Łączenie środowisk chmury hybrydowej i wielochmurowej z usługą Microsoft Defender for Cloud

  • 7 min

Połączenie chmury hybrydowej i środowisk wielochmurowych z usługą Microsoft Defender for Cloud ma kluczowe znaczenie dla zachowania ujednoliconego stanu zabezpieczeń w różnych środowiskach IT. Dzięki serwerom z obsługą usługi Azure Arc dla maszyn spoza platformy Azure, łącznika natywnej chmury i klasycznego łącznika można rozszerzyć możliwości usługi Microsoft Defender for Cloud na zasoby spoza platformy Azure. Ta integracja umożliwia kompleksowe monitorowanie, wykrywanie i reagowanie na zagrożenia bezpieczeństwa. W tym miejscu udostępniamy informacyjny przegląd procesu wraz ze szczegółowymi wymaganiami dotyczącymi pomyślnego połączenia.

Łączenie maszyn spoza platformy Azure z usługą Microsoft Defender for Cloud

Usługa Microsoft Defender for Cloud może monitorować stan zabezpieczeń maszyn spoza platformy Azure, ale najpierw musisz połączyć je z platformą Azure.

Komputery spoza platformy Azure można połączyć w dowolny z następujących sposobów:

  • Dołączanie za pomocą usługi Azure Arc:

    • Przy użyciu serwerów z obsługą usługi Azure Arc (zalecane)
    • Przy użyciu witryny Azure Portal

  • Dołączanie bezpośrednio za pomocą usługi Microsoft Defender dla punktu końcowego

Łączenie maszyn lokalnych przy użyciu usługi Azure Arc

Maszyna z serwerami z obsługą usługi Azure Arc staje się zasobem platformy Azure. Po zainstalowaniu agenta usługi Log Analytics pojawia się on w usłudze Defender for Cloud z zaleceniami, takimi jak inne zasoby platformy Azure.

Serwery Azure Arc zapewniają rozszerzone możliwości, takie jak włączanie polityk konfiguracji gościa na maszynie oraz uproszczenie wdrażania innych usług platformy Azure. Aby zapoznać się z omówieniem zalet serwerów z obsługą usługi Azure Arc, zobacz Obsługiwane operacje w chmurze.

Aby wdrożyć usługę Azure Arc na jednej maszynie, postępuj zgodnie z instrukcjami w przewodniku Szybki start: łączenie maszyn hybrydowych z serwerami z obsługą usługi Azure Arc.

Aby wdrożyć usługę Azure Arc na wielu maszynach na dużą skalę, postępuj zgodnie z instrukcjami w temacie Łączenie maszyn hybrydowych z platformą Azure na dużą skalę.

Narzędzia usługi Defender for Cloud do automatycznego wdrażania agenta usługi Log Analytics współpracują z maszynami z uruchomioną usługą Azure Arc. Jednak ta funkcja jest obecnie dostępna w wersji zapoznawczej. W przypadku łączenia maszyn przy użyciu usługi Azure Arc użyj odpowiedniego zalecenia usługi Defender for Cloud, aby wdrożyć agenta i skorzystać z pełnego zakresu ochrony oferowanych przez usługę Defender for Cloud:

  • Agent usługi Log Analytics powinien być zainstalowany na maszynach usługi Azure Arc opartych na systemie Linux
  • Agent usługi Log Analytics powinien być zainstalowany na maszynach usługi Azure Arc z systemem Windows

Łączenie konta platformy AWS z usługą Microsoft Defender for Cloud

Obciążenia często obejmują wiele platform w chmurze. Usługi zabezpieczeń w chmurze muszą zrobić to samo. Usługa Microsoft Defender for Cloud pomaga chronić obciążenia w usługach Amazon Web Services (AWS), ale musisz skonfigurować połączenie między nimi i usługą Defender for Cloud.

Jeśli łączysz wcześniej połączone konto platformy AWS przy użyciu łącznika klasycznego, musisz go najpierw usunąć. Użycie konta platformy AWS połączonego zarówno przez łączniki klasyczne, jak i natywne może generować zduplikowane rekomendacje.

Warunki wstępne

Aby wykonać procedury opisane w tym artykule, potrzebne są następujące elementy:

  • Subskrypcja platformy Microsoft Azure. Jeśli nie masz subskrypcji platformy Azure, możesz zarejestrować się w celu uzyskania bezpłatnej subskrypcji.
  • Usługa Microsoft Defender for Cloud skonfigurowana w ramach subskrypcji platformy Azure.
  • Dostęp do konta platformy AWS.
  • Uprawnienie współautora dla odpowiedniej subskrypcji platformy Azure i uprawnienia administratora na koncie platformy AWS.

Defender dla kontenerów

Jeśli wybierzesz plan usługi Microsoft Defender for Containers, potrzebne są następujące elementy:

  • Co najmniej jeden klaster Amazon EKS z uprawnieniami dostępu do serwera interfejsu API EKS Kubernetes.
  • Zasoby wymagane do utworzenia nowej kolejki Amazon Simple Queue Service (SQS), strumienia dostarczania Kinesis Data Firehose oraz bucketu Amazon S3 w regionie klastra.

Defender for SQL

Jeśli wybierzesz plan usługi Microsoft Defender for SQL, potrzebne są następujące elementy:

  • Usługa Microsoft Defender for SQL włączona w ramach subskrypcji. Dowiedz się, jak chronić bazy danych.
  • Aktywne konto AWS z wystąpieniami EC2 działającymi na SQL Server lub usłudze RDS Custom dla SQL Server.
  • Usługa Azure Arc dla serwerów zainstalowanych na instancjach EC2 lub RDS Custom dla SQL Server.

