Připojení hybridní cloudová a multicloudová prostředí do Programu Microsoft Defender for Cloud

  • 7 min

Připojení hybridní cloudová a multicloudová prostředí do Programu Microsoft Defender for Cloud je zásadní pro zachování jednotného stavu zabezpečení v různých prostředích IT. Díky serverům s podporou Azure Arc pro počítače mimo Azure, nativním cloudovým Připojení orem a klasickým Připojení orem můžete rozšířit možnosti Microsoft Defenderu pro cloud na prostředky mimo Azure. Tato integrace vám umožňuje komplexně monitorovat, zjišťovat a reagovat na bezpečnostní hrozby. Tady poskytujeme informativní přehled procesu spolu s podrobnými požadavky na úspěšné připojení.

Připojení počítačů mimo Azure do Microsoft Defenderu pro cloud

Microsoft Defender pro cloud může monitorovat stav zabezpečení počítačů mimo Azure, ale nejdřív je musíte připojit k Azure.

Počítače mimo Azure můžete připojit některým z následujících způsobů:

  • Onboarding pomocí Azure Arc:
    • Používání serverů s podporou Azure Arc (doporučeno)
    • Pomocí webu Azure Portal
  • Onboarding přímo s Microsoft Defenderem for Endpoint

Připojení místních počítačů pomocí Azure Arc

Počítač se servery s podporou Azure Arc se stane prostředkem Azure. Když na něj nainstalujete agenta Log Analytics, zobrazí se v programu Defender for Cloud s doporučeními, jako jsou ostatní prostředky Azure.

Servery s podporou Služby Azure Arc poskytují vylepšené možnosti, jako je povolení zásad konfigurace hosta na počítači a zjednodušení nasazení s jinými službami Azure. Přehled výhod serverů s podporou Azure Arc najdete v tématu Podporované cloudové operace.

Pokud chcete nasadit Azure Arc na jeden počítač, postupujte podle pokynů v rychlém startu: Připojení hybridní počítače se servery s podporou Azure Arc.

Pokud chcete nasadit Azure Arc na více počítačů ve velkém měřítku, postupujte podle pokynů v Připojení hybridních počítačů do Azure ve velkém měřítku.

Nástroje Defender for Cloud pro automatické nasazování agenta Log Analytics fungují s počítači, na kterých běží Azure Arc. Tato funkce je ale aktuálně ve verzi Preview. Když připojíte počítače pomocí Služby Azure Arc, nasaďte agenta pomocí příslušného doporučení Defenderu pro cloud a využijte výhod celé řady ochrany, které Defender for Cloud nabízí:

  • Agent Log Analytics by měl být nainstalovaný na počítačích Azure Arc s Linuxem.
  • Agent Log Analytics by měl být nainstalovaný na počítačích Azure Arc s Windows.

Připojení účtu AWS do Microsoft Defenderu pro cloud

Úlohy běžně zahrnují více cloudových platforem. Služby cloudového zabezpečení musí dělat totéž. Microsoft Defender for Cloud pomáhá chránit úlohy ve službě Amazon Web Services (AWS), ale musíte mezi nimi nastavit připojení a Defender for Cloud.

Pokud připojujete účet AWS, který jste předtím připojili pomocí klasického konektoru, musíte ho nejdřív odebrat. Použití účtu AWS, který je připojený klasickým i nativním konektorem, může vést k duplicitním doporučením.

Požadavky

K dokončení postupů v tomto článku potřebujete:

  • Předplatné Microsoft Azure. Pokud nemáte předplatné Azure, můžete si ho zdarma zaregistrovat.
  • Microsoft Defender for Cloud nastavený ve vašem předplatném Azure.
  • Přístup k účtu AWS
  • Oprávnění přispěvatele pro příslušné předplatné Azure a Správa istrator oprávnění k účtu AWS.

Defender pro kontejnery

Pokud zvolíte plán Microsoft Defender for Containers, potřebujete:

  • Alespoň jeden cluster Amazon EKS s oprávněním pro přístup k serveru rozhraní EKS Kubernetes API.
  • Kapacita prostředků pro vytvoření nové fronty Amazon Simple Queue Service (SQS), stream doručování Kinesis Data Firehose a kontejner Amazon S3 v oblasti clusteru.

Defender pro SQL

Pokud zvolíte plán Microsoft Defender for SQL, potřebujete:

  • Microsoft Defender pro SQL je ve vašem předplatném povolený. Zjistěte, jak chránit databáze.
  • Aktivní účet AWS s instancemi EC2, na kterých běží SQL Server nebo relační databázová služba (RDS), vlastní pro SQL Server.
  • Azure Arc pro servery nainstalované v instancích EC2 nebo RDS Custom for SQL Server.

