Determinación de dependencias multinube
Este artículo es una de las series que proporciona instrucciones al diseñar una solución de administración de posturas de seguridad en la nube (CSPM) y protección de cargas de trabajo en la nube (CWP) en recursos multinube con Microsoft Defender for Cloud.
Objetivo
Descubra las dependencias que podrían influir en el diseño multinube.
Introducción
A medida que diseña la solución multinube, es importante tener una imagen clara de los componentes necesarios para disfrutar de todas las características multinube en Defender for Cloud.
CSPM
Defender for Cloud proporciona características de Administración de posturas de seguridad en la nube (CSPM) para las cargas de trabajo de AWS y GCP.
- Después de incorporar AWS y GCP, Defender for Cloud comienza a evaluar las cargas de trabajo multinube con respecto a los estándares del sector e informa sobre su posición de seguridad.
- Las características de CSPM son sin agente y no se basan en ningún otro componente, excepto en la incorporación correcta de conectores aws/GCP.
- Es importante tener en cuenta que el plan de administración de posturas de seguridad está activado de forma predeterminada y no se puede desactivar.
- Obtenga información sobre los permisos de IAM necesarios para detectar recursos de AWS para CSPM.
CWPP
Nota:
Como el agente de Log Analytics se establece para retirarse en agosto de 2024 y como parte de la estrategia actualizada de Defender for Cloud, todas las características y funcionalidades de Defender para servidores se proporcionarán a través del análisis sin agente o la integración de Microsoft Defender para punto de conexión, sin depender del agente de Log Analytics (MMA) o del agente de Azure Monitor (AMA). Para obtener más información sobre este cambio, consulte este anuncio.
En Defender for Cloud, habilitará planes específicos para obtener características de Cloud Workload Platform Protection (CWPP). Los planes para proteger los recursos multinube incluyen:
- Defender para servidores: proteja máquinas Windows y Linux de AWS/GCP.
- Defender para contenedores: ayude a proteger los clústeres de Kubernetes con recomendaciones de seguridad y protección, evaluaciones de vulnerabilidades y protección en tiempo de ejecución.
- Defender para SQL: proteja las bases de datos SQL que se ejecutan en AWS y GCP.
¿Qué extensión necesito?
La siguiente tabla resume los requisitos de extensión para CWPP.
| Extensión | Defender para servidores | Defender para contenedores | Defender para SQL en máquinas |
|---|---|---|---|
| Agente de Azure Arc | ✔ | ✔ | ✔ |
| Extensión de Microsoft Defender para punto de conexión | ✔ | ||
| Evaluación de vulnerabilidades | ✔ | ||
| Examen de discos sin agente | ✔ | ✔ | |
| Extensión log Analytics o agente de Azure Monitor (versión preliminar) | ✔ | ✔ | |
| Sensor de Defender | ✔ | ||
| Azure Policy para Kubernetes | ✔ | ||
| Datos de registro de auditoría de Kubernetes | ✔ | ||
| Servidores SQL Server en máquinas | ✔ | ||
| Detección y registro automáticos de SQL Server | ✔ |
Defender para servidores
La habilitación de Defender para servidores en el conector de AWS o GCP permite a Defender for Cloud proporcionar protección de servidor a las máquinas virtuales de Google Compute Engine y a las instancias de AWS EC2.
Revisión de planes
Defender para servidores ofrece dos planes diferentes:
Plan 1:
- Integración de MDE: el plan 1 se integra con el plan 2 de Microsoft Defender para punto de conexión para proporcionar una solución completa de detección y respuesta de puntos de conexión (EDR) para las máquinas que ejecutan una variedad de sistemas operativos. Las características de Defender para punto de conexión incluyen:
- Reducción de la superficie expuesta a ataques para las máquinas.
- Funcionalidades de antivirus.
- Administración de amenazas, incluida la búsqueda de amenazas, la detección, el análisis y la investigación y respuesta automatizadas.
- Aprovisionamiento: aprovisionamiento automático del sensor de Defender para puntos de conexión en todos los equipos compatibles que se conectan a Defender for Cloud.
- Licencias: las licencias de Microsoft Defender para punto de conexión se cobran por hora en lugar de por puesto, lo que reduce los costos de protección de las máquinas virtuales solo cuando están en uso.
