Określanie zależności z wieloma chmurami
Ten artykuł jest jedną z serii, która zawiera wskazówki dotyczące projektowania rozwiązania do zarządzania stanem zabezpieczeń w chmurze (CSPM) i ochrony obciążeń w chmurze (CWP) w zasobach wielochmurowych przy użyciu Microsoft Defender dla Chmury.
Goal
Usterekuj zależności, które mogą mieć wpływ na projekt wielochmurowy.
Rozpocznij
Podczas projektowania rozwiązania wielochmurowego ważne jest, aby mieć jasny obraz składników potrzebnych do korzystania ze wszystkich funkcji wielochmurowych w Defender dla Chmury.
CSPM
Defender dla Chmury zapewnia funkcje zarządzania stanem zabezpieczeń w chmurze (CSPM) dla obciążeń platform AWS i GCP.
- Po dołączeniu usług AWS i GCP Defender dla Chmury rozpocznie ocenę obciążeń wielochmurowych pod kątem standardów branżowych i raportów dotyczących stanu zabezpieczeń.
- Funkcje CSPM są bez agenta i nie korzystają z żadnych innych składników z wyjątkiem pomyślnego dołączenia łączników AWS/GCP.
- Należy pamiętać, że plan zarządzania stanem zabezpieczeń jest domyślnie włączony i nie można go wyłączyć.
- Dowiedz się więcej o uprawnieniach IAM wymaganych do odnajdywania zasobów platformy AWS dla csPM.
CWPP
Uwaga
Ponieważ agent usługi Log Analytics zostanie wycofany w sierpniu 2024 r. i w ramach zaktualizowanej strategii Defender dla Chmury wszystkie funkcje i możliwości usługi Defender for Servers zostaną udostępnione za pośrednictwem Ochrona punktu końcowego w usłudze Microsoft Defender integracja lub skanowanie bez agenta bez zależności od agenta usługi Log Analytics (MMA) lub agenta usługi Azure Monitor (AMA). Aby uzyskać więcej informacji na temat tej zmiany, zobacz to ogłoszenie.
W Defender dla Chmury włączysz określone plany, aby uzyskać funkcje usługi Cloud Workload Platform Protection (CWPP). Plany ochrony zasobów wielochmurowych obejmują:
- Defender for Servers: ochrona maszyn z systemami AWS/GCP z systemem Windows i Linux.
- Defender for Containers: pomaga zabezpieczyć klastry Kubernetes za pomocą zaleceń dotyczących zabezpieczeń i wzmacniania zabezpieczeń, ocen luk w zabezpieczeniach i ochrony środowiska uruchomieniowego.
- Defender for SQL: Ochrona baz danych SQL działających na platformach AWS i GCP.
Jakiego rozszerzenia potrzebuję?
W poniższej tabeli przedstawiono podsumowanie wymagań dotyczących rozszerzeń dla programu CWPP.
| Numer wewnętrzny | Defender for Servers | Defender dla Kontenerów | Defender for SQL on Machines |
|---|---|---|---|
| Azure Arc Agent | ✔ | ✔ | ✔ |
| rozszerzenie Ochrona punktu końcowego w usłudze Microsoft Defender | ✔ | ||
| Ocena luk w zabezpieczeniach | ✔ | ||
| Skanowanie dysków bez agenta | ✔ | ✔ | |
| Rozszerzenie usługi Log Analytics lub agenta usługi Azure Monitor (wersja zapoznawcza) | ✔ | ✔ | |
| Czujnik usługi Defender | ✔ | ||
| Azure Policy dla platformy Kubernetes | ✔ | ||
| Dane dziennika inspekcji platformy Kubernetes | ✔ | ||
| Serwery SQL na maszynach | ✔ | ||
| Automatyczne odnajdywanie i rejestrowanie serwera SQL | ✔ |
Defender for Servers
Włączenie usługi Defender dla serwerów na platformie AWS lub łączniku GCP umożliwia Defender dla Chmury zapewnienie ochrony serwera maszynom wirtualnym usługi Google Compute Engine i wystąpieniom usługi AWS EC2.
Przegląd planów
Usługa Defender for Servers oferuje dwa różne plany:
Plan 1:
- Integracja rozwiązania MDE: plan 1 integruje się z programem Ochrona punktu końcowego w usłudze Microsoft Defender Plan 2 w celu zapewnienia pełnego rozwiązania wykrywanie i reagowanie w punktach końcowych (EDR) dla maszyn z szeregiem systemów operacyjnych. Funkcje usługi Defender for Endpoint obejmują:
- Zmniejszenie obszaru ataków dla maszyn.
- Zapewnianie możliwości ochrony antywirusowej .
- Zarządzanie zagrożeniami, w tym wyszukiwanie zagrożeń, wykrywanie, analiza oraz automatyczne badanie i reagowanie.
- Aprowizowanie: automatyczna aprowizacja czujnika usługi Defender for Endpoint na każdej obsługiwanej maszynie podłączonej do Defender dla Chmury.
- Licencjonowanie: opłaty za licencje usługi Defender for Endpoint na godzinę zamiast na miejsce obniżają koszty dzięki ochronie maszyn wirtualnych tylko wtedy, gdy są używane.
