Ermitteln von Multicloudabhängigkeiten
Dieser Artikel ist der erste Teil einer Serie, die Sie bei der Entwicklung einer Lösung für Cloud Security Posture Management (CSPM) und Cloud-Workloadschutz (CWP) für Multicloud-Ressourcen mit Microsoft Defender for Cloud unterstützt.
Zielsetzung
Ermitteln Sie Abhängigkeiten, die sich auf Ihr Multicloud-Design auswirken könnten.
Erste Schritte
Während Sie Ihre Multicloud-Lösung entwerfen, ist es wichtig, ein klares Bild der Komponenten zu haben, die erforderlich sind, um alle Multicloud-Features in Defender for Cloud nutzen zu können.
CSPM
Defender for Cloud bietet CSPM-Funktionen (Cloud Security Posture Management) für Ihre AWS- und GCP-Workloads.
- Nachdem Sie AWS und GCP integriert haben, bewertet Defender for Cloud Ihre Multicloud-Workloads anhand von Branchenstandards und berichtet über Ihren Sicherheitsstatus.
- CSPM-Funktionen sind ohne Agents und verlassen sich nicht auf andere Komponenten, mit Ausnahme des erfolgreichen Onboardings von AWS/GCP-Konnektoren.
- Beachten Sie, dass der Security Posture Management-Plan standardmäßig aktiviert ist und nicht deaktiviert werden kann.
- Erfahren Sie mehr über die IAM-Berechtigungen, die zum Erkennen von AWS-Ressourcen für CSPM erforderlich sind.
CWPP
Hinweis
Da der Log Analytics-Agent im August 2024 ausläuft, werden im Rahmen der aktualisierten Strategie von Defender for Cloud alle Funktionen und Möglichkeiten von Defender for Servers entweder durch die Integration von Microsoft Defender for Endpoint oder durch agentenloses Scannen bereitgestellt, ohne dass eine Abhängigkeit vom Log Analytics-Agent (MMA) oder Azure Monitor-Agent (AMA) besteht. Weitere Informationen zu dieser Änderung finden Sie in dieser Ankündigung.
In Defender for Cloud aktivieren Sie bestimmte Pläne, um Funktionen von Cloud Workload Platform Protection (CWPP) zu erhalten. Pläne zum Schutz von Multicloud-Ressourcen umfassen:
- Defender for Servers: Schützen sie AWS/GCP Windows- und Linux-Computer.
- Defender for Containers: Schützen Sie Ihre Kubernetes-Cluster mit Sicherheitsempfehlungen und Härtung, Sicherheitsrisikobewertungen und Laufzeitschutz.
- Defender for SQL: Schützen Sie SQL-Datenbanken, die in AWS und GCP ausgeführt werden.
Welche Erweiterung benötige ich?
In der folgenden Tabelle sind die Anforderungen an Erweiterungen für CWPP aufgeführt.
| Erweiterung | Defender für Server | Defender für Container | Defender for SQL on Machines |
|---|---|---|---|
| Azure Arc-Agent | ✔ | ✔ | ✔ |
| Microsoft Defender for Endpoint-Erweiterung | ✔ | ||
| Sicherheitsrisikobewertung | ✔ | ||
| Überprüfung von Datenträgern ohne Agent | ✔ | ✔ | |
| Erweiterung für Protokollanalyse oder Azure Monitor-Agent (Vorschau) | ✔ | ✔ | |
| Defender-Sensor | ✔ | ||
| Azure Policy für Kubernetes | ✔ | ||
| Kubernetes-Überwachungsprotokoll-Daten | ✔ | ||
| SQL Server-Instanzen auf Computern | ✔ | ||
| Automatische Ermittlung und Registrierung von SQL-Servern | ✔ |
Defender für Server
Durch Aktivieren von Defender for Servers auf Ihrem AWS- oder GCP-Konnektor kann Defender for Cloud Serverschutz für Ihre Google Compute Engine-VMs und AWS EC2-Instanzen bereitstellen.
Überprüfen von Plänen
Defender for Servers bietet zwei verschiedene Pläne:
Plan 1:
- MDE-Integration: Plan 1 ist in Microsoft Defender for Endpoint, Plan 2 integriert und stellt eine vollständige Erkennungs- und Reaktionslösung für Endpunkte (EDR) für Computer unter mehreren Betriebssystemen zur Verfügung. Defender für Endpunkt-Features umfassen:
- Reduzieren der Angriffsoberfläche für Computer.
- Bereitstellen von Virenschutzfunktionen.
- Bedrohungsmanagement, einschließlich Bedrohungssuche, Erkennung, Analyse sowie automatisierte Untersuchung und Reaktion.
- Bereitstellung: Automatische Bereitstellung des Defender for Endpoint-Sensors auf jedem unterstützten Computer, der mit Defender for Cloud verbunden ist.
- Lizensierung: Die Gebühren für Defender for Endpunkt werden pro Stunde statt pro Arbeitsplatz in Rechnung gestellt. Dies führt zu Kosteneinsparungen, da Kosten für den Schutz virtueller Computer nur dann anfallen, wenn sie verwendet werden.
