Déterminer les dépendances multicloud
Cet article est tiré d’une série d’articles qui fournissent de l’aide lorsque vous concevez une solution de gestion de la posture de sécurité cloud (CSPM) et de protection des charges de travail cloud (CWP) sur l’ensemble des ressources multicloud avec Microsoft Defender pour le cloud.
Objectif
Déterminer les dépendances qui peuvent influencer votre conception multicloud.
Bien démarrer
Lors de la conception de votre solution multicloud, il est important d’avoir une image claire des composants nécessaires pour profiter de toutes les fonctionnalités multicloud dans Defender pour le cloud.
CSPM
Defender pour le cloud offre des fonctionnalités CSPM (gestion de la posture de sécurité cloud) pour vos charges de travail AWS et GCP.
- Une fois que vous avez intégré AWS et GCP, Defender pour le cloud commence à évaluer vos charges de travail multicloud par rapport aux normes du secteur et à établir des rapports sur votre posture de sécurité.
- Les fonctionnalités CSPM sont sans agent et ne s’appuient sur aucun autre composant, à l’exception de l’intégration réussie des connecteurs AWS/GCP.
- Il convient de noter que le plan de gestion de la posture de sécurité est activé par défaut et ne peut pas être désactivé.
- Découvrez les autorisations IAM nécessaires pour découvrir les ressources AWS pour CSPM.
CWPP
Remarque
Étant donné que l'agent Log Analytics devrait être retiré en août 2024 et dans le cadre de la stratégie mise à jour de Defender pour Cloud, toutes les fonctionnalités et capacités de Defender pour serveurs seront fournies soit via l'intégration de Microsoft Defender pour point de terminaison, soit par analyse sans agent, sans dépendance à l'égard de l’agent Log Analytics (MMA) ou agent Azure Monitor (AMA). Pour plus d’informations sur ce changement, consultez cette annonce.
Dans Defender pour le cloud, vous allez activer des plans spécifiques pour obtenir les fonctionnalités de protection de la plateforme de charge de travail cloud (CWPP). Les plans de protection des ressources multicloud sont les suivants :
- Defender pour serveurs : protéger les ordinateurs AWS/GCP Windows et Linux.
- Defender pour conteneurs : contribuer à sécuriser vos clusters Kubernetes avec des suggestions de sécurité et un renforcement, des évaluations des vulnérabilités et une protection à l’exécution.
- Defender pour SQL : protéger les bases de données SQL s’exécutant dans AWS et GCP.
De quelle extension ai-je besoin ?
Le tableau suivant récapitule les exigences en termes d’extensions pour CWPP.
| Extension | Defender pour les serveurs | Defender pour les conteneurs | Defender pour SQL sur les machines |
|---|---|---|---|
| Agent Azure Arc | ✔ | ✔ | ✔ |
| Extension Microsoft Defender pour point de terminaison | ✔ | ||
| Évaluation des vulnérabilités | ✔ | ||
| Analyse de disque sans agent | ✔ | ✔ | |
| Extension Log Analytics ou Agent Azure Monitor (préversion) | ✔ | ✔ | |
| Capteur Defender | ✔ | ||
| Azure Policy pour Kubernetes | ✔ | ||
| Données de journal d’audit Kubernetes | ✔ | ||
| Serveurs SQL Server sur des machines | ✔ | ||
| Détection et inscription automatiques de SQL Server | ✔ |
Defender pour les serveurs
L’activation de Defender pour serveurs sur votre connecteur AWS ou GCP permet à Defender pour le cloud d’assurer une protection serveur à vos machines virtuelles Google Compute Engine et à vos instances AWS EC2.
Analyse des plans
Defender pour serveurs propose deux plans différents :
Plan 1 :
- Intégration de MDE : : Le plan 1 s’intègre à Microsoft Defender pour point de terminaison Plan 2 pour fournir une solution complète de détection et de réponse des points de terminaison (EDR) pour les machines exécutant une gamme de systèmes d’exploitation. Defender pour les fonctionnalités de point de terminaison comprend :
- Réduction de la surface d’attaque pour les machines.
- Fournir de fonctionnalités antivirus .
- Gestion des menaces, y compris la chasse aux menaces, la détection, l’analytiqueet l’investigation et la réponse automatisées.
- Approvisionnement : approvisionnement automatique du capteur Defender pour point de terminaison sur chaque machine prise en charge connectée à Defender pour le cloud.
- Gestionnaire de licences : facture les licences Defender pour point de terminaison à l’heure et non par poste, réduisant ainsi les coûts en protégeant les machines virtuelles lorsqu’elles sont en cours d’utilisation uniquement.