Zalecamy użycie automatyki aprowizacji do zainstalowania usługi Azure Arc we wszystkich istniejących i przyszłych instancjach usługi EC2. Aby włączyć automatyczną aprowizację usługi Azure Arc, musisz posiadać uprawnienia Właściciela w odpowiedniej subskrypcji platformy Azure.

AWS Systems Manager (SSM) zarządza automatycznym udostępnianiem przy użyciu agenta SSM. Niektóre obrazy Amazon Machine mają już wcześniej zainstalowanego agenta SSM. Jeśli wystąpienia usługi EC2 nie mają agenta programu SSM, zainstaluj go, korzystając z poniższych instrukcji firmy Amazon: Instalowanie agenta SSM dla środowiska hybrydowego i wielochmurowego (Windows).

Upewnij się, że agent SSM ma przypisaną zarządzaną politykę o nazwie AmazonSSMManagedInstanceCore. Umożliwia ona podstawowe funkcje usługi AWS Systems Manager.

Włącz te inne rozszerzenia na maszynach połączonych z usługą Azure Arc:

  • Usługa Microsoft Defender dla punktu końcowego
  • Rozwiązanie do oceny luk w zabezpieczeniach (Zarządzanie zagrożeniami i lukami w zabezpieczeniach lub Qualys)
  • Agent usługi Log Analytics na komputerach połączonych z usługą Azure Arc lub agent usługi Azure Monitor

Upewnij się, że wybrany obszar roboczy usługi Log Analytics ma zainstalowane rozwiązanie zabezpieczające. Agent usługi Log Analytics i agent usługi Azure Monitor są obecnie konfigurowane na poziomie subskrypcji. Wszystkie twoje konta platformy AWS i projekty Google Cloud Platform (GCP) w ramach tej samej subskrypcji dziedziczą ustawienia subskrypcji agenta usługi Log Analytics i agenta usługi Azure Monitor.

Defender for Servers

Jeśli wybierzesz plan usługi Microsoft Defender dla serwerów, potrzebne są następujące elementy:

  • Usługa Microsoft Defender dla serwerów jest włączona w ramach subskrypcji. Dowiedz się, jak aktywować plany, korzystając z funkcji włączania rozszerzonych zabezpieczeń.
  • Aktywne konto AWS z instancjami EC2.
  • Usługa Azure Arc dla serwerów zainstalowanych w wystąpieniach usługi EC2.

Zalecamy użycie automatyki aprowizacji do zainstalowania usługi Azure Arc we wszystkich istniejących i przyszłych instancjach usługi EC2. Aby włączyć automatyczną aprowizację usługi Azure Arc, musisz posiadać uprawnienia Właściciela w odpowiedniej subskrypcji platformy Azure.

AWS Systems Manager zarządza automatycznym udostępnianiem przy użyciu agenta SSM. Niektóre obrazy Amazon Machine mają już wcześniej zainstalowanego agenta SSM. Jeśli instancje EC2 nie mają agenta SSM, zainstaluj go, korzystając z jednej z następujących instrukcji Amazon:

  • Instalowanie agenta SSM dla środowiska hybrydowego i wielochmurowego (Windows)
  • Instalowanie agenta programu SSM dla środowiska hybrydowego i wielochmurowego (Linux)

Upewnij się, że agent SSM ma zasady zarządzane AmazonSSMManagedInstanceCore, co umożliwia korzystanie z podstawowych funkcji usługi AWS Systems Manager.

Jeśli chcesz ręcznie zainstalować usługę Azure Arc w istniejących i przyszłych wystąpieniach usługi EC2, użyj wystąpień usługi EC2, które powinny być połączone z zaleceniem usługi Azure Arc, aby zidentyfikować wystąpienia, które nie mają zainstalowanej usługi Azure Arc.

Włącz te inne rozszerzenia na maszynach połączonych z usługą Azure Arc:

  • Usługa Microsoft Defender dla punktu końcowego
  • Rozwiązanie do oceny luk w zabezpieczeniach (Zarządzanie zagrożeniami i lukami w zabezpieczeniach lub Qualys)
  • Agent usługi Log Analytics na komputerach połączonych z usługą Azure Arc lub agent usługi Azure Monitor

Upewnij się, że wybrany obszar roboczy usługi Log Analytics ma zainstalowane rozwiązanie zabezpieczające. Agent usługi Log Analytics i agent usługi Azure Monitor są obecnie konfigurowane na poziomie subskrypcji. Wszystkie konta platformy AWS i projekty GCP w ramach tej samej subskrypcji dziedziczą ustawienia subskrypcji agenta usługi Log Analytics i agenta usługi Azure Monitor.

Defender for Servers przypisuje tagi zasobom platformy AWS, aby zarządzać procesem automatycznej aprowizacji. Te tagi muszą być prawidłowo przypisane do zasobów, aby usługa Defender for Cloud mogła nimi zarządzać: AccountId, Cloud, InstanceIdi MDFCSecurityConnector.

Defender CSPM

Jeśli wybierzesz plan zarządzania stanem zabezpieczeń usługi Microsoft Defender w chmurze, potrzebne są następujące elementy:

  • Subskrypcja platformy Azure. Jeśli nie masz subskrypcji platformy Azure, możesz zarejestrować się w celu uzyskania bezpłatnej subskrypcji.
  • Musisz włączyć usługę Microsoft Defender for Cloud w ramach subskrypcji platformy Azure.
  • Połącz maszyny spoza platformy Azure, konta platformy AWS.
  • Aby uzyskać dostęp do wszystkich funkcji dostępnych w planie CSPM, plan musi być włączony przez właściciela subskrypcji.