Compartilhar via

Determinar os requisitos de plano e agentes

  • Artigo

Este artigo faz parte de uma série que fornece diretrizes para a criação de uma solução de GPSN (gerenciamento da postura de segurança na nuvem) e de CWP (proteção de cargas de trabalho na nuvem) em recursos multinuvem com o Microsoft Defender para Nuvem.

Goal

Identifique quais planos habilitar e os requisitos para cada plano.

Introdução

Ao proteger ativos na nuvem, você precisa identificar quais planos devem ser habilitados para a proteção desejada, bem como instalar componentes do agente se e conforme necessário para cada plano.

Considerações sobre o agente

Há considerações de dados sobre os agentes e as extensões usadas pelo Defender para Nuvem.

  • GPSN: a funcionalidade de GPSN do Defender para Nuvem não tem agente. Nenhum agente é necessário para o funcionamento do GPSN.
  • CWP: algumas funcionalidades de proteção de cargas de trabalho do Defender para Nuvem exigem o uso de agentes para a coleta de dados.

Planos do Defender para Servidores

Os agentes são usados no plano do Defender para Servidores da seguinte maneira:

  • As nuvens públicas que não são do Azure se conectam ao Azure aproveitando o serviço Azure Arc.
  • O agente do Azure Connected Machine é instalado em computadores multinuvem integrados como computadores do Azure Arc. O Defender para Nuvem deve estar habilitado na assinatura na qual os computadores do Azure Arc estão localizados.
  • O Defender para Nuvem aproveita o agente do Connected Machine para instalar extensões (como o Microsoft Defender para Ponto de Extremidade) que são necessárias para a funcionalidade do Defender para Servidores.
  • O agente do Log Analytics/o AMA (Agente do Azure Monitor) é necessário para algumas funcionalidades do Plano 2 do Defender para Serviço.
    • Os agentes podem ser provisionados automaticamente pelo Defender para Nuvem.
    • Ao habilitar o provisionamento automático, especifique o local em que os dados coletados serão armazenados. No workspace padrão do Log Analytics criado pelo Defender para Nuvem ou em qualquer outro workspace da sua assinatura. Saiba mais.
    • Se você selecionar a exportação contínua dos dados, poderá fazer uma busca detalhada e configurar os tipos de eventos e alertas salvos. Saiba mais.
  • Workspace do Log Analytics:
    • Você define o workspace do Log Analytics usado na assinatura. Ele pode ser um workspace padrão ou um workspace criado de maneira personalizada.
    • vários motivos para selecionar o workspace padrão em vez do workspace personalizado.
    • O local do workspace padrão depende da região do computador do Azure Arc. Saiba mais.
    • O local do workspace criado de maneira personalizada é definido pela sua organização. Saiba mais sobre como usar um workspace personalizado.

Plano do Defender para contêineres

O Defender para contêineres protege suas implantações de contêiner multinuvem em execução em:

  • AKS (Serviço de Kubernetes do Azure) - serviço gerenciado da Microsoft para desenvolvimento, implantação e gerenciamento de aplicativos conteinerizados.
  • Amazon EKS (Elastic Kubernetes Service) em uma conta da AWS conectada – Serviço gerenciado da Amazon para execução de Kubernetes na AWS sem a necessidade de instalar, operar e manter um painel de controle ou nós de Kubernetes próprios.
  • GKE (Google Kubernetes Engine) em um projeto do GCP conectado – O ambiente gerenciado da Google para implantar, gerenciar e escalar aplicativos usando a infraestrutura do GCP.
  • Outras distribuições de Kubernetes – usando o Kubernetes habilitado para Azure Arc, o que permite anexar e configurar clusters de Kubernetes em execução em qualquer lugar, incluindo outras nuvens públicas e no local.

O Defender for Containers possui componentes baseados em sensores e sem agente.

  • Coleta sem agente dos dados de log de auditoria de Kubernetes: o Amazon CloudWatch ou o GCP Cloud Logging habilita e coleta dados de log de auditoria e envia as informações coletadas ao Defender para Nuvem para análise posterior. O armazenamento de dados baseia-se na região da AWS do cluster do EKS, de acordo com o GDPR – UE e EUA.
  • Coleção sem agente para inventário do Kubernetes: colete dados em seus clusters Kubernetes e seus recursos, como: namespaces, implantações, pods e entradas.
  • Kubernetes habilitado para Azure Arc baseado em sensor: conecta seus clusters EKS e GKE ao Azure usando agentes do Azure Arc, para que sejam tratados como recursos do Azure Arc.
  • Sensor Defender: Um DaemonSet que coleta sinais de hosts usando tecnologia eBPF e fornece proteção em tempo de execução. A extensão é registrada em um workspace do Log Analytics e é usada como um pipeline de dados. Os dados de log de auditoria não são armazenados no workspace do Log Analytics.
  • Azure Policy para Kubernetes: as informações de configuração são coletadas pelo Azure Policy para Kubernetes.
    • O Azure Policy para Kubernetes estende o webhook do controlador de admissão Gatekeeper v3 de código aberto para o Open Policy Agent.
    • A extensão é registrada como um web hook para o controle de admissão de Kubernetes e possibilita a aplicação de imposição em escala, protegendo os clusters de maneira centralizada e consistente.

Plano do Defender para Bancos de Dados

Com o plano do Defender para Bancos de Dados em um cenário multinuvem, você aproveita o Azure Arc para gerenciar os bancos de dados multinuvem do SQL Server. A instância do SQL Server é instalada em uma máquina virtual ou em um computador físico conectado ao Azure Arc.

  • O agente do Azure Connected Machine é instalado nos computadores conectados ao Azure Arc.
  • O plano do Defender para Bancos de Dados deve ser habilitado na assinatura em que os computadores do Azure Arc se encontram.
  • O agente do Log Analytics para Servidores SQL do Microsoft Defender deve ser provisionado nos computadores do Azure Arc. Ele coleta definições de configuração relacionadas à segurança e logs de eventos dos computadores.
  • A descoberta e o registro automáticos de servidores SQL precisam ser definidos como Ativados para permitir a descoberta de bancos de dados SQL nos computadores.

Quando se trata de recursos reais da AWS e do GCP protegidos pelo Defender para Nuvem, a localização deles é definida diretamente por meio das nuvens da AWS e do GCP.

Próximas etapas

Neste artigo, você aprendeu a determinar os requisitos de residência de dados ao projetar uma solução de segurança multinuvem. Prossiga para a próxima etapa para determinar os requisitos de conformidade.