- Integracja rozwiązania MDE: plan 1 integruje się z programem Ochrona punktu końcowego w usłudze Microsoft Defender Plan 2 w celu zapewnienia pełnego rozwiązania wykrywanie i reagowanie w punktach końcowych (EDR) dla maszyn z szeregiem systemów operacyjnych. Funkcje usługi Defender for Endpoint obejmują:
Plan 2: obejmuje wszystkie składniki planu 1 wraz z dodatkowymi funkcjami, takimi jak monitorowanie integralności plików (FIM), dostęp just in time (JIT) do maszyny wirtualnej i nie tylko.
Przed dołączenia do usługi Defender for Servers zapoznaj się z funkcjami każdego planu .
Przegląd składników — Defender for Servers
Do uzyskania pełnej ochrony z planu usługi Defender for Servers potrzebne są następujące składniki i wymagania:
- Agent usługi Azure Arc: maszyny AWS i GCP łączą się z platformą Azure przy użyciu usługi Azure Arc. Agent usługi Azure Arc łączy je.
- Agent usługi Azure Arc jest wymagany do odczytywania informacji o zabezpieczeniach na poziomie hosta i zezwalania Defender dla Chmury na wdrażanie agentów/rozszerzeń wymaganych do pełnej ochrony. Aby automatycznie aprowizacja agenta usługi Azure Arc, należy skonfigurować agenta konfiguracji systemu operacyjnego w wystąpieniach maszyn wirtualnych GCP i agenta menedżera systemów usług AWS (SSM) dla wystąpień usługi AWS EC2. Dowiedz się więcej o agencie.
- Możliwości usługi Defender for Endpoint: agent Ochrona punktu końcowego w usłudze Microsoft Defender zapewnia kompleksowe możliwości wykrywanie i reagowanie w punktach końcowych (EDR).
- Ocena luk w zabezpieczeniach: użycie zintegrowanego skanera luk w zabezpieczeniach Qualys lub rozwiązania Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender.
- Agent usługi Log Analytics/agent usługi Azure Monitor (AMA) (w wersji zapoznawczej): zbiera informacje o konfiguracji i dziennikach zdarzeń związanych z zabezpieczeniami z maszyn.
Sprawdzanie wymagań dotyczących sieci
Przed dołączaniem agentów maszyny muszą spełniać wymagania sieciowe . Automatyczne aprowizowanie jest domyślnie włączone.
Defender dla Kontenerów
Włączenie usługi Defender for Containers zapewnia klastry GKE i EKS oraz podstawowe hosty z tymi funkcjami zabezpieczeń.
Przeglądanie składników — Defender for Containers
Wymagane składniki są następujące:
- Agent usługi Azure Arc: łączy klastry GKE i EKS z platformą Azure i dołącza czujnik defender.
- Czujnik usługi Defender: zapewnia ochronę środowiska uruchomieniowego na poziomie hosta przed zagrożeniami.
- Usługa Azure Policy dla platformy Kubernetes: rozszerza usługę Gatekeeper w wersji 3, aby monitorować każde żądanie na serwerze interfejsu API Kubernetes i zapewnia, że najlepsze rozwiązania w zakresie zabezpieczeń są przestrzegane w klastrach i obciążeniach.
- Dzienniki inspekcji platformy Kubernetes: dzienniki inspekcji z serwera interfejsu API umożliwiają usłudze Defender for Containers identyfikowanie podejrzanych działań na serwerach z wieloma chmurami i uzyskiwanie szczegółowych informacji podczas badania alertów. Wysyłanie dzienników inspekcji platformy Kubernetes musi być włączone na poziomie łącznika.
Sprawdzanie wymagań sieciowych — Defender for Containers
Upewnij się, że klastry spełniają wymagania sieciowe, aby czujnik usługi Defender mógł nawiązać połączenie z Defender dla Chmury.
Defender for SQL
Usługa Defender for SQL zapewnia wykrywanie zagrożeń dla aparatu obliczeniowego GCP i platformy AWS. Plan usługi Defender for SQL Server on Machines musi być włączony w subskrypcji, w której znajduje się łącznik.
Przegląd składników — Defender for SQL
Aby uzyskać pełne korzyści usługi Defender for SQL w obciążeniu wielochmurowym, potrzebne są następujące składniki:
- Agent usługi Azure Arc: maszyny AWS i GCP łączą się z platformą Azure przy użyciu usługi Azure Arc. Agent usługi Azure Arc łączy je.
- Agent usługi Azure Arc jest wymagany do odczytywania informacji o zabezpieczeniach na poziomie hosta i zezwalania Defender dla Chmury na wdrażanie agentów/rozszerzeń wymaganych do pełnej ochrony.
- Aby automatycznie aprowizacja agenta usługi Azure Arc, należy skonfigurować agenta konfiguracji systemu operacyjnego w wystąpieniach maszyn wirtualnych GCP i agenta menedżera systemów usług AWS (SSM) dla wystąpień usługi AWS EC2. Dowiedz się więcej o agencie.
- Agent usługi Log Analytics/agent usługi Azure Monitor (AMA) (w wersji zapoznawczej): zbiera informacje o konfiguracji i dziennikach zdarzeń związanych z zabezpieczeniami z maszyn
- Automatyczne odnajdywanie i rejestrowanie serwera SQL: obsługuje automatyczne odnajdywanie i rejestrowanie serwerów SQL
Następne kroki
W tym artykule przedstawiono sposób określania zależności wielochmurowych podczas projektowania rozwiązania zabezpieczeń w wielu chmurach. Przejdź do następnego kroku, aby zautomatyzować wdrażanie łącznika.