Udostępnij za pośrednictwem

Określanie wymagań dotyczących planu i agentów

  • Artykuł

Ten artykuł jest jedną z serii, która zawiera wskazówki dotyczące projektowania rozwiązania do zarządzania stanem zabezpieczeń w chmurze (CSPM) i ochrony obciążeń w chmurze (CWP) w zasobach wielochmurowych przy użyciu Microsoft Defender dla Chmury.

Goal

Określ, jakie plany mają być włączone i wymagania dla każdego planu.

Rozpocznij

W przypadku ochrony zasobów w chmurze należy określić, jakie plany mają włączyć odpowiednią ochronę, a także instalować składniki agenta w razie potrzeby i zgodnie z potrzebami dla każdego planu.

Zagadnienia dotyczące agenta

Istnieją zagadnienia dotyczące danych dotyczących agentów i rozszerzeń używanych przez Defender dla Chmury.

  • CSPM: Funkcja CSPM w Defender dla Chmury jest bez agenta. Do pracy nie są wymagane żadne agenty CSPM.
  • CWP: Niektóre funkcje ochrony obciążenia dla Defender dla Chmury wymagają użycia agentów do zbierania danych.

Plan usługi Azure Defender for Servers

Agenci są używane w planie usługi Defender for Servers w następujący sposób:

  • Chmury publiczne spoza platformy Azure łączą się z platformą Azure, korzystając z usługi Azure Arc .
  • Agent usługi Azure Connected Machine jest instalowany na maszynach z wieloma chmurami, które są dołączane jako maszyny usługi Azure Arc. Defender dla Chmury należy włączyć w subskrypcji, w której znajdują się maszyny usługi Azure Arc.
  • Defender dla Chmury korzysta z agenta połączonej maszyny do instalowania rozszerzeń (takich jak Ochrona punktu końcowego w usłudze Microsoft Defender), które są wymagane dla funkcji usługi Defender for Servers.
  • Agent usługi Log Analytics/agent usługi Azure Monitor (AMA) jest wymagany w przypadku niektórych funkcji usługi Defender for Service Plan 2 .
    • Agenci mogą być aprowizowani automatycznie przez Defender dla Chmury.
    • Po włączeniu automatycznej aprowizacji należy określić miejsce przechowywania zebranych danych. W domyślnym obszarze roboczym usługi Log Analytics utworzonym przez Defender dla Chmury lub w dowolnym innym obszarze roboczym w subskrypcji. Dowiedz się więcej.
    • Jeśli wybierzesz opcję ciągłego eksportowania danych, możesz przejść do szczegółów i skonfigurować typy zdarzeń i alertów, które są zapisywane. Dowiedz się więcej.
  • Obszar roboczy usługi Log Analytics:
    • Zdefiniuj obszar roboczy usługi Log Analytics używany na poziomie subskrypcji. Może to być domyślny obszar roboczy lub obszar roboczy utworzony niestandardowy.
    • Istnieje kilka powodów, dla których należy wybrać domyślny obszar roboczy, a nie niestandardowy obszar roboczy.
    • Lokalizacja domyślnego obszaru roboczego zależy od regionu maszyny usługi Azure Arc. Dowiedz się więcej.
    • Lokalizacja niestandardowego obszaru roboczego jest ustawiana przez organizację. Dowiedz się więcej o korzystaniu z niestandardowego obszaru roboczego.

Plan usługi Defender for Containers

Usługa Defender for Containers chroni wdrożenia kontenerów z wieloma chmurami uruchomione w:

  • Azure Kubernetes Service (AKS) — zarządzana usługa firmy Microsoft do tworzenia, wdrażania i zarządzania aplikacjami konteneryzowanymi.
  • Amazon Elastic Kubernetes Service (EKS) na połączonym koncie platformy AWS — zarządzana usługa Amazon do uruchamiania platformy Kubernetes na platformie AWS bez konieczności instalowania, obsługi i obsługi własnej płaszczyzny sterowania lub węzłów platformy Kubernetes.
  • Google Kubernetes Engine (GKE) w połączonym projekcie GCP — zarządzane środowisko Google do wdrażania, zarządzania i skalowania aplikacji przy użyciu infrastruktury GCP.
  • Inne dystrybucje kubernetes — przy użyciu platformy Kubernetes z włączoną usługą Azure Arc, która umożliwia dołączanie i konfigurowanie klastrów Kubernetes działających w dowolnym miejscu, w tym innych chmur publicznych i lokalnych.

