Определение требований плана и агентов

Эта статья является одной из серии рекомендаций по проектированию решения для управления безопасностью облака (CSPM) и облачной защиты рабочих нагрузок (CWP) в многооблачных ресурсах с Microsoft Defender для облака.

Goal

Определите, какие планы необходимо включить и требования для каждого плана.

Начало работы

При защите ресурсов в облаке необходимо определить, какие планы следует включить для требуемой защиты, а также установить компоненты агента в случае необходимости для каждого плана.

Рекомендации по агенту

Существуют рекомендации по использованию агентов и расширений, используемых Defender для облака.

• CSPM: функции CSPM в Defender для облака не являются агентами. Для работы CSPM агенты не требуются.
• CWP: некоторые функции защиты рабочих нагрузок для Defender для облака требуют использования агентов для сбора данных.

План Defender для серверов

Агенты используются в плане Defender для серверов следующим образом:

• Общедоступные облака, отличные от Azure, подключаются к Azure, используя службу Azure Arc .
• Агент подключенного компьютера Azure устанавливается на многооблачных компьютерах, подключенных к компьютерам Azure Arc. Defender для облака следует включить в подписке, в которой находятся компьютеры Azure Arc.
• Defender для облака использует агент подключенного компьютера для установки расширений (например, Microsoft Defender для конечной точки), необходимых для функций Defender для серверов.
• Агент Log Analytics или агент Azure Monitor (AMA) необходим для некоторых функций Defender для плана обслуживания 2 .
  • Агенты можно подготовить автоматически, Defender для облака.
  • При включении автоматической подготовки укажите место хранения собранных данных. Либо в рабочей области Log Analytics по умолчанию, созданной Defender для облака, либо в любой другой рабочей области в подписке. Подробнее.
  • При выборе непрерывного экспорта данных можно детализировать и настроить типы событий и оповещений, сохраненных. Подробнее.
• Рабочая область Log Analytics:
  • Вы определяете рабочую область Log Analytics, используемую на уровне подписки. Она может быть рабочей областью по умолчанию или пользовательской рабочей областью.
  • Существует несколько причин выбрать рабочую область по умолчанию, а не настраиваемую рабочую область.
  • Расположение рабочей области по умолчанию зависит от региона компьютера Azure Arc. Подробнее.
  • Расположение созданной пользовательской рабочей области устанавливается вашей организацией. Дополнительные сведения об использовании пользовательской рабочей области.

План Defender для контейнеров

Defender для контейнеров защищает развертывания контейнеров с несколькими облаками, выполняющихся в:

• Служба Azure Kubernetes (AKS). Это управляемая служба Майкрософт для разработки и развертывания контейнерных приложений, а также управления ими.
• Amazon Elastic Kubernetes Service (EKS) в подключенной учетной записи AWS — управляемая служба Amazon для запуска Kubernetes в AWS без необходимости устанавливать, работать и поддерживать собственную плоскость управления Kubernetes или узлы.
• Google Kubernetes Engine (GKE) в подключенном проекте GCP — управляемой среде Google для развертывания, управления и масштабирования приложений с помощью инфраструктуры GCP.
• Другие дистрибутивы Kubernetes с поддержкой Azure Arc, которые позволяют подключать и настраивать кластеры Kubernetes, работающие в любом месте, включая другие общедоступные облака и локальные.

Defender для контейнеров имеет как компоненты на основе датчиков, так и без агента.

• Сбор данных журнала аудита Kubernetes без агента: Amazon CloudWatch или GCP Cloud Log включает и собирает данные журнала аудита и отправляет собранные данные в Defender для облака для дальнейшего анализа. Хранилище данных основано на регионе AWS кластера EKS в соответствии с GDPR — ЕС и США.
• Коллекция без агента для инвентаризации Kubernetes: сбор данных в кластерах Kubernetes и их ресурсах, таких как пространства имен, развертывания, модули Pod и входящий трафик.
• Kubernetes с поддержкой Датчика Azure Arc: подключает кластеры EKS и GKE к Azure с помощью агентов Azure Arc, чтобы они рассматривались как ресурсы Azure Arc.
• Датчик Defender: DaemonSet, который собирает сигналы от узлов с помощью технологии eBPF и обеспечивает защиту среды выполнения. Расширение регистрируется в рабочей области Log Analytics и используется в качестве конвейера данных. Данные журнала аудита не хранятся в рабочей области Log Analytics.
• Политика Azure для Kubernetes: сведения о конфигурации собираются Политика Azure для Kubernetes.
  • Политика Azure для Kubernetes расширяет веб-перехватчик контроллера допуска с открытым исходным кодом Вратарь версии 3 для агента Open Policy.
  • Расширение регистрируется в качестве веб-перехватчика в Kubernetes и позволяет применять масштабируемое применение, обеспечивая защиту кластеров в централизованном и согласованном режиме.

План Defender для баз данных

Для плана Defender для баз данных в многооблачном сценарии используется Azure Arc для управления базами данных SQL Server с несколькими облаками. Экземпляр SQL Server устанавливается на виртуальной или физической машине, подключенной к Azure Arc.

• Агент подключенного компьютера Azure устанавливается на компьютерах, подключенных к Azure Arc.
• План Defender для баз данных должен быть включен в