- Integración de MDE: el plan 1 se integra con el plan 2 de Microsoft Defender para punto de conexión para proporcionar una solución completa de detección y respuesta de puntos de conexión (EDR) para las máquinas que ejecutan una variedad de sistemas operativos. Las características de Defender para punto de conexión incluyen:
Plan 2: Incluye todos los componentes del Plan 1 junto con funcionalidades adicionales, como la supervisión de la integridad de los archivos (FIM), el acceso a máquinas virtuales Just-In-Time (JIT), etc.
Revise las características de cada plan antes de incorporarse a Defender para servidores.
Revisión de componentes: Defender para servidores
Se necesitan los siguientes componentes y requisitos para recibir la protección completa del plan de Defender para servidores:
- Agente de Azure Arc: las máquinas de AWS y GCP se conectan a Azure mediante Azure Arc. El agente de Azure Arc los conecta.
- El agente de Azure Arc es necesario para leer la información de seguridad en el nivel de host y permitir que Defender for Cloud implemente los agentes o extensiones necesarios para una protección completa. Para aprovisionar automáticamente el agente de Azure Arc, se debe configurar el agente de configuración del sistema operativo en las instancias de máquina virtual de GCP y el agente de AWS Systems Manager (SSM) para las instancias de AWS EC2. Más información sobre el agente.
- Capacidades de Defender para puntos de conexión: El agente de Microsoft Defender para puntos de conexión proporciona capacidades completas de detección y respuesta de puntos de conexión (EDR).
- Evaluación de vulnerabilidades: uso del escáner de vulnerabilidades de Qualys integrado o de la solución de administración de vulnerabilidades de Microsoft Defender.
- Agente de análisis de registros/Agente de Azure Monitor (AMA) (en versión preliminar): recopila información de configuración relacionada con la seguridad y registros de eventos de máquinas.
Comprobar los requisitos de la conexión en red
Las máquinas deben cumplir los requisitos de la conexión en red antes de incorporar los agentes. El aprovisionamiento automático está habilitado de manera predeterminada.
Defender para contenedores
La habilitación de Defender para contenedores proporciona clústeres de GKE y EKS y hosts subyacentes con estas funcionalidades de seguridad.
Revisión de componentes: Defender para contenedores
Los componentes necesarios son los siguientes:
- Agente de Azure Arc: conecta los clústeres de GKE y EKS a Azure e incorpora el sensor de Defender.
- Sensor de Defender: proporciona protección contra amenazas en runtime de nivel de host.
- Azure Policy para Kubernetes: amplía el Gatekeeper v3 para supervisar cada solicitud al servidor de la API de Kubernetes, y garantiza que se sigan los procedimientos recomendados de seguridad en los clústeres y las cargas de trabajo.
- Registros de auditoría de Kubernetes: los registros de auditoría del servidor de API permiten a Defender para contenedores identificar actividades sospechosas en los servidores multinube y proporcionar información más detallada al investigar alertas. El envío de los "registros de auditoría de Kubernetes" debe estar habilitado en el nivel de conector.
Comprobación de los requisitos de red: Defender para contenedores
Asegúrese de comprobar que los clústeres cumplen los requisitos de red para que el sensor de Defender pueda conectarse con Defender for Cloud.
Defender para SQL
Defender para SQL proporciona detección de amenazas para el motor de proceso de GCP y AWS. El plan Defender for SQL Server en Machines debe estar habilitado en la suscripción donde se encuentra el conector.
Revisión de componentes: Defender para SQL
Para recibir todas las ventajas de Defender para SQL en la carga de trabajo multinube, necesita estos componentes:
- Agente de Azure Arc: las máquinas de AWS y GCP se conectan a Azure mediante Azure Arc. El agente de Azure Arc los conecta.
- El agente de Azure Arc es necesario para leer la información de seguridad en el nivel de host y permitir que Defender for Cloud implemente los agentes o extensiones necesarios para una protección completa.
- Para aprovisionar automáticamente el agente de Azure Arc, se debe configurar el agente de configuración del sistema operativo en las instancias de máquina virtual de GCP y el agente de AWS Systems Manager (SSM) para las instancias de AWS EC2. Más información sobre el agente.
- Agente de análisis de registros/Agente de Azure Monitor (AMA) (en versión preliminar): recopila información de configuración relacionada con la seguridad y registros de eventos de máquinas.
- Detección y registro automáticos de SQL Server: admite la detección automática y el registro de servidores SQL Server.
Pasos siguientes
En este artículo, ha aprendido a determinar las dependencias multinube al diseñar una solución de seguridad multinube. Continúe con el paso siguiente para automatizar la implementación del conector.