Delen via

Vereisten voor plannen en agents bepalen

  • Artikel

Dit artikel is een van de reeks richtlijnen voor het ontwerpen van een cloudbeveiligingspostuurbeheer (CSPM) en CWP-oplossing (Cloud Workload Protection) voor resources met meerdere clouds met Microsoft Defender voor Cloud.

Goal

Bepaal welke plannen u wilt inschakelen en vereisten voor elk plan.

Aan de slag

Wanneer u assets in de cloud beveiligt, moet u bepalen welke plannen u wilt inschakelen voor uw gewenste beveiliging, en moet u agentonderdelen installeren indien en indien nodig voor elk plan.

Overwegingen voor agents

Er zijn gegevensoverwegingen voor agents en extensies die door Defender voor Cloud worden gebruikt.

  • CSPM: CSPM-functionaliteit in Defender voor Cloud zonder agent is. Er zijn geen agents nodig om CSPM te laten werken.
  • CWP: Sommige functionaliteit voor workloadbeveiliging voor Defender voor Cloud vereist dat agents gegevens verzamelen.

Defender for Servers-abonnement

Agents worden als volgt gebruikt in het Defender for Servers-plan:

  • Niet-Azure-openbare clouds maken verbinding met Azure door gebruik te maken van de Azure Arc-service .
  • De Azure Connected Machine-agent wordt geïnstalleerd op machines met meerdere clouds die als Azure Arc-machines onboarden. Defender voor Cloud moet zijn ingeschakeld in het abonnement waarin de Azure Arc-machines zich bevinden.
  • Defender voor Cloud maakt gebruik van de Connected Machine-agent om extensies (zoals Microsoft Defender voor Eindpunt) te installeren die nodig zijn voor de functionaliteit van Defender voor servers.
  • Log Analytics-agent/Azure Monitor Agent (AMA) is nodig voor bepaalde functionaliteit van Defender for Service Plan 2 .
    • De agents kunnen automatisch worden ingericht door Defender voor Cloud.
    • Wanneer u automatische inrichting inschakelt, geeft u op waar verzamelde gegevens moeten worden opgeslagen. In de standaard Log Analytics-werkruimte die is gemaakt door Defender voor Cloud of in een andere werkruimte in uw abonnement. Meer informatie.
    • Als u ervoor kiest om continu gegevens te exporteren, kunt u inzoomen op en configureren van de typen gebeurtenissen en waarschuwingen die worden opgeslagen. Meer informatie.
  • Log Analytics-werkruimte:
    • U definieert de Log Analytics-werkruimte die u op abonnementsniveau gebruikt. Dit kan een standaardwerkruimte of een aangepaste werkruimte zijn.
    • Er zijn verschillende redenen om de standaardwerkruimte te selecteren in plaats van de aangepaste werkruimte.
    • De locatie van de standaardwerkruimte is afhankelijk van uw Azure Arc-machineregio. Meer informatie.
    • De locatie van de aangepaste werkruimte wordt ingesteld door uw organisatie. Meer informatie over het gebruik van een aangepaste werkruimte.

Defender for Containers-abonnement

Defender for Containers beschermt uw multicloudcontainerimplementaties die worden uitgevoerd in:

  • Azure Kubernetes Service (AKS): de beheerde service van Microsoft voor het ontwikkelen, implementeren en beheren van toepassingen in containers.
  • Amazon Elastic Kubernetes Service (EKS) in een verbonden AWS-account : de beheerde service van Amazon voor het uitvoeren van Kubernetes op AWS zonder dat u uw eigen Kubernetes-besturingsvlak of -knooppunten hoeft te installeren, te gebruiken en te onderhouden.
  • Google Kubernetes Engine (GKE) in een verbonden GCP-project : de beheerde omgeving van Google voor het implementeren, beheren en schalen van toepassingen met behulp van GCP-infrastructuur.
  • Andere Kubernetes-distributies: met Behulp van Kubernetes met Azure Arc, waarmee u Kubernetes-clusters kunt koppelen en configureren die overal worden uitgevoerd, inclusief andere openbare clouds en on-premises.

Defender for Containers heeft zowel op sensor gebaseerde als agentloze onderdelen.

  • Verzameling zonder agent van Kubernetes-auditlogboekgegevens: Amazon CloudWatch of GCP Cloud Logging maakt auditlogboekgegevens mogelijk en verzamelt deze en verzendt de verzamelde gegevens naar Defender voor Cloud voor verdere analyse. Gegevensopslag is gebaseerd op de AWS-regio van het EKS-cluster, in overeenstemming met de AVG - EU en DE VS.
  • Verzameling zonder agent voor Kubernetes-inventaris: verzamel gegevens op uw Kubernetes-clusters en hun resources, zoals: Naamruimten, Implementaties, Pods en Ingresses.
  • Op sensor gebaseerde Kubernetes met Azure Arc: verbindt uw EKS- en GKE-clusters met Azure met behulp van Azure Arc-agents, zodat ze worden behandeld als Azure Arc-resources.
  • Defender-sensor: een DaemonSet die signalen verzamelt van hosts met behulp van eBPF-technologie en runtimebeveiliging biedt. De extensie wordt geregistreerd bij een Log Analytics-werkruimte en wordt gebruikt als gegevenspijplijn. De auditlogboekgegevens worden niet opgeslagen in de Log Analytics-werkruimte.
  • Azure Policy voor Kubernetes: configuratiegegevens worden verzameld door Azure Policy voor Kubernetes.
    • Azure Policy voor Kubernetes breidt de opensource Gatekeeper v3-toegangscontrollerwebhook voor Open Policy Agent uit.
    • De extensie wordt geregistreerd als webhook voor Kubernetes-toegangsbeheer en maakt het mogelijk om afdwinging op schaal toe te passen, uw clusters op een gecentraliseerde, consistente manier te beschermen.

Defender for Databases-abonnement

Voor het Defender for Databases-plan in een scenario met meerdere clouds maakt u gebruik van Azure Arc om de SQL Server-databases met meerdere clouds te beheren. Het SQL Server-exemplaar wordt geïnstalleerd op een virtuele of fysieke machine die is verbonden met Azure Arc.

  • De Azure Connected Machine-agent wordt geïnstalleerd op computers die zijn verbonden met Azure Arc.
  • Het Defender for Databases-abonnement moet zijn ingeschakeld in het abonnement waarin de Azure Arc-machines zich bevinden.
  • De Log Analytics-agent voor Microsoft Defender SQL-servers moet worden ingericht op de Azure Arc-machines. Het verzamelt beveiligingsgerelateerde configuratie-instellingen en gebeurtenislogboeken van computers.
  • Automatische DETECTIE en registratie van SQL Server moet worden ingesteld op Aan om SQL Database-detectie op de computers toe te staan.

Als het gaat om de werkelijke AWS- en GCP-resources die worden beveiligd door Defender voor Cloud, wordt hun locatie rechtstreeks vanuit de AWS- en GCP-clouds ingesteld.

Volgende stappen

In dit artikel hebt u geleerd hoe u uw vereisten voor gegevenslocatie kunt bepalen bij het ontwerpen van een beveiligingsoplossing voor meerdere clouds. Ga verder met de volgende stap om de nalevingsvereisten te bepalen.