Usługa Defender for Containers ma zarówno składniki oparte na czujnikach, jak i bez agenta.

  • Zbieranie danych dziennika inspekcji platformy Kubernetes bez agenta: usługa Amazon CloudWatch lub funkcja rejestrowania chmury GCP włącza i zbiera dane dziennika inspekcji oraz wysyła zebrane informacje do Defender dla Chmury w celu dalszej analizy. Magazyn danych jest oparty na regionie PLATFORMY AWS klastra EKS zgodnie z RODO — UE i USA.
  • Zbieranie bez agentów dla spisu platformy Kubernetes: zbieranie danych w klastrach Kubernetes i ich zasobach, takich jak przestrzenie nazw, wdrożenia, zasobniki i ruch przychodzący.
  • Kubernetes z obsługą czujników w usłudze Azure Arc: łączy klastry EKS i GKE z platformą Azure przy użyciu agentów usługi Azure Arc, aby były traktowane jako zasoby usługi Azure Arc.
  • Czujnik usługi Defender: zestaw DaemonSet, który zbiera sygnały z hostów przy użyciu technologii eBPF i zapewnia ochronę środowiska uruchomieniowego. Rozszerzenie jest rejestrowane w obszarze roboczym usługi Log Analytics i używane jako potok danych. Dane dziennika inspekcji nie są przechowywane w obszarze roboczym usługi Log Analytics.
  • Usługa Azure Policy dla platformy Kubernetes: informacje o konfiguracji są zbierane przez usługę Azure Policy dla platformy Kubernetes.
    • Usługa Azure Policy dla platformy Kubernetes rozszerza element webhook kontrolera danych programu Gatekeeper w wersji 3 typu open source dla agenta open policy.
    • Rozszerzenie rejestruje się jako element webhook do kontroli wpływu na platformę Kubernetes i umożliwia stosowanie wymuszania na dużą skalę, zabezpieczanie klastrów w scentralizowany, spójny sposób.

Plan usługi Defender for Databases

W przypadku planu usługi Defender for Databases w scenariuszu z wieloma chmurami usługa Azure Arc umożliwia zarządzanie wielochmurowymi bazami danych programu SQL Server. Wystąpienie programu SQL Server jest instalowane na maszynie wirtualnej lub fizycznej połączonej z usługą Azure Arc.

  • Agent połączonej maszyny platformy Azure jest instalowany na maszynach połączonych z usługą Azure Arc.
  • Plan usługi Defender for Databases powinien być włączony w subskrypcji, w której znajdują się maszyny usługi Azure Arc.
  • Agent usługi Log Analytics dla serwerów SQL Usługi Microsoft Defender powinien być aprowizowany na maszynach usługi Azure Arc. Zbiera ustawienia konfiguracji związane z zabezpieczeniami i dzienniki zdarzeń z maszyn.
  • Aby zezwolić na odnajdywanie baz danych SQL na maszynach, należy ustawić opcję Automatyczne odnajdywanie i rejestrowanie serwera SQL.

Jeśli chodzi o rzeczywiste zasoby platform AWS i GCP chronione przez Defender dla Chmury, ich lokalizacja jest ustawiana bezpośrednio z chmur AWS i GCP.

Następne kroki

W tym artykule przedstawiono sposób określania wymagań dotyczących rezydencji danych podczas projektowania rozwiązania zabezpieczeń w wielu chmurach. Przejdź do następnego kroku, aby określić wymagania dotyczące zgodności.