Verbinden von Hybrid Cloud- und Multicloud-Umgebungen mit Microsoft Defender for Cloud

  • 7 Minuten

Das Herstellen einer Verbindung zwischen Hybrid Cloud- bzw. Multicloud-Umgebungen und Microsoft Defender for Cloud ist entscheidend, um einen einheitlichen Sicherheitsstatus in verschiedenen IT-Landschaften zu gewährleisten. Mit Azure Arc-fähigen Servern für Nicht-Azure-Computer, dem nativen Cloudconnector und dem klassischen Connector können Sie die Funktionen von Microsoft Defender for Cloud auf Nicht-Azure-Ressourcen ausweiten. Diese Integration ermöglicht Ihnen eine umfassende Überwachung, Erkennung und Reaktion auf Sicherheitsbedrohungen. Hier erhalten Sie einen informativen Überblick über den Prozess sowie detaillierte Anforderungen für eine erfolgreiche Verbindungsherstellung.

Verbinden von Nicht-Azure-Computern mit Microsoft Defender für Cloud

Microsoft Defender for Cloud kann den Sicherheitszustand Ihrer Azure-fremden Computer überwachen. Dazu müssen diese jedoch zunächst mit Azure verbunden werden.

Sie können Azure-fremde Computer auf eine der folgenden Arten verbinden:

  • Onboarding mit Azure Arc
    • Durch Verwenden von Servern mit Azure Arc-Unterstützung (empfohlen)
    • Über das Azure-Portal
  • Direktes Onboarding mit Microsoft Defender for Endpoint

Herstellen einer Verbindung mit lokalen Computern mithilfe von Azure Arc

Ein Computer mit Azure Arc-fähigen Servern wird zu einer Azure-Ressource. Wenn Sie den Log Analytics-Agent darauf installieren, wird er in Defender for Cloud mit ähnlichen Empfehlungen wie Ihre bei anderen Azure-Ressourcen angezeigt.

Server mit Azure Arc-Unterstützung bieten erweiterte Funktionen wie das Aktivieren von Richtlinien für die Gastkonfiguration auf dem Computer und das Vereinfachen der Bereitstellung mit anderen Azure-Diensten. Eine Übersicht über die Vorteile for Azure Arc-fähigen Servern finden Sie unter Unterstützte Cloudvorgänge.

Zum Bereitstellen von Azure Arc auf einem Computer führen Sie die Anweisungen unter Schnellstart: Verbinden eines Hybridcomputers mit Servern mit Azure Arc-Unterstützung aus.

Wenn Sie Azure Arc im großen Stil auf mehreren Computern bereitstellen möchten, befolgen Sie die Anweisungen unter Verbinden von Hybridcomputern mit Azure im großen Stil.

Die Defender for Cloud-Tools für die automatische Bereitstellung des Log Analytics-Agents funktionieren mit Computern, auf denen Azure Arc ausgeführt wird, diese Funktion befindet sich jedoch derzeit in der Vorschauversion. Wenn Sie Ihre Computer mithilfe von Azure Arc verbinden, befolgen Sie die entsprechende Defender for Cloud-Empfehlung für die Agent-Bereitstellung. So profitieren Sie von den umfassenden Schutzfunktionen, die Defender for Cloud bietet:

  • Der Log Analytics-Agent sollte auf Ihren Azure Arc-Computern unter Linux installiert sein
  • Der Log Analytics-Agent sollte auf Ihren Azure Arc-Computern unter Windows installiert sein

Verbinden Ihres AWS-Kontos mit Microsoft Defender for Cloud

Workloads umfassen in der Regel mehrere Cloudplattformen. Cloudsicherheitsdienste müssen das Gleiche tun. Microsoft Defender for Cloud schützt Workloads in Amazon Web Services (AWS), aber Sie müssen die Verbindung zwischen diesem Dienst und Defender for Cloud einrichten.

Wenn Sie ein AWS-Konto verbinden, das Sie zuvor mit dem klassischen Connector verbunden hatten, müssen Sie es zunächst entfernen. Die Verwendung eines AWS-Kontos, das sowohl über den klassischen als auch über den nativen Connector verbunden ist, kann zur Erzeugung doppelter Empfehlungen führen.

Voraussetzungen

Die in diesem Artikel aufgeführten Verfahren setzen Folgendes voraus:

  • Ein Microsoft Azure-Abonnement Falls Sie kein Azure-Abonnement haben, können Sie sich kostenlos registrieren.
  • Einrichten von Microsoft Defender for Cloud in Ihrem Azure-Abonnement.
  • Zugriff auf ein AWS-Konto.
  • Berechtigung Mitwirkender für das entsprechende Azure-Abonnement und Berechtigung Administrator für das AWS-Konto.

Defender für Container

Wenn Sie den Plan Microsoft Defender for Containers auswählen, benötigen Sie Folgendes:

  • Mindestens einen Amazon EKS-Cluster mit Zugriffsberechtigung auf den EKS Kubernetes-API-Server.
  • Die Ressourcenkapazität zum Erstellen einer neuen SQS-Warteschlange (Amazon Simple Queue Service), von Kinesis Data Firehose-Übermittlungsstreams und Amazon S3-Buckets in der Region des Clusters.

Defender für SQL

Wenn Sie den Plan Microsoft Defender für SQL auswählen, benötigen Sie Folgendes:

  • Microsoft Defender für SQL muss für das Abonnement aktiviert sein. Erfahren Sie, wie Sie Ihre Datenbanken schützen.
  • Ein aktives AWS-Konto mit EC2-Instanzen, in denen SQL Server oder relationaler Datenbankdienst (RDS) für SQL Server ausgeführt wird.
  • Azure Arc für Server muss auf Ihren EC2 bzw. RDS Custom für SQL Server-Instanzen installiert sein.

