 单击 上传证书

    1. 如果您使用的是使用上面示例命令创建的 PEM 证书,请上传 signed.pem
    2. 如果您使用的是使用上面示例命令创建的 pkcs12 证书,请上传 cert.pem

  4. 将证书包上传到您将部署 Elastic Agent 的虚拟机上。

    1. 如果您使用的是使用上述示例命令创建的 PEM 证书,请上传 bundle.pem
    2. 如果您使用的是使用上述示例命令创建的 pkcs12 证书,请上传 bundle.p12
  5. 返回到 Kibana 中的 添加 CSPM 页面。
  6. 对于客户端证书路径,请输入您上传到将安装 Elastic Agent 的主机上的证书的完整路径。
  7. 如果您使用了 pkcs12 证书,请在客户端证书密码下输入其密码。
  8. 将此集成添加到哪里 下,选择 新主机
  9. 单击 保存并继续,然后按照说明在您选择的主机上安装 Elastic Agent。

等待确认 Kibana 收到了来自您新集成的数据。然后,您可以单击 查看资产 来查看您的数据。

« 开始使用 GCP 的 CSPM CSPM 权限要求 »