- MDE-Integration: Plan 1 ist in Microsoft Defender for Endpoint, Plan 2 integriert und stellt eine vollständige Erkennungs- und Reaktionslösung für Endpunkte (EDR) für Computer unter mehreren Betriebssystemen zur Verfügung. Defender für Endpunkt-Features umfassen:
Plan 2: Enthält alle Komponenten von Plan 1 sowie zusätzliche Funktionen wie Überwachung der Datenintegrität (FIM), Just-in-Time (JIT)-VM-Zugriff und vieles mehr.
Überprüfen Sie die Funktionen jedes Plans, bevor Sie Defender for Servers einbinden.
Überprüfen von Komponenten – Defender for Servers
Die folgenden Komponenten und Anforderungen sind erforderlich, um den vollständigen Schutz durch den Defender for Servers-Plan zu erhalten:
- Azure Arc-Agent: AWS- und GCP-Computer stellen über Azure Arc eine Verbindung mit Azure her. Der Azure Arc-Agent stellt eine Verbindung her.
- Der Azure Arc-Agent wird benötigt, um Sicherheitsinformationen auf Hostebene zu lesen und Defender for Cloud die Bereitstellung der Agents/Erweiterungen zu ermöglichen, die für einen vollständigen Schutz erforderlich sind. Um den Azure Arc-Agent automatisch bereitzustellen, müssen für GCP-VM-Instanzen der Betriebssystemkonfigurations-Agent und für AWS EC2-Instanzen der AWS Systems Manager-Agent (SSM) konfiguriert werden. Weitere Informationen zum Agent.
- Defender für Endpunktfunktionen: Der Microsoft Defender for Endpoint-Agent bietet umfassende Funktionen zur Endpunkterkennung und Reaktion (EDR).
- Sicherheitsrisikobewertung: Unter Verwendung des integrierten Qualys-Sicherheitsrisiko-Scanners oder der Microsoft Defender-Sicherheitsrisikoverwaltung.
- Protokollanalyse-Agent/Azure Monitor-Agent (AMA) (in der Vorschau): Sammelt sicherheitsbezogene Konfigurationsinformationen und Ereignisprotokolle von Computern.
Überprüfung der Netzwerkanforderungen
Computer müssen die Netzwerkanforderungen erfüllen, bevor die Agents integriert werden. Die automatische Bereitstellung ist standardmäßig aktiviert.
Defender für Container
Die Aktivierung von Defender for Containers stellt GKE- und EKS-Clustern und zugrunde liegenden Hosts diese Sicherheitsfunktionen bereit.
Überprüfen von Komponenten – Defender for Containers
Die erforderlichen Komponenten lauten wie folgt:
- Azure Arc-Agent: verbindet Ihre GKE- und EKS-Cluster mit Azure und integriert den Defender-Sensor.
- Defender-Sensor: stellt Laufzeit-Bedrohungsschutz auf Hostebene bereit.
- Azure Policy für Kubernetes: Erweitert Gatekeeper v3, um jede Anforderung an den Kubernetes-API-Server zu überwachen, und stellt sicher, dass Best Practices für die Sicherheit auf Clustern und Workloads befolgt werden.
- Kubernetes-Überwachungsprotokolle: Überwachungsprotokolle vom API-Server ermöglichen es Defender for Containers, verdächtige Aktivitäten auf Ihren Multicloud-Servern zu erkennen und tiefere Einblicke bei der Untersuchung von Warnungen zu liefern. Das Senden der „Kubernetes-Überwachungsprotokolle“ muss auf Konnektor-Ebene aktiviert werden.
Überprüfen der Netzwerkanforderungen – Defender for Containers
Stellen Sie sicher, dass Ihre Cluster die Netzwerkanforderungen erfüllen, damit der Defender-Sensor eine Verbindung mit Defender for Cloud herstellen kann.
Defender für SQL
Defender for SQL stellt Bedrohungserkennung für die GCP Compute Engine und AWS bereit. Der Defender for SQL Server on Machines-Plan muss für das Abonnement aktiviert werden, in dem sich der Konnektor befindet.
Überprüfen von Komponenten – Defender for SQL
Um alle Vorteile von Defender for SQL für Ihre Multicloud-Workload nutzen zu können, benötigen Sie diese Komponenten:
- Azure Arc-Agent: AWS- und GCP-Computer stellen über Azure Arc eine Verbindung mit Azure her. Der Azure Arc-Agent stellt eine Verbindung her.
- Der Azure Arc-Agent wird benötigt, um Sicherheitsinformationen auf Hostebene zu lesen und Defender for Cloud die Bereitstellung der Agents/Erweiterungen zu ermöglichen, die für einen vollständigen Schutz erforderlich sind.
- Um den Azure Arc-Agent automatisch bereitzustellen, müssen für GCP-VM-Instanzen der Betriebssystemkonfigurations-Agent und für AWS EC2-Instanzen der AWS Systems Manager-Agent (SSM) konfiguriert werden. Weitere Informationen zum Agent.
- Protokollanalyse-Agent/Azure Monitor-Agent (AMA) (in der Vorschau): Sammelt sicherheitsbezogene Konfigurationsinformationen und Ereignisprotokolle von Computern
- Automatische Erkennung und Registrierung von SQL-Servern: Unterstützt die automatische Erkennung und Registrierung von SQL-Servern
Nächste Schritte
In diesem Artikel haben Sie gelernt, wie Sie beim Entwerfen einer Multicloud-Sicherheitslösung Multicloudabhängigkeiten ermitteln. Fahren Sie mit dem nächsten Schritt fort, um die Konnektor-Bereitstellung zu automatisieren.