Determinar dependências multinuvem
Este artigo faz parte de uma série que fornece diretrizes para a criação de uma solução de GPSN (gerenciamento da postura de segurança na nuvem) e de CWP (proteção de cargas de trabalho na nuvem) em recursos multinuvem com o Microsoft Defender para Nuvem.
Goal
Descubra as dependências que podem influenciar o design multinuvem.
Introdução
Ao projetar a solução multinuvem, é importante ter uma visão clara dos componentes necessários para desfrutar de todos os recursos multinuvem no Defender para Nuvem.
GPSN
O Defender para Nuvem fornece recursos do CSPM (gerenciamento da postura de segurança na nuvem) para as cargas de trabalho AWS e GCP.
- Depois de integrar o AWS e o GCP, o Defender para Nuvem começará a avaliar as cargas de trabalho multinuvem em relação aos padrões do setor e os relatórios sobre sua postura de segurança.
- Os recursos do CSPM são sem agente e não dependem de outros componentes, exceto para integração bem-sucedida de conectores AWS/GCP.
- É importante observar que o plano de Gerenciamento de Postura de Segurança fica ativado por padrão e não pode ser desativado.
- Saiba mais sobre as permissões do IAM necessárias para descobrir recursos do AWS para CSPM.
CWPP
Observação
Como o agente do Log Analytics deve ser desativado em agosto de 2024 e como parte da estratégia atualizada do Defender para a Nuvem, todos os recursos e funcionalidades do Defender para servidores, serão fornecidos por meio da integração do Microsoft Defender para Ponto de Extremidade ou da verificação sem agente, sem dependência do agente do Log Analytics (MMA) ou do AMA (agente do Azure Monitor). Para obter mais informações sobre esta mudança, veja este comunicado.
No Defender para Nuvem, você habilita planos específicos para obter recursos da CWPP (plataforma de proteção de carga de trabalho na nuvem). Os planos para proteger recursos multinuvem incluem:
- Defender para servidores: protege computadores Windows e Linux do AWS/GCP.
- Defender para contêineres: ajuda a proteger os clusters do Kubernetes com recomendações de segurança e proteção, avaliações de vulnerabilidade e proteção de runtime.
- Defender para SQL: protege bancos de dados SQL em execução no AWS e no GCP.
Que extensão eu preciso?
A tabela a seguir resume os requisitos de extensão para CWPP.
| Extensão | Defender para Servidores | Defender para Contêineres | Defender para SQL em Computadores |
|---|---|---|---|
| Agente do Azure Arc | ✔ | ✔ | ✔ |
| Extensão do Microsoft Defender para Ponto de Extremidade | ✔ | ||
| Avaliação de vulnerabilidade | ✔ | ||
| Verificação de Data Box Disk sem Agente | ✔ | ✔ | |
| Extensão do Log Analytics ou do Agente do Azure Monitor (versão prévia) | ✔ | ✔ | |
| Sensor do Defender | ✔ | ||
| Azure Policy para Kubernetes | ✔ | ||
| Dados do log de auditoria do Kubernetes | ✔ | ||
| SQL Servers em computadores | ✔ | ||
| Descoberta e registro automáticos do servidor SQL | ✔ |
Defender para Servidores
A habilitação do Defender para servidores em seu conector AWS ou GCP permite que o Defender para Nuvem forneça proteção de servidor para suas VMs do Google Compute Engine e instâncias do AWS EC2.
Revisar planos
O Defender para servidores oferece dois planos diferentes:
Plano 1:
- Integração do MDE: o Plano 1 integra-se ao plano 2 do Microsoft Defender para Ponto de Extremidade para fornecer uma solução completa de EDR (detecção e resposta de ponto de extremidade) para computadores que executam uma série de sistemas operacionais. Os recursos do Defender para Ponto de Extremidade incluem:
- Reduzir a superfície de ataque para computadores.
- Fornecer recursos antivírus.
- Gerenciamento de ameaças, incluindo busca de ameaças, detecção, análise e investigação e resposta automatizadas.
- Provisionamento: provisionamento automático do sensor do Defender para Ponto de Extremidade em todos os computadores com suporte conectados ao Defender para Nuvem.
- Licenciamento: cobra as licenças do Microsoft Defender para Ponto de Extremidade por hora em vez de por estação, redução dos custos para proteger máquinas virtuais somente quando elas estão em uso.
- Integração do MDE: o Plano 1 integra-se ao plano 2 do Microsoft Defender para Ponto de Extremidade para fornecer uma solução completa de EDR (detecção e resposta de ponto de extremidade) para computadores que executam uma série de sistemas operacionais. Os recursos do Defender para Ponto de Extremidade incluem:
Plano 2: inclui todos os componentes do Plano 1, juntamente com recursos adicionais, como o FIM (Monitoramento de Integridade de Arquivo), o acesso à VM JIT (Just-In-Time) e muito mais.
Examine os recursos de cada plano antes da integração ao Defender para servidores.
Examinar componentes – Defender para servidores
Os seguintes componentes e requisitos são necessários para receber proteção total do plano do Defender para servidores:
- Agente do Azure Arc: computadores AWS e GCP se conectam ao Azure usando o Azure Arc. O agente do Azure Arc os conecta.
- O agente do Azure Arc é necessário para ler informações de segurança no nível do host e permitir que o Defender para Nuvem implante os agentes/extensões necessários para proteção completa. Para provisionar automaticamente o agente do Azure Arc, o agente de configuração do SO nas instâncias da VM do GCP e o agente do SSM (AWS Systems Manager) para instâncias do AWS do EC2 devem ser configurados. Saiba mais sobre o agente.
- Funcionalidades do Defender para Ponto de Extremidade: o agente do Microsoft Defender para Ponto de Extremidade fornece funcionalidades abrangentes de detecção e resposta de ponto de extremidade (EDR).
- Avaliação de vulnerabilidades: usando o verificador de vulnerabilidades do Qualys integrado ou a solução Gerenciamento de Vulnerabilidades do Microsoft Defender.
- Agente do Log Analytics/AMA (Agente do Azure Monitor) (em versão prévia): coleta informações de configuração relacionadas à segurança e logs de eventos de computadores.
Verificar os requisitos de rede
Os computadores devem cumprir os requisitos de rede antes da integração dos agentes. O provisionamento automático está habilitado por padrão.
Defender para Contêineres
Habilitar o Defender para contêineres fornece os clusters do GKE e do EKS e hosts subjacentes com esses recursos de segurança.
Examinar componentes – Defender para contêineres
Os componentes necessários são os seguintes:
- Agente do Azure Arc: conecta seus clusters do GKE e do EKS ao Azure e integra o sensor do Defender.
- Sensor do Defender: fornece proteção contra ameaças de runtime no nível do host.
- Política do Azure para Kubernetes: Estende o Gatekeeper v3 para monitorar todas as solicitações ao servidor de API do Kubernetes e garante que as práticas recomendadas de segurança sejam seguidas em clusters e cargas de trabalho.
- Logs de auditoria do Kubernetes: os logs de auditoria do servidor de API permitem que o Defender para contêineres identifique atividades suspeitas nos servidores multinuvem e forneça insights mais detalhados durante a investigação de alertas. O envio dos "logs de auditoria do Kubernetes" precisa ser habilitado no nível do conector.
Verificar os requisitos de rede –Defender para contêineres
Garanta que os clusters atendem aos requisitos de rede para que o sensor do Defender possa se conectar ao Defender para Nuvem.
Defender para SQL
O Defender para SQL fornece detecção de ameaças para o Mecanismo de Computação GCP e a AWS. O plano Defender para SQL Server em Computadores deve estar habilitado na assinatura onde o conector está localizado.
Examinar componentes – Defender para SQL
Para receber os benefícios completos do Defender para SQL em sua carga de trabalho multinuvem, você precisa desses componentes:
- Agente do Azure Arc: computadores AWS e GCP se conectam ao Azure usando o Azure Arc. O agente do Azure Arc os conecta.
- O agente do Azure Arc é necessário para ler informações de segurança no nível do host e permitir que o Defender para Nuvem implante os agentes/extensões necessários para proteção completa.
- Para provisionar automaticamente o agente do Azure Arc, o agente de configuração do SO nas instâncias da VM do GCP e o agente do SSM (AWS Systems Manager) para instâncias do AWS do EC2 devem ser configurados. Saiba mais sobre o agente.
- Agente do Log Analytics/AMA (Agente do Azure Monitor) (em versão prévia): coleta informações de configuração relacionadas à segurança e logs de eventos de computadores
- Descoberta e registro automáticos do SQL Server: dá suporte à descoberta automática e ao registro de servidores SQL
Próximas etapas
Neste artigo, você aprendeu a determinar as dependências multinuvem ao projetar uma solução de segurança multinuvem. Continue com a próxima etapa para automatizar a implantação do conector.