Partager via

Déterminer les exigences de plans et d’agents

  • Article

Cet article est tiré d’une série d’articles qui fournissent de l’aide lorsque vous concevez une solution de gestion de la posture de sécurité cloud (CSPM) et de protection des charges de travail cloud (CWP) sur l’ensemble des ressources multicloud avec Microsoft Defender pour le cloud.

Objectif

Identifiez les plans à activer et les exigences de chaque plan.

Bien démarrer

Quand vous protégez des ressources dans le cloud, vous devez identifier les plans à activer pour la protection de votre choix, et installer les composants d’agent nécessaires pour chaque plan, le cas échéant.

Considérations relatives à l’agent

Il existe des considérations relatives aux données en lien avec les agents et extensions que Defender pour le cloud utilise.

  • CSPM : la fonctionnalité CSPM dans Defender pour le cloud est sans agent. Aucun agent n’est nécessaire pour son fonctionnement.
  • CWP : certaines fonctionnalités de protection des charges de travail pour Defender pour le cloud nécessitent l’utilisation d’agents pour collecter des données.

Plan Defender pour les serveurs

Des agents sont utilisés dans le plan Defender pour serveurs comme suit :

  • Les clouds publics non-Azure se connectent à Azure en tirant parti du service Azure Arc.
  • L’agent Azure Connected Machine est installé sur des machines multiclouds intégrées en tant que machines Azure Arc. Defender pour le cloud doit être activé dans l’abonnement dans lequel se trouvent les machines Azure Arc.
  • Defender pour le cloud se sert de l’agent Connected Machine pour installer les extensions (telles que Microsoft Defender for Endpoint) nécessaires pour la fonctionnalité de Defender pour serveurs.
  • L’agent Log Analytics/agent Azure Monitor (AMA) est nécessaire pour certaines fonctionnalités de Defender for Service Plan 2 .
    • Les agents peuvent être provisionnés automatiquement par Defender pour le cloud.
    • Lorsque vous activez l’approvisionnement automatique, vous spécifiez où stocker les données collectées. Dans l’espace de travail Log Analytics par défaut créé par Defender pour le cloud ou dans tout autre espace de travail de votre abonnement. Plus d’informations
    • Si vous choisissez d’exporter des données en continu, vous pouvez explorer et configurer les types d’événements et d’alertes enregistrés. Plus d’informations
  • Espace de travail Log Analytics :
    • Vous définissez l’espace de travail Log Analytics que vous utilisez au niveau de l’abonnement. Il peut s’agir d’un espace de travail par défaut ou créé de façon personnalisée.
    • Il existe plusieurs raisons de sélectionner l’espace de travail par défaut plutôt que l’espace de travail personnalisé.
    • L’emplacement de l’espace de travail par défaut dépend de la région de votre machine Azure Arc. Plus d’informations
    • L’emplacement de l’espace de travail créé de façon personnalisée est défini par votre organisation. Apprenez-en davantage sur l’utilisation d’un espace de travail personnalisé.

Plan Defender pour les conteneurs

Defender pour les conteneurs protège vos déploiements de conteneurs multicloud s’exécutant dans :

  • Azure Kubernetes Service (AKS) - Service managé de Microsoft conçu pour le développement, le déploiement et la gestion d’applications conteneurisées.
  • Amazon Elastic Kubernetes Service (EKS) dans un compte AWS connecté - Service managé d’Amazon permettant d’exécuter Kubernetes sur AWS sans avoir à installer, utiliser et gérer votre propre plan de contrôle ou vos propres nœuds Kubernetes.
  • Google Kubernetes Engine (GKE) dans un projet GCP connecté : l’environnement géré de Google pour le déploiement, la gestion et la mise à l’échelle d’applications à l’aide de l’infrastructure GCP.
  • Autres distributions Kubernetes : utilisant Kubernetes avec Azure Arc qui vous permet d’attacher et de configurer des clusters Kubernetes s’exécutant n’importe où, y compris dans d’autres clouds publics et localement.

Defender pour les conteneurs dispose de composants basés sur un capteur et sans agent.

  • Collection sans agent des données du journal d’audit Kubernetes : Amazon CloudWatch or GCP Cloud Logging activent et collectent les données du journal d’audit, et envoient les informations collectées à Defender pour le cloud à des fins d’analyse approfondie. Le stockage de données est basé sur la région AWS du cluster EKS, RGPD-EU et US.
  • Collection sans agent pour l’inventaire Kubernetes : Collectez des données sur vos clusters Kubernetes et leurs ressources, telles que : Namespaces, Deployments, Pods et Ingresses.
  • Kubernetes avec Azure Arc basé sur un capteur : connecte vos clusters EKS et GKE à Azure avec des agents Azure Arc afin qu’ils soient traités comme des ressources Azure Arc.
  • Capteur Defender : DaemonSet qui collecte des signaux provenant d’hôtes utilisant la technologie eBPF et qui fournit une protection au moment de l’exécution. L’extension est inscrite auprès d’un espace de travail Log Analytics et utilisée comme un pipeline de données. Les données du journal d’audit ne sont pas stockées dans l’espace de travail Log Analytics.
  • Azure Policy for Kubernetes : Les informations de configuration de la charge de travail sont collectées par Azure Policy for Kubernetes.
    • Azure Policy for Kubernetes étend le webhook du contrôleur d'admission open-source Gatekeeper v3 pour Open Policy Agent.
    • L’extension s’inscrit en tant que webhook pour le contrôle d’admission Kubernetes, et permet l’application et la protection à grande échelle de vos clusters, de manière centralisée et cohérente.

Plan Defender pour bases de données

Pour le plan Defender pour bases de données dans un scénario multicloud, vous vous servez d’Azure Arc pour gérer les bases de données SQL Server multicloud. L’instance SQL Server est installée sur une machine virtuelle ou physique connectée à Azure Arc.

  • L’agent Azure Connected Machine est installé sur les machines connectées à Azure Arc.
  • Defender pour bases de données doit être activé dans l’abonnement dans lequel se trouvent les machines Azure Arc.
  • L’agent Log Analytics pour serveurs SQL Server Microsoft Defender doit être approvisionné sur les machines Azure Arc. Il collecte les paramètres de configuration liés à la sécurité et les journaux des événements des machines.
  • La découverte et l’inscription automatiques de serveur SQL doivent être activées pour autoriser la découverte de base de données SQL sur les machines.

Lorsqu’il s’agit des ressources AWS et GCP réelles protégées par Defender pour le cloud, leur emplacement est défini directement à partir des clouds AWS et GCP.

Étapes suivantes

Dans cet article, vous avez appris à déterminer les exigences liées à la résidence des données lors de la conception d’une solution de sécurité multicloud. Passez à l’étape suivante pour déterminer les exigences de propriété.