Freigeben über

Festlegen von Plan- und Agentsanforderungen

  • Artikel

Dieser Artikel ist der erste Teil einer Serie, die Sie bei der Entwicklung einer Lösung für Cloud Security Posture Management (CSPM) und Cloud-Workloadschutz (CWP) für Multicloud-Ressourcen mit Microsoft Defender for Cloud unterstützt.

Zielsetzung

Bestimmen Sie, welche Pläne aktiviert werden sollen und welche Anforderungen für jeden Plan gelten.

Erste Schritte

Wenn Sie Ressourcen über die Cloud schützen, müssen Sie herausfinden, welche Pläne Sie für den gewünschten Schutz aktivieren müssen, und Agenten-Komponenten installieren, wenn und soweit sie für die einzelnen Pläne erforderlich sind.

Überlegungen zum Agent

Es gibt Datenüberlegungen im Zusammenhang mit Agents und Erweiterungen, die von Defender for Cloud verwendet werden.

  • CSPM: Die CSPM-Funktionalität in Defender for Cloud ist agentlos. Es sind keine Agents erforderlich, damit CSPM funktioniert.
  • CWP: Einige Workloadschutzfunktionen für Defender for Cloud erfordern die Verwendung von Agents zum Erfassen von Daten.

Defender für Server-Plan

Agents werden im Defender for Servers-Plan wie folgt verwendet:

  • Andere öffentliche Clouds als Azure stellen über den Azure Arc-Dienst eine Verbindung mit Azure her.
  • Der Azure Connected Machine-Agent wird auf Multicloud-Computern installiert, die als Azure Arc-Computer integriert werden. Defender for Cloud muss im Abonnement aktiviert werden, in dem sich die Azure Arc-Computer befinden.
  • Defender for Cloud nutzt den Connected Machine-Agent, um Erweiterungen (z. B. Microsoft Defender for Endpoint) zu installieren, die für die Funktionalität von Defender for Servers benötigt werden.
  • Für einige Funktionen von Defender for Service Plan 2 ist der Protokollanalyse-Agent/Azure Monitor-Agent (AMA) erforderlich.
    • Die Agents können automatisch von Defender for Cloud bereitgestellt werden.
    • Wenn Sie die automatische Bereitstellung aktivieren, müssen Sie angeben, wo erfasste Daten gespeichert werden sollen. Entweder im standardmäßigen Log Analytics-Arbeitsbereich, der von Defender for Cloud erstellt wurde, oder in einem anderen Arbeitsbereich in Ihrem Abonnement. Weitere Informationen
    • Wenn Daten kontinuierlich exportiert werden sollen, können Sie für die Typen von Ereignissen und Warnungen, die gespeichert werden, ein Drillinto ausführen und diese konfigurieren. Weitere Informationen
  • Log Analytics-Arbeitsbereich:
    • Sie definieren den Log Analytics-Arbeitsbereich, den Sie auf Abonnementebene verwenden. Dieser kann ein Standardarbeitsbereich oder ein benutzerdefinierter Arbeitsbereich sein.
    • Es gibt mehrere Gründe, den Standardarbeitsbereich und keinen benutzerdefinierten Arbeitsbereich zu verwenden.
    • Der Speicherort des standardmäßigen Arbeitsbereichs hängt von der Region Ihres Azure Arc-Computers ab. Weitere Informationen
    • Der Speicherort des benutzerdefinierten Arbeitsbereichs wird von Ihrer Organisation festgelegt. Weitere Informationen zur Verwendung eines benutzerdefinierten Arbeitsbereichs.

Defender for Containers-Plan

Defender for Containers schützt Ihre Multicloud-Containerbereitstellungen, die ausgeführt werden in:

  • Azure Kubernetes Service (AKS) - Der verwaltete Dienst von Microsoft für die Entwicklung, Bereitstellung und Verwaltung von containerisierten Anwendungen.
  • Amazon Elastic Kubernetes Service (EKS) in einem verbundenen AWS-Konto: Der verwaltete Amazon-Dienst zum Ausführen von Kubernetes in AWS, ohne dass Sie Ihre eigene Kubernetes-Steuerungsebene oder -Knoten installieren, betreiben und verwalten müssen.
  • Google Kubernetes Engine (GKE) in einem GCP-Projekt: Die verwaltete Google-Umgebung zum Bereitstellen, Verwalten und Skalieren von Anwendungen mithilfe der GCP-Infrastruktur.
  • Andere Kubernetes-Distributionen, die Kubernetes mit Azure Arc-Unterstützung verwenden, sodass Kubernetes-Cluster, die an einer beliebigen Stelle ausgeführt werden, einschließlich anderer öffentlicher Clouds und lokal, angefügt und konfiguriert werden können.

Defender for Containers umfasst sowohl sensorbasierte als auch agentlose Komponenten.

  • Agentlose Erfassung von Kubernetes-Überwachungsprotokolldaten: Amazon CloudWatch oder GCP Cloud Logging aktiviert und erfasst Überwachungsprotokolldaten und sendet die erfassten Informationen zur weiteren Analyse an Defender for Cloud. Die Datenspeicherung basiert auf der AWS-Region des EKS-Clusters: EU gemäß DSGVO bzw. USA.
  • Agentless Collection for Kubernetes inventory: Collect data on your Kubernetes clusters and their resources, such as: Namespaces, Deployments, Pods, and Ingresses.
  • Sensorbasiertes Kubernetes mit Azure Arc-Unterstützung: EKS- und GKE-Cluster werden mithilfe von Azure Arc-Agents mit Azure verbunden, sodass sie als Azure Arc-Ressourcen behandelt werden.
  • Defender-Sensor: ein DaemonSet, das Signale von Hosts mithilfe der eBPF-Technologie sammelt und Laufzeitschutz bietet. Die Erweiterung wird bei einem Log Analytics-Arbeitsbereich registriert und als Datenpipeline verwendet. Die Überwachungsprotokolldaten werden nicht im Log Analytics-Arbeitsbereich gespeichert.
  • Azure Policy für Kubernetes: Die Konfigurationsinformationen werden von Azure Policy für Kubernetes gesammelt.
    • Azure Policy für Kubernetes erweitert das Open-Source-Zugangscontrollerwebhook von Gatekeeper v3 für Open Policy Agent.
    • Die Erweiterung registriert sich als Webhook bei der Kubernetes-Zugangssteuerung und ermöglicht das zentrale, konsistente Anwenden von Skalierungs- und Sicherheitsvorkehrungen in Ihren Clustern.

Defender for Databases-Plan

Für den Defender for Databases-Plan in einem Multicloud-Szenario nutzen Sie Azure Arc, um die SQL Server-Datenbanken in der Multicloud-Umgebung zu verwalten. Die SQL Server-Instanz wird in einem virtuellen oder physischen Computer installiert, der mit Azure Arc verbunden ist.

  • Der Azure Connected Machine-Agent wird auf Computern installiert, die mit Azure Arc verbunden sind.
  • Der Defender for Databases-Plan muss im Abonnement aktiviert werden, in dem sich die Azure Arc-Computer befinden.
  • Der Log Analytics-Agent für Microsoft Defender for SQL Server muss auf den Azure Arc-Computern bereitgestellt werden. Er erfasst sicherheitsbezogene Konfigurationseinstellungen und Ereignisprotokolle von Computern.
  • Die automatische SQL-Serverermittlung und -registrierung muss aktiviert werden, um die SQL-Datenbankermittlung auf den Computern zu ermöglichen.

Was die tatsächlichen AWS- und GCP-Ressourcen angeht, die von Defender for Cloud geschützt sind, wird deren Speicherort direkt in den AWS- und GCP-Clouds festgelegt.

Nächste Schritte

In diesem Artikel haben Sie gelernt, wie Sie Ihre Datenresidenzanforderungen beim Entwurf einer Multicloud-Sicherheitslösung ermitteln. Im nächsten Schritt erfahren Sie, wie Sie Complianceanforderungen ermitteln.