Partilhar via

Determinar os requisitos do plano e dos agentes

  • Artigo

Este artigo faz parte de uma série que fornece orientação enquanto você projeta uma solução de gerenciamento de postura de segurança na nuvem (CSPM) e proteção de carga de trabalho na nuvem (CWP) em recursos multicloud com o Microsoft Defender for Cloud.

Goal

Identifique quais planos habilitar e requisitos para cada plano.

Começar agora

Ao proteger ativos na nuvem, você precisa identificar quais planos habilitar para a proteção desejada, bem como instalar componentes do agente se e conforme necessário para cada plano.

Considerações sobre o agente

Há considerações de dados sobre agentes e extensões usadas pelo Defender for Cloud.

  • CSPM: A funcionalidade CSPM no Defender for Cloud é sem agente. Não são necessários agentes para que o CSPM funcione.
  • CWP: Algumas funcionalidades de proteção de carga de trabalho do Defender for Cloud exigem o uso de agentes para coletar dados.

Plano Defender para Servidores

Os agentes são usados no plano do Defender for Servers da seguinte maneira:

  • As nuvens públicas que não são do Azure se conectam ao Azure aproveitando o serviço Azure Arc .
  • O agente Azure Connected Machine é instalado em máquinas multicloud que são integradas como máquinas Azure Arc. O Defender for Cloud deve ser habilitado na assinatura na qual as máquinas do Azure Arc estão localizadas.
  • O Defender for Cloud aproveita o agente da Máquina Conectada para instalar extensões (como o Microsoft Defender for Endpoint) necessárias para a funcionalidade do Defender for Servers .
  • O agente de análise de log/Azure Monitor Agent (AMA) é necessário para algumas funcionalidades do Defender for Service Plan 2 .
    • Os agentes podem ser provisionados automaticamente pelo Defender for Cloud.
    • Ao habilitar o provisionamento automático, você especifica onde armazenar os dados coletados. Seja no espaço de trabalho padrão do Log Analytics criado pelo Defender for Cloud ou em qualquer outro espaço de trabalho em sua assinatura. Mais informações.
    • Se você optar por exportar dados continuamente, poderá detalhar e configurar os tipos de eventos e alertas que são salvos. Mais informações.
  • Espaço de trabalho do Log Analytics:
    • Você define o espaço de trabalho do Log Analytics que usa no nível da assinatura. Pode ser um espaço de trabalho padrão ou um espaço de trabalho criado de forma personalizada.
    • vários motivos para selecionar o espaço de trabalho padrão em vez do espaço de trabalho personalizado.
    • O local do espaço de trabalho padrão depende da região da máquina do Azure Arc. Mais informações.
    • A localização da área de trabalho personalizada é definida pela sua organização. Saiba mais sobre como usar um espaço de trabalho personalizado.

Plano Defender for Containers

O Defender for Containers protege suas implantações de contêineres multicloud executadas em:

  • Azure Kubernetes Service (AKS) - o serviço gerenciado da Microsoft para desenvolver, implantar e gerenciar aplicativos em contêineres.
  • Amazon Elastic Kubernetes Service (EKS) em uma conta da AWS conectada - serviço gerenciado da Amazon para executar o Kubernetes na AWS sem a necessidade de instalar, operar e manter seu próprio plano ou nós de controle do Kubernetes.
  • Google Kubernetes Engine (GKE) em um projeto GCP conectado - ambiente gerenciado do Google para implantar, gerenciar e dimensionar aplicativos usando a infraestrutura GCP.
  • Outras distribuições Kubernetes - usando o Kubernetes habilitado para Azure Arc, que permite anexar e configurar clusters Kubernetes em execução em qualquer lugar, incluindo outras nuvens públicas e locais.

O Defender for Containers tem componentes baseados em sensores e sem agente.

  • Coleta sem agente de dados de log de auditoria do Kubernetes: o Amazon CloudWatch ou o GCP Cloud Logging habilita e coleta dados de log de auditoria e envia as informações coletadas para o Defender for Cloud para análise adicional. O armazenamento de dados é baseado na região AWS do cluster EKS, de acordo com o GDPR - UE e EUA.
  • Coleta sem agente para inventário do Kubernetes: colete dados em seus clusters Kubernetes e seus recursos, como: Namespaces, Deployments, Pods e Ingresses.
  • Kubernetes habilitado para Azure Arc baseado em sensor: conecta seus clusters EKS e GKE ao Azure usando agentes do Azure Arc, para que eles sejam tratados como recursos do Azure Arc.
  • Sensor Defender: Um DaemonSet que coleta sinais de hosts usando a tecnologia eBPF e fornece proteção de tempo de execução. A extensão é registrada em um espaço de trabalho do Log Analytics e usada como um pipeline de dados. Os dados do log de auditoria não são armazenados no espaço de trabalho do Log Analytics.
  • Política do Azure para Kubernetes: as informações de configuração são coletadas pela Política do Azure para Kubernetes.
    • A Política do Azure para Kubernetes estende o webhook do controlador de admissão de código aberto do Gatekeeper v3 para o Open Policy Agent.
    • A extensão se registra como um gancho da web para o controle de admissão do Kubernetes e torna possível aplicar a aplicação em escala, protegendo seus clusters de maneira centralizada e consistente.

Plano Defender for Databases

Para o plano do Defender for Databases em um cenário multicloud, aproveite o Azure Arc para gerenciar os bancos de dados SQL Server multicloud. A instância do SQL Server é instalada em uma máquina virtual ou física conectada ao Azure Arc.

  • O agente Azure Connected Machine é instalado em máquinas conectadas ao Azure Arc.
  • O plano do Defender for Databases deve ser habilitado na assinatura na qual as máquinas do Azure Arc estão localizadas.
  • O agente do Log Analytics para Microsoft Defender SQL Servers deve ser provisionado nas máquinas Azure Arc. Ele coleta definições de configuração relacionadas à segurança e logs de eventos de máquinas.
  • A descoberta e o registro automáticos do SQL Server precisam ser definidos como Ativado para permitir a descoberta do banco de dados SQL nas máquinas.

Quando se trata dos recursos reais da AWS e do GCP protegidos pelo Defender for Cloud, sua localização é definida diretamente das nuvens AWS e GCP.

Próximos passos

Neste artigo, você aprendeu como determinar seus requisitos de residência de dados ao projetar uma solução de segurança multicloud. Continue com a próxima etapa para determinar os requisitos de conformidade.