Es wird empfohlen, Azure Arc mit dem automatischen Bereitstellungsprozess in allen vorhandenen und zukünftigen EC2-Instanzen zu installieren. Um die automatische Bereitstellung von Azure Arc zu aktivieren, benötigen Sie die Berechtigung „Besitzer“ für das entsprechende Azure-Abonnement.

AWS Systems Manager (SSM) verwaltet die automatische Bereitstellung mithilfe des SSM-Agents. Auf einigen Amazon Machine Images ist der SSM-Agent bereits vorinstalliert. Wenn Ihre EC2-Instanzen nicht über den SSM-Agent verfügen, installieren Sie ihn mithilfe der folgenden Anweisungen von Amazon: Installieren des SSM-Agents für eine Hybrid- und Multicloud-Umgebung (Windows).

Stellen Sie sicher, dass Ihr SSM-Agent über die verwaltete Richtlinie AmazonSSMManagedInstanceCore verfügt. Es ermöglicht Kernfunktionen für den AWS Systems Manager-Dienst.

Aktivieren Sie diese anderen Erweiterungen auf den mit Azure Arc verbundenen Computern:

  • Microsoft Defender für den Endpunkt
  • Eine Lösung zur Sicherheitsrisikobewertung (Bedrohungs- und Sicherheitsrisikomanagement oder Qualys)
  • Der Log Analytics-Agent auf mit Azure Arc verbundenen Computern oder der Azure Monitor-Agent

Stellen Sie sicher, dass im ausgewählten Log Analytics-Arbeitsbereich die Sicherheitslösung installiert ist. Der Log Analytics-Agent und der Azure Monitor-Agent sind derzeit auf Abonnementebene konfiguriert. Alle Ihre AWS-Konten und Google Cloud Platform-Projekte (GCP) unter demselben Abonnement erben die Abonnementeinstellungen für den Log Analytics-Agent und den Azure Monitor-Agent.

Defender für Server

Wenn Sie den Plan Microsoft Defender for Servers auswählen, benötigen Sie Folgendes:

  • Microsoft Defender für Server muss für das Abonnement aktiviert sein. Informationen zum Aktivieren von Plänen finden Sie unter Aktivieren erweiterter Sicherheitsfeatures.
  • Ein aktives AWS-Konto mit EC2-Instanzen.
  • Azure Arc für Server muss auf Ihren EC2-Instanzen installiert sein.

Es wird empfohlen, Azure Arc mit dem automatischen Bereitstellungsprozess in allen vorhandenen und zukünftigen EC2-Instanzen zu installieren. Um die automatische Bereitstellung von Azure Arc zu aktivieren, benötigen Sie die Berechtigung „Besitzer“ für das entsprechende Azure-Abonnement.

AWS Systems Manager verwaltet die automatische Bereitstellung mithilfe des SSM-Agents. Auf einigen Amazon Machine Images ist der SSM-Agent bereits vorinstalliert. Wenn Ihre EC2-Instanzen nicht über den SSM-Agenten verfügen, installieren Sie ihn mit Hilfe einer der folgenden Anweisungen von Amazon:

  • Installieren des SSM-Agents für eine Hybrid- und Multicloud-Umgebung (Windows)
  • Installieren des SSM-Agents für eine Hybrid- und Multicloud-Umgebung (Linux)

Stellen Sie sicher, dass Ihr SSM-Agent über die verwaltete Richtlinie AmazonSSMManagedInstanceCore verfügt, die Kernfunktionen für den AWS Systems Manager-Dienst aktiviert.

Wenn Sie Azure Arc manuell auf Ihren vorhandenen und zukünftigen EC2-Instanzen installieren möchten, verwenden Sie die Empfehlung EC2-Instanzen sollten mit Azure Arc verbunden sein, um Instanzen zu identifizieren, auf denen Azure Arc nicht installiert ist.

Aktivieren Sie diese anderen Erweiterungen auf den mit Azure Arc verbundenen Computern:

  • Microsoft Defender für den Endpunkt
  • Eine Lösung zur Sicherheitsrisikobewertung (Bedrohungs- und Sicherheitsrisikomanagement oder Qualys)
  • Der Log Analytics-Agent auf mit Azure Arc verbundenen Computern oder der Azure Monitor-Agent

Stellen Sie sicher, dass im ausgewählten Log Analytics-Arbeitsbereich die Sicherheitslösung installiert ist. Der Log Analytics-Agent und der Azure Monitor-Agent sind derzeit auf Abonnementebene konfiguriert. Alle Ihre AWS-Konten und GCP-Projekte unter demselben Abonnement erben die Abonnementeinstellungen für den Log Analytics-Agent und den Azure Monitor-Agent.

Defender for Servers weist Ihren AWS-Ressourcen Tags zu, um den automatischen Bereitstellungsprozess zu verwalten. Diese Tags müssen Ihren Ressourcen ordnungsgemäß zugewiesen sein, sodass Defender for Cloud sie verwalten kann: AccountId, Cloud, InstanceId und MDFCSecurityConnector.

Defender CSPM

Wenn Sie den Microsoft Defender Cloud Security Posture Management-Plan verwenden, benötigen Sie:

  • Ein Azure-Abonnement. Sollten Sie über kein Azure-Abonnement verfügen, können Sie sich für ein kostenloses Abonnement registrieren.
  • Sie müssen Microsoft Defender for Cloud in Ihrem Azure-Abonnement aktivieren.
  • Verbinden Sie Ihre Nicht-Azure-Computer und Ihre AWS-Konten.
  • Um Zugriff auf alle im CSPM-Plan verfügbaren Features zu erhalten, muss der Plan vom Abonnementbesitzer aktiviert werden.