Compartir vía


Determinación de dependencias multinube

Este artículo es una de las series que proporciona instrucciones al diseñar una solución de administración de posturas de seguridad en la nube (CSPM) y protección de cargas de trabajo en la nube (CWP) en recursos multinube con Microsoft Defender for Cloud.

Objetivo

Descubra las dependencias que podrían influir en el diseño multinube.

Introducción

A medida que diseña la solución multinube, es importante tener una imagen clara de los componentes necesarios para disfrutar de todas las características multinube en Defender for Cloud.

CSPM

Defender for Cloud proporciona características de Administración de posturas de seguridad en la nube (CSPM) para las cargas de trabajo de AWS y GCP.

  • Después de incorporar AWS y GCP, Defender for Cloud comienza a evaluar las cargas de trabajo multinube con respecto a los estándares del sector e informa sobre su posición de seguridad.
  • Las características de CSPM son sin agente y no se basan en ningún otro componente, excepto en la incorporación correcta de conectores aws/GCP.
  • Es importante tener en cuenta que el plan de administración de posturas de seguridad está activado de forma predeterminada y no se puede desactivar.
  • Obtenga información sobre los permisos de IAM necesarios para detectar recursos de AWS para CSPM.

CWPP

Nota:

Como el agente de Log Analytics se establece para retirarse en agosto de 2024 y como parte de la estrategia actualizada de Defender for Cloud, todas las características y funcionalidades de Defender para servidores se proporcionarán a través del análisis sin agente o la integración de Microsoft Defender para punto de conexión, sin depender del agente de Log Analytics (MMA) o del agente de Azure Monitor (AMA). Para obtener más información sobre este cambio, consulte este anuncio.

En Defender for Cloud, habilitará planes específicos para obtener características de Cloud Workload Platform Protection (CWPP). Los planes para proteger los recursos multinube incluyen:

  • Defender para servidores: proteja máquinas Windows y Linux de AWS/GCP.
  • Defender para contenedores: ayude a proteger los clústeres de Kubernetes con recomendaciones de seguridad y protección, evaluaciones de vulnerabilidades y protección en tiempo de ejecución.
  • Defender para SQL: proteja las bases de datos SQL que se ejecutan en AWS y GCP.

¿Qué extensión necesito?

La siguiente tabla resume los requisitos de extensión para CWPP.

Extensión Defender para servidores Defender para contenedores Defender para SQL en máquinas
Agente de Azure Arc
Extensión de Microsoft Defender para punto de conexión
Evaluación de vulnerabilidades
Examen de discos sin agente
Extensión log Analytics o agente de Azure Monitor (versión preliminar)
Sensor de Defender
Azure Policy para Kubernetes
Datos de registro de auditoría de Kubernetes
Servidores SQL Server en máquinas
Detección y registro automáticos de SQL Server

Defender para servidores

La habilitación de Defender para servidores en el conector de AWS o GCP permite a Defender for Cloud proporcionar protección de servidor a las máquinas virtuales de Google Compute Engine y a las instancias de AWS EC2.

Revisión de planes

Defender para servidores ofrece dos planes diferentes:

Revisión de componentes: Defender para servidores

Se necesitan los siguientes componentes y requisitos para recibir la protección completa del plan de Defender para servidores:

Comprobar los requisitos de la conexión en red

Las máquinas deben cumplir los requisitos de la conexión en red antes de incorporar los agentes. El aprovisionamiento automático está habilitado de manera predeterminada.

Defender para contenedores

La habilitación de Defender para contenedores proporciona clústeres de GKE y EKS y hosts subyacentes con estas funcionalidades de seguridad.

Revisión de componentes: Defender para contenedores

Los componentes necesarios son los siguientes:

  • Agente de Azure Arc: conecta los clústeres de GKE y EKS a Azure e incorpora el sensor de Defender.
  • Sensor de Defender: proporciona protección contra amenazas en runtime de nivel de host.
  • Azure Policy para Kubernetes: amplía el Gatekeeper v3 para supervisar cada solicitud al servidor de la API de Kubernetes, y garantiza que se sigan los procedimientos recomendados de seguridad en los clústeres y las cargas de trabajo.
  • Registros de auditoría de Kubernetes: los registros de auditoría del servidor de API permiten a Defender para contenedores identificar actividades sospechosas en los servidores multinube y proporcionar información más detallada al investigar alertas. El envío de los "registros de auditoría de Kubernetes" debe estar habilitado en el nivel de conector.

Comprobación de los requisitos de red: Defender para contenedores

Asegúrese de comprobar que los clústeres cumplen los requisitos de red para que el sensor de Defender pueda conectarse con Defender for Cloud.

Defender para SQL

Defender para SQL proporciona detección de amenazas para el motor de proceso de GCP y AWS. El plan Defender for SQL Server en Machines debe estar habilitado en la suscripción donde se encuentra el conector.

Revisión de componentes: Defender para SQL

Para recibir todas las ventajas de Defender para SQL en la carga de trabajo multinube, necesita estos componentes:

  • Agente de Azure Arc: las máquinas de AWS y GCP se conectan a Azure mediante Azure Arc. El agente de Azure Arc los conecta.
    • El agente de Azure Arc es necesario para leer la información de seguridad en el nivel de host y permitir que Defender for Cloud implemente los agentes o extensiones necesarios para una protección completa.
    • Para aprovisionar automáticamente el agente de Azure Arc, se debe configurar el agente de configuración del sistema operativo en las instancias de máquina virtual de GCP y el agente de AWS Systems Manager (SSM) para las instancias de AWS EC2. Más información sobre el agente.
  • Agente de análisis de registros/Agente de Azure Monitor (AMA) (en versión preliminar): recopila información de configuración relacionada con la seguridad y registros de eventos de máquinas.
  • Detección y registro automáticos de SQL Server: admite la detección automática y el registro de servidores SQL Server.

Pasos siguientes

En este artículo, ha aprendido a determinar las dependencias multinube al diseñar una solución de seguridad multinube. Continúe con el paso siguiente para automatizar la implementación del conector.