Určení závislostí s více cloudy
Tento článek je jednou z řad, která poskytuje pokyny při návrhu řešení správy stavu zabezpečení cloudu (CSPM) a ochrany cloudových úloh (CWP) napříč multicloudovými prostředky pomocí Microsoft Defenderu pro cloud.
Goal
Zjistěte závislosti, které můžou ovlivnit váš návrh ve více cloudech.
Začínáme
Při návrhu vícecloudového řešení je důležité mít jasný přehled o komponentách potřebných k používání všech funkcí multicloudu v programu Defender for Cloud.
CSPM
Defender for Cloud poskytuje funkce správy stavu cloudu (CSPM) pro úlohy AWS a GCP.
- Jakmile nasadíte AWS a GCP, Program Defender for Cloud začne vyhodnocovat úlohy ve vícecloudových prostředích podle oborových standardů a hlásí stav zabezpečení.
- Funkce CSPM jsou bez agentů a nespoléhejte na žádné další komponenty s výjimkou úspěšného onboardingu konektorů AWS/GCP.
- Je důležité si uvědomit, že plán Správy stavu zabezpečení je ve výchozím nastavení zapnutý a nejde ho vypnout.
- Přečtěte si o oprávněních IAM potřebných ke zjišťování prostředků AWS pro CSPM.
CWPP
Poznámka:
Vzhledem k tomu, že je agent Log Analytics nastavený na vyřazení v srpnu 2024 a jako součást aktualizované strategie Defenderu pro cloud, budou všechny funkce a funkce Defenderu pro servery poskytovány buď prostřednictvím integrace Microsoft Defenderu for Endpoint, nebo kontroly bez agentů bez závislostí na agentovi Log Analytics (MMA) nebo agentovi Azure Monitoru (AMA). Další informace o této změně najdete v tomto oznámení.
V programu Defender for Cloud povolíte konkrétní plány pro získání funkcí CWPP (Cloud Workload Platform Protection). Mezi plány ochrany multicloudových prostředků patří:
- Defender pro servery: Ochrana počítačů s Windows a Linuxem AWS/GCP
- Defender for Containers: Pomáhá zabezpečit clustery Kubernetes pomocí doporučení zabezpečení a posílení zabezpečení, posouzení ohrožení zabezpečení a ochrany za běhu.
- Defender for SQL: Ochrana databází SQL spuštěných v AWS a GCP
Jaké rozšíření potřebuji?
Následující tabulka shrnuje požadavky na rozšíření pro CWPP.
| Rozšíření | Defender for Servers | Defender pro kontejnery | Defender pro SQL na počítačích |
|---|---|---|---|
| Azure Arc Agent | ✔ | ✔ | ✔ |
| Rozšíření Microsoft Defender for Endpoint | ✔ | ||
| Posouzení ohrožení zabezpečení | ✔ | ||
| Kontrola disků bez agentů | ✔ | ✔ | |
| Rozšíření Log Analytics nebo agenta Azure Monitoru (Preview) | ✔ | ✔ | |
| Senzor defenderu | ✔ | ||
| Azure Policy pro Kubernetes | ✔ | ||
| Data protokolu auditu Kubernetes | ✔ | ||
| Servery SQL na počítačích | ✔ | ||
| Automatické zjišťování a registrace SQL Serveru | ✔ |
Defender for Servers
Povolení defenderu pro servery na konektoru AWS nebo GCP umožňuje defenderu pro cloud poskytovat ochranu serveru virtuálním počítačům Google Compute Engine a instancím AWS EC2.
Kontrola plánů
Defender for Servers nabízí dva různé plány:
Plán 1:
- Integrace MDE: Plán 1 se integruje s programem Microsoft Defender for Endpoint Plan 2 a poskytuje kompletní řešení detekce a reakce u koncových bodů (EDR) pro počítače s celou řadou operačních systémů. Mezi funkce Defenderu pro koncový bod patří:
- Omezení prostoru pro útoky na počítače.
- Poskytování antivirových funkcí.
- Správa hrozeb, včetně proaktivního vyhledávání hrozeb, detekce, analýzy a automatizovaného vyšetřování a reakce.
- Zřizování: Automatické zřizování senzoru Defenderu pro koncové body na každém podporovaném počítači, který je připojený k Defenderu pro cloud.
- Licencování: Účtují poplatky Defenderu za licence koncového bodu za hodinu místo na sedadlo a snižuje náklady tím, že chrání virtuální počítače jenom v případě, že se používají.
- Integrace MDE: Plán 1 se integruje s programem Microsoft Defender for Endpoint Plan 2 a poskytuje kompletní řešení detekce a reakce u koncových bodů (EDR) pro počítače s celou řadou operačních systémů. Mezi funkce Defenderu pro koncový bod patří:
Plán 2: Zahrnuje všechny komponenty plánu 1 spolu s dalšími možnostmi, jako je monitorování integrity souborů (FIM), přístup k virtuálním počítačům za běhu (JIT) a další.
Před onboardingem do Defenderu pro servery si projděte funkce jednotlivých plánů.
Kontrola komponent – Defender for Servers
K získání úplné ochrany z plánu Defender for Servers jsou potřeba následující komponenty a požadavky:
- Agent Azure Arc: Počítače AWS a GCP se připojují k Azure pomocí Azure Arc. Agent Azure Arc je připojí.
- Agent Azure Arc je potřeba ke čtení informací o zabezpečení na úrovni hostitele a umožnění, aby Defender for Cloud nasadil agenty a rozšíření vyžadované k úplné ochraně. Aby bylo možné automaticky zřazení agenta Azure Arc, musí být nakonfigurovaný agent konfigurace operačního systému na instancích virtuálních počítačů GCP a agentA AWS Systems Manageru (SSM) pro instance AWS EC2. Přečtěte si další informace o agentech.
- Funkce Defenderu pro koncové body: Agent Microsoft Defenderu for Endpoint poskytuje komplexní detekce a reakce u koncových bodů funkce (EDR).
- Posouzení ohrožení zabezpečení: Použití integrované kontroly ohrožení zabezpečení Qualys nebo řešení Microsoft Defender Správa zranitelností
- Agent Log Analytics / Agent Služby Azure Monitor (AMA) (ve verzi Preview): Shromažďuje informace o konfiguraci související se zabezpečením a protokoly událostí z počítačů.
Kontrola požadavků na síť
Počítače musí před onboardingem agentů splňovat požadavky na síť. Automatické zřizování je ve výchozím nastavení povolené.
Defender pro kontejnery
Povolení defenderu pro kontejnery poskytuje clustery GKE a EKS a základní hostitele s těmito možnostmi zabezpečení.
Kontrola komponent – Defender for Containers
Požadované součásti jsou následující:
- Agent Azure Arc: Připojí clustery GKE a EKS k Azure a připojí senzor Defenderu.
- Senzor Defenderu: Poskytuje ochranu před hrozbami na úrovni hostitele.
- Azure Policy pro Kubernetes: Rozšiřuje Gatekeeper v3, aby monitoroval všechny požadavky na server rozhraní Kubernetes API a zajistil dodržování osvědčených postupů zabezpečení u clusterů a úloh.
- Protokoly auditu Kubernetes: Protokoly auditu ze serveru API umožňují defenderu for Containers identifikovat podezřelou aktivitu na vícecloudových serverech a poskytovat hlubší přehledy při vyšetřování výstrah. Odesílání protokolů auditu Kubernetes je potřeba povolit na úrovni konektoru.
Kontrola požadavků na sítě – Defender for Containers
Ujistěte se, že vaše clustery splňují požadavky na síť, aby se senzor Defenderu mohl připojit pomocí Defenderu pro cloud.
Defender pro SQL
Defender for SQL poskytuje detekci hrozeb pro výpočetní modul GCP a AWS. Plán Defender pro SQL Server na počítačích musí být povolený v předplatném, ve kterém se konektor nachází.
Kontrola komponent – Defender pro SQL
K získání úplných výhod Defenderu pro SQL ve vícecloudových úlohách potřebujete tyto komponenty:
- Agent Azure Arc: Počítače AWS a GCP se připojují k Azure pomocí Azure Arc. Agent Azure Arc je připojí.
- Agent Azure Arc je potřeba ke čtení informací o zabezpečení na úrovni hostitele a umožnění, aby Defender for Cloud nasadil agenty a rozšíření vyžadované k úplné ochraně.
- Aby bylo možné automaticky zřazení agenta Azure Arc, musí být nakonfigurovaný agent konfigurace operačního systému na instancích virtuálních počítačů GCP a agentA AWS Systems Manageru (SSM) pro instance AWS EC2. Přečtěte si další informace o agentech.
- Agent Log Analytics / Agent Služby Azure Monitor (AMA) (ve verzi Preview): Shromažďuje informace o konfiguraci související se zabezpečením a protokoly událostí z počítačů.
- Automatické zjišťování a registrace SQL Serveru: Podporuje automatické zjišťování a registraci SQL serverů.
Další kroky
V tomto článku jste se dozvěděli, jak při návrhu řešení zabezpečení s více cloudy určit závislosti ve vícecloudech. Pokračujte dalším krokem a automatizujte nasazení konektoru.