マルチクラウドの依存関係の決定
この記事は、Microsoft Defender for Cloud を使用してマルチクラウド リソース全体のクラウド セキュリティ態勢管理 (CSPM) とクラウド ワークロード保護 (CWP) ソリューションを設計する際のガイダンスを提供するシリーズの 1 つです。
目標
マルチクラウド設計に影響を与える可能性がある依存関係を把握します。
はじめに
マルチクラウド ソリューションを設計する際には、Defender for Cloud のすべてのマルチクラウド機能を利用するために必要なコンポーネントを明確に把握することが重要です。
CSPM
Defender for Cloud には、AWS および GCP ワークロード用のクラウド セキュリティ態勢管理 (CSPM) 機能が用意されています。
- AWS と GCP をオンボードすると、Defender for Cloud は業界標準に基づいてマルチクラウド ワークロードの評価を開始し、セキュリティ態勢に関するレポートを開始します。
- CSPM の機能はエージェントレスであり、AWS または GCP コネクタのオンボードが成功する場合を除き、他のコンポーネントには依存しません。
- セキュリティ態勢管理プランは既定で有効になっており、オフにはできないことに注意してください。
- CSPM の AWS リソースを検出するために必要な IAM アクセス許可について説明します。
CWPP
Note
Log Analytics エージェントは 2024 年 8 月に廃止される予定であり、Defender for Cloud の更新された戦略の一環として、すべての Defender for Servers の機能は、Log Analytics エージェント (MMA) または Azure Monitor エージェント (AMA) に依存せずに、Microsoft Defender for Endpoint 統合またはエージェントレス スキャンによって提供されるようになります。 変更について詳しくは、こちらの発表をご覧ください。
Defender for Cloud では、特定のプランを有効にすることで、Cloud Workload Platform Protection (CWPP) 機能を利用することができます。 マルチクラウド リソースを保護するプランには、次のものがあります。
- Defender for Servers: AWS または GCP の Windows および Linux マシンを保護します。
- Defender for Containers: セキュリティに関する推奨事項とセキュリティ強化、脆弱性評価、ランタイム保護を使用して、Kubernetes クラスターをセキュリティで保護します。
- Defender for SQL: AWS と GCP で実行されている SQL データベースを保護します。
必要な拡張機能
次の表は、CWPP の拡張機能要件をまとめたものです。
| 拡張子 | Defender for Servers | Defender for Containers | Defender for SQL on Machines |
|---|---|---|---|
| Azure Arc エージェント | ✔ | ✔ | ✔ |
| Microsoft Defender for Endpoint 拡張機能 | ✔ | ||
| 脆弱性評価 | ✔ | ||
| エージェントレス ディスク スキャン | ✔ | ✔ | |
| Log Analytics または Azure Monitor エージェント (プレビュー) 拡張機能 | ✔ | ✔ | |
| Defender センサー | ✔ | ||
| Kubernetes 用の Azure Policy | ✔ | ||
| Kubernetes の監査ログ データ | ✔ | ||
| マシン上の SQL サーバー | ✔ | ||
| SQL Server の自動検出および登録 | ✔ |
Defender for Servers
AWS または GCP コネクタで Defender for Servers を有効にすると、Defender for Cloud による Google コンピューティング エンジン VM と AWS EC2 インスタンスへのサーバー保護が提供されるようになります。
プランを確認する
Defender for Servers には、2 つの異なるプランが用意されています。
プラン 1:
- MDE 統合: プラン 1 は、Microsoft Defender for Endpoint プラン 2 と統合され、さまざまなオペレーティング システムを実行しているマシンに完全なエンドポイント検出と応答 (EDR) のソリューションを提供します。 Defender for Endpoint の機能には以下のものがあります。
- プロビジョニング: Defender for Cloud に接続されているすべてのサポートされているマシンに、Defender for Endpoint センサーを自動的にプロビジョニングします。
- ライセンス: Defender for Endpoint のライセンスはシート単位ではなく時間単位で課金され、仮想マシンを使用時にのみ保護することでコストが削減されます。
プラン 2: プラン 1 のすべてのコンポーネントと、ファイル整合性監視 (FIM)、Just-In-Time (JIT) VM アクセスなどの追加機能が含まれます。
Defender for Servers にオンボードする前に、各プランの機能を確認するようにしてください。
コンポーネントを確認する - Defender for Servers
Defender for Servers プランによる完全な保護を受けるには、以下のコンポーネントと要件が必要です。
- Azure Arc エージェント: AWS マシンと GCP マシンは、Azure Arc を使用して Azure に接続します。これらは、Azure Arc エージェントによって接続されます。
- Azure Arc エージェントは、ホスト レベルのセキュリティ情報を読み取り、Defender for Cloud が完全な保護に必要なエージェントまたは拡張機能をデプロイできるようにするために必要です。 Azure Arc エージェントを自動プロビジョニングするには、GCP VM インスタンスの OS 構成エージェントと AWS EC2 インスタンスの AWS Systems Manager (SSM) エージェントを構成する必要があります。 エージェントの詳細については、こちらをご覧ください。
- Defender for Endpoint 機能: Microsoft Defender for Endpoint エージェントは、包括的なエンドポイントでの検出と対応 (EDR) 機能を提供します。
- 脆弱性評価: 統合された Qualys 脆弱性スキャナー、または Microsoft Defender 脆弱性の管理ソリューションを使用します。
- Log Analytics エージェント/Azure Monitor エージェント (AMA) (プレビュー段階): コンピューターからセキュリティ関連の構成情報とイベント ログを収集します。
ネットワーク要件を確認する
コンピューターは、エージェントのオンボーディング前にネットワーク要件を満たす必要があります。 自動プロビジョニングは既定で有効になっています。
Defender for Containers
Defender for Containers を有効にすると、GKE と EKS クラスターと基になるホストに、これらのセキュリティ機能が提供されます。
コンポーネントを確認する - Defender for Containers
必要なコンポーネント は次のとおりです。
- Azure Arc エージェント: GKE と EKS クラスターを Azure に接続し、Defender センサーをオンボードします。
- Defender センサー: ホストレベルでランタイムの脅威に対する保護を提供します。
- Kubernetes 用の Azure Policy: Gatekeeper v3 を拡張して Kubernetes API サーバーに対するすべての要求を監視し、クラスターとワークロードでセキュリティのベスト プラクティスが守られていることを確認します。
- Kubernetes 監査ログ: API サーバーからの監査ログにより、Defender for Containers はマルチクラウド サーバー内の疑わしいアクティビティを特定し、アラートを調査しながらより深い分析情報を提供することができます。 "Kubernetes 監査ログ" の送信は、コネクタ レベルで有効にする必要があります。
ネットワーク要件を確認する - Defender for Containers
Defender センサーが Defender for Cloud に接続できるように、クラスターがネットワーク要件を満たしていることを確認します。
Defender for SQL
Defender for SQL は、GCP コンピューティング エンジンと AWS の脅威検出を提供します。 Defender for SQL Server on Machines プランは、コネクタが配置されているサブスクリプションで有効にする必要があります。
コンポーネントを確認する - Defender for SQL
マルチクラウド ワークロードで Defender for SQL の利点を最大限に活用するには、次のコンポーネントが必要です。
- Azure Arc エージェント: AWS マシンと GCP マシンは、Azure Arc を使用して Azure に接続します。これらは、Azure Arc エージェントによって接続されます。
- Azure Arc エージェントは、ホスト レベルのセキュリティ情報を読み取り、Defender for Cloud が完全な保護に必要なエージェントまたは拡張機能をデプロイできるようにするために必要です。
- Azure Arc エージェントを自動プロビジョニングするには、GCP VM インスタンスの OS 構成エージェントと AWS EC2 インスタンスの AWS Systems Manager (SSM) エージェントを構成する必要があります。 エージェントの詳細については、こちらをご覧ください。
- Log Analytics エージェント/Azure Monitor エージェント (AMA) (プレビュー段階): コンピューターからセキュリティ関連の構成情報とイベント ログを収集します
- SQL サーバーの自動検出と登録: SQL サーバーの自動検出と登録をサポート
次の手順
この記事では、マルチクラウド セキュリティ ソリューションを設計する際にマルチクラウドの依存関係を決定する方法について説明しました。 コネクタのデプロイを自動化する次のステップに進んでください。