- Intégration de MDE : : Le plan 1 s’intègre à Microsoft Defender pour point de terminaison Plan 2 pour fournir une solution complète de détection et de réponse des points de terminaison (EDR) pour les machines exécutant une gamme de systèmes d’exploitation. Defender pour les fonctionnalités de point de terminaison comprend :
Plan 2 : inclut tous les composants du Plan 1, ainsi que des fonctionnalités supplémentaires telles que la surveillance de l’intégrité des fichiers (FIM), l’accès juste-à-temps (JIT) à la machine virtuelle, etc.
Passez en revue les fonctionnalités de chaque plan avant l’intégration à Defender pour serveurs.
Analyse des composants - Defender pour serveurs
Les composants et exigences suivants sont nécessaires pour bénéficier d’une protection complète du plan Defender pour serveurs :
- Agent Azure Arc : les machines AWS et GCP se connectent à Azure à l’aide d’Azure Arc. L’agent Azure Arc les connecte.
- L’agent Azure Arc est nécessaire pour lire les informations de sécurité au niveau de l’hôte et permettre à Defender pour le cloud de déployer les agents/extensions requis pour une protection complète. Pour approvisionner automatiquement l’agent Azure Arc, l’agent de configuration du système d’exploitation sur les instances de machine virtuelle GCP et l’agent AWS Systems Manager (SSM) pour les instances AWS EC2 doivent être configurés. En savoir plus sur l’agent.
- Fonctionnalités de Defender pour point de terminaison : l’agent Microsoft Defender pour point de terminaison offre des fonctionnalités complètes de détection et de réponse de point de terminaison (EDR).
- Évaluation des vulnérabilités : utilisation du scanneur de vulnérabilités Qualys intégré ou de la solution Gestion des vulnérabilités Microsoft Defender.
- Agent Log Analytics/Agent Azure Monitor (AMA) (en préversion) : collecte les informations de configuration liées à la sécurité et les journaux d’événements des machines.
Vérification de la configuration réseau requise
Les machines doivent répondre aux exigences réseau avant d’intégrer les agents. L’approvisionnement automatique est activé par défaut.
Defender pour les conteneurs
L’activation de Defender pour les conteneurs fournit des clusters GKE et EKS et des hôtes sous-jacents avec ces fonctionnalités de sécurité.
Analyse des composants - Defender pour les conteneurs
Les composants requis sont les suivants :
- Agent Azure Arc : connecte vos clusters GKE et EKS à Azure et intègre le capteur Defender.
- Capteur Defender : assure une protection contre les menaces du runtime au niveau de l’hôte.
- Azure Policy for Kubernetes : étend Gatekeeper v3 pour surveiller chaque requête auprès du serveur d’API Kubernetes, et garantit que les bonnes pratiques de sécurité sont suivies sur les clusters et les charges de travail.
- Journaux d’audit Kubernetes : les journaux d’audit du serveur d’API permettent à Defender pour les conteneurs d’identifier les activités suspectes sur vos serveurs multicloud et de fournir des informations plus approfondies lors de l’examen des alertes. L’envoi des « journaux d’audit Kubernetes » doit être activé au niveau du connecteur.
Vérification des exigences de mise en réseau - Defender pour les conteneurs
Veillez à vérifier que vos clusters répondent aux exigences réseau pour que le capteur Defender puisse se connecter à Defender pour le cloud.
Defender pour SQL
Defender pour SQL assure une détection des menaces pour le moteur de calcul GCP et AWS. Le plan Defender pour SQL Server sur les machines doit être activé sur l’abonnement où se trouve le connecteur.
Analyse des composants - Defender pour SQL
Pour bénéficier de tous les avantages de Defender pour SQL sur votre charge de travail multicloud, vous avez besoin des composants suivants :
- Agent Azure Arc : les machines AWS et GCP se connectent à Azure à l’aide d’Azure Arc. L’agent Azure Arc les connecte.
- L’agent Azure Arc est nécessaire pour lire les informations de sécurité au niveau de l’hôte et permettre à Defender pour le cloud de déployer les agents/extensions requis pour une protection complète.
- Pour approvisionner automatiquement l’agent Azure Arc, l’agent de configuration du système d’exploitation sur les instances de machine virtuelle GCP et l’agent AWS Systems Manager (SSM) pour les instances AWS EC2 doivent être configurés. En savoir plus sur l’agent.
- Agent Log Analytics/Agent Azure Monitor (AMA) (en préversion) : collecte les informations de configuration liées à la sécurité et les journaux d’événements des machines
- Détection et inscription automatique des serveurs SQL : prend en charge la découverte et l’inscription automatiques des serveurs SQL
Étapes suivantes
Dans cet article, vous avez appris à déterminer les dépendances multicloud lors de la conception d’une solution de sécurité multicloud. Passez à l’étape suivante pour automatiser le déploiement du connecteur.