Doporučujeme použít proces automatického zřizování k instalaci Služby Azure Arc na všechny vaše stávající a budoucí instance EC2. Pokud chcete povolit automatické zřizování Azure Arc, potřebujete oprávnění vlastníka k příslušnému předplatnému Azure.

AWS Systems Manager (SSM) spravuje automatické zřizování pomocí agenta SSM. Některé image počítačů Amazon už mají předinstalovaný agent SSM. Pokud vaše instance EC2 nemají agenta SSM, nainstalujte ho pomocí těchto pokynů z Amazonu: Instalace agenta SSM pro hybridní a multicloudové prostředí (Windows).

Ujistěte se, že váš agent SSM má spravované zásady AmazonSSMManagedInstanceCore. Umožňuje základní funkce pro službu AWS Systems Manager.

Povolte tato další rozšíření na počítačích připojených k Azure Arc:

  • Microsoft Defender for Endpoint
  • Řešení posouzení ohrožení zabezpečení (Správa hrozeb a ohrožení zabezpečení nebo Qualys)
  • Agent Log Analytics na počítačích připojených k Azure Arc nebo agentu Azure Monitoru

Ujistěte se, že vybraný pracovní prostor služby Log Analytics má nainstalované řešení zabezpečení. Agent Log Analytics a agent Azure Monitor jsou aktuálně nakonfigurované na úrovni předplatného. Všechny účty AWS a projekty Google Cloud Platform (GCP) ve stejném předplatném dědí nastavení předplatného pro agenta Log Analytics a agenta Azure Monitoru.

Defender for Servers

Pokud zvolíte plán Microsoft Defender for Servers, potřebujete:

  • Program Microsoft Defender pro servery povolený ve vašem předplatném Zjistěte, jak povolit plány v článku Povolení rozšířených funkcí zabezpečení.
  • Aktivní účet AWS s instancemi EC2.
  • Azure Arc pro servery nainstalované v instancích EC2

Doporučujeme použít proces automatického zřizování k instalaci Služby Azure Arc na všechny vaše stávající a budoucí instance EC2. Pokud chcete povolit automatické zřizování Azure Arc, potřebujete oprávnění vlastníka k příslušnému předplatnému Azure.

AWS Systems Manager spravuje automatické zřizování pomocí agenta SSM. Některé image počítačů Amazon už mají předinstalovaný agent SSM. Pokud vaše instance EC2 nemají agenta SSM, nainstalujte ho pomocí některého z následujících pokynů z Amazonu:

  • Instalace agenta SSM pro hybridní a multicloudové prostředí (Windows)
  • Instalace agenta SSM pro hybridní a multicloudové prostředí (Linux)

Ujistěte se, že váš agent SSM má spravované zásady AmazonSSMManagedInstanceCore, které umožňují základní funkce pro službu AWS Systems Manager.

Pokud chcete ručně nainstalovat Azure Arc na stávající a budoucí instance EC2, použijte instance EC2, které by měly být připojené k doporučení azure Arc k identifikaci instancí, které nemají nainstalovaný Azure Arc.

Povolte tato další rozšíření na počítačích připojených k Azure Arc:

  • Microsoft Defender for Endpoint
  • Řešení posouzení ohrožení zabezpečení (Správa hrozeb a ohrožení zabezpečení nebo Qualys)
  • Agent Log Analytics na počítačích připojených k Azure Arc nebo agentu Azure Monitoru

Ujistěte se, že vybraný pracovní prostor služby Log Analytics má nainstalované řešení zabezpečení. Agent Log Analytics a agent Azure Monitor jsou aktuálně nakonfigurované na úrovni předplatného. Všechny účty AWS a projekty GCP ve stejném předplatném dědí nastavení předplatného pro agenta Log Analytics a agenta Azure Monitoru.

Defender for Servers přiřazuje značky vašim prostředkům AWS ke správě procesu automatického zřizování. Tyto značky musíte mít správně přiřazené k vašim prostředkům, aby je Mohl spravovat Defender for Cloud: AccountId, Cloud, InstanceIda MDFCSecurityConnector.

Defender CSPM

Pokud zvolíte plán Správa stavu cloudového zabezpečení v programu Microsoft Defender, potřebujete:

  • Předplatné Azure. Pokud předplatné Azure nemáte, můžete si zaregistrovat bezplatné předplatné.
  • Ve svém předplatném Azure musíte povolit Microsoft Defender for Cloud.
  • Připojení vašich počítačů mimo Azure, účtů AWS.
  • Aby bylo možné získat přístup ke všem funkcím dostupným v plánu CSPM, musí tento plán povolit vlastník předplatného.