Verbinding maken hybride cloud- en multicloudomgevingen Microsoft Defender voor Cloud

  • 7 minuten

Verbinding maken hybride cloud- en multicloudomgevingen Microsoft Defender voor Cloud is van cruciaal belang om een uniforme beveiligingspostuur te behouden in verschillende IT-landschappen. Met servers met Azure Arc voor niet-Azure-machines, de systeemeigen cloud-Verbinding maken or en de klassieke Verbinding maken or kunt u de mogelijkheden van Microsoft Defender voor Cloud uitbreiden naar niet-Azure-resources. Met deze integratie kunt u beveiligingsrisico's uitgebreid bewaken, detecteren en erop reageren. Hier geven we een informatief overzicht van het proces, samen met gedetailleerde vereisten voor een geslaagde verbinding.

Verbinding maken uw niet-Azure-machines Microsoft Defender voor Cloud

Microsoft Defender voor Cloud kunt de beveiligingspostuur van uw niet-Azure-machines bewaken, maar eerst moet u ze verbinden met Azure.

U kunt uw niet-Azure-computers verbinden op een van de volgende manieren:

  • Onboarding met Azure Arc:
    • Door servers met Azure Arc te gebruiken (aanbevolen)
    • Met Azure Portal
  • Rechtstreeks onboarden met Microsoft Defender voor Eindpunt

Verbinding maken on-premises machines met behulp van Azure Arc

Een machine met servers met Azure Arc wordt een Azure-resource. Wanneer u de Log Analytics-agent erop installeert, wordt deze weergegeven in Defender voor Cloud met aanbevelingen, zoals uw andere Azure-resources.

Servers met Azure Arc bieden verbeterde mogelijkheden, zoals het inschakelen van gastconfiguratiebeleid op de computer en het vereenvoudigen van de implementatie met andere Azure-services. Zie Ondersteunde cloudbewerkingen voor een overzicht van de voordelen van servers met Azure Arc.

Als u Azure Arc op één computer wilt implementeren, volgt u de instructies in de quickstart: Verbinding maken hybride machines met servers met Azure Arc.

Als u Azure Arc op meerdere computers op schaal wilt implementeren, volgt u de instructies in Verbinding maken hybride machines op schaal naar Azure.

Defender voor Cloud hulpprogramma's voor het automatisch implementeren van de Log Analytics-agent werken met machines met Azure Arc. Deze mogelijkheid is echter momenteel beschikbaar als preview-versie. Wanneer u uw machines verbindt met behulp van Azure Arc, gebruikt u de relevante Defender voor Cloud aanbeveling om de agent te implementeren en te profiteren van het volledige scala aan beveiligingen dat Defender voor Cloud biedt:

  • De Log Analytics-agent moet zijn geïnstalleerd op Azure Arc-machines onder Linux
  • De Log Analytics-agent moet zijn geïnstalleerd op uw Azure Arc-machines onder Windows

Verbinding maken uw AWS-account Microsoft Defender voor Cloud

Workloads omvatten vaak meerdere cloudplatforms. Cloudbeveiligingsservices moeten hetzelfde doen. Microsoft Defender voor Cloud helpt workloads in Amazon Web Services (AWS) te beveiligen, maar u moet de verbinding tussen deze workloads en Defender voor Cloud instellen.

Als u een AWS-account verbindt dat u eerder hebt verbonden met de klassieke connector, moet u dit eerst verwijderen. Het gebruik van een AWS-account dat is verbonden met zowel de klassieke als systeemeigen connectors, kan dubbele aanbevelingen opleveren.

Vereisten

Als u de procedures in dit artikel wilt voltooien, hebt u het volgende nodig:

  • Een Microsoft Azure-abonnement. Als u geen Azure-abonnement hebt, kunt u zich aanmelden voor een gratis abonnement.
  • Microsoft Defender voor Cloud ingesteld voor uw Azure-abonnement.
  • Toegang tot een AWS-account.
  • Inzendermachtiging voor het relevante Azure-abonnement en Beheer machtiging voor het AWS-account.

Defender voor Containers

Als u het Microsoft Defender for Containers-abonnement kiest, hebt u het volgende nodig:

  • Ten minste één Amazon EKS-cluster met toestemming voor toegang tot de EKS Kubernetes API-server.
  • De resourcecapaciteit voor het maken van een nieuwe SqS-wachtrij (Amazon Simple Queue Service), de Kinesis Data Firehose-leveringsstroom en de Amazon S3-bucket in de regio van het cluster.

Defender voor SQL

Als u het Microsoft Defender voor SQL-abonnement kiest, hebt u het volgende nodig:

  • Microsoft Defender voor SQL ingeschakeld voor uw abonnement. Meer informatie over het beveiligen van uw databases.
  • Een actief AWS-account met EC2-exemplaren waarop SQL Server of Relational Database Service (RDS) Custom for SQL Server wordt uitgevoerd.
  • Azure Arc voor servers die zijn geïnstalleerd op uw EC2-exemplaren of RDS Custom voor SQL Server.

U wordt aangeraden het proces voor automatische inrichting te gebruiken om Azure Arc te installeren op al uw bestaande en toekomstige EC2-exemplaren. Als u automatische inrichting van Azure Arc wilt inschakelen, hebt u de machtiging Eigenaar nodig voor het relevante Azure-abonnement.

AWS Systems Manager (SSM) beheert automatisch inrichten met behulp van de SSM-agent. Voor sommige Amazon Machine-installatiekopieën is de SSM-agent al vooraf geïnstalleerd. Als uw EC2-exemplaren de SSM-agent niet hebben, installeert u deze met behulp van deze instructies van Amazon: SSM Agent installeren voor een hybride omgeving en een omgeving met meerdere clouds (Windows).

Zorg ervoor dat uw SSM-agent het beheerde beleid AmazonSSMManagedInstanceCore heeft. Het maakt kernfunctionaliteit mogelijk voor de AWS Systems Manager-service.

Schakel deze andere extensies in op de met Azure Arc verbonden machines:

  • Microsoft Defender voor Eindpunten
  • Een oplossing voor evaluatie van beveiligingsproblemen (Beheer van bedreigingen en beveiligingsproblemen of Qualys)
  • De Log Analytics-agent op met Azure Arc verbonden machines of de Azure Monitor-agent

Zorg ervoor dat voor de geselecteerde Log Analytics-werkruimte een beveiligingsoplossing is geïnstalleerd. De Log Analytics-agent en de Azure Monitor-agent zijn momenteel geconfigureerd op abonnementsniveau. Al uw AWS-accounts en GCP-projecten (Google Cloud Platform) onder hetzelfde abonnement nemen de abonnementsinstellingen voor de Log Analytics-agent en de Azure Monitor-agent over.

Defender voor Servers

Als u het Microsoft Defender for Servers-abonnement kiest, hebt u het volgende nodig:

  • Microsoft Defender voor Servers ingeschakeld voor uw abonnement. Meer informatie over het inschakelen van plannen in verbeterde beveiligingsfuncties inschakelen.
  • Een actief AWS-account met EC2-exemplaren.
  • Azure Arc voor servers die zijn geïnstalleerd op uw EC2-exemplaren.

U wordt aangeraden het proces voor automatische inrichting te gebruiken om Azure Arc te installeren op al uw bestaande en toekomstige EC2-exemplaren. Als u automatische inrichting van Azure Arc wilt inschakelen, hebt u de machtiging Eigenaar nodig voor het relevante Azure-abonnement.

AWS Systems Manager beheert automatisch inrichten met behulp van de SSM-agent. Voor sommige Amazon Machine-installatiekopieën is de SSM-agent al vooraf geïnstalleerd. Als uw EC2-exemplaren de SSM-agent niet hebben, installeert u deze met behulp van een van de volgende instructies van Amazon:

  • SSM-agent installeren voor een hybride omgeving en een omgeving met meerdere clouds (Windows)
  • SSM-agent installeren voor een hybride omgeving en een omgeving met meerdere clouds (Linux)

Zorg ervoor dat uw SSM-agent het beheerde beleid AmazonSSMManagedInstanceCore heeft, waardoor de kernfunctionaliteit voor de AWS Systems Manager-service mogelijk is.

Als u Azure Arc handmatig wilt installeren op uw bestaande en toekomstige EC2-exemplaren, moet u de EC2-exemplaren verbinden met azure Arc-aanbeveling om exemplaren te identificeren waarop Azure Arc niet is geïnstalleerd.

Schakel deze andere extensies in op de met Azure Arc verbonden machines:

  • Microsoft Defender voor Eindpunten
  • Een oplossing voor evaluatie van beveiligingsproblemen (Beheer van bedreigingen en beveiligingsproblemen of Qualys)
  • De Log Analytics-agent op met Azure Arc verbonden machines of de Azure Monitor-agent

Zorg ervoor dat voor de geselecteerde Log Analytics-werkruimte een beveiligingsoplossing is geïnstalleerd. De Log Analytics-agent en de Azure Monitor-agent zijn momenteel geconfigureerd op abonnementsniveau. Al uw AWS-accounts en GCP-projecten onder hetzelfde abonnement nemen de abonnementsinstellingen voor de Log Analytics-agent en de Azure Monitor-agent over.

Defender for Servers wijst tags toe aan uw AWS-resources om het automatische inrichtingsproces te beheren. U moet deze tags correct aan uw resources hebben toegewezen, zodat Defender voor Cloud ze kunnen beheren: AccountId, Cloud, InstanceIden MDFCSecurityConnector.

Defender CSPM

Als u het Microsoft Defender Cloud Security Posture Management-plan kiest, hebt u het volgende nodig:

  • Een Azure-abonnement. Als u geen Azure-abonnement hebt, kunt u zich registreren voor een gratis abonnement.
  • U moet Microsoft Defender voor Cloud inschakelen voor uw Azure-abonnement.
  • Verbinding maken uw niet-Azure-machines, AWS-accounts.
  • Als u toegang wilt krijgen tot alle functies die beschikbaar zijn in het CSPM-abonnement, moet het abonnement worden ingeschakeld door de eigenaar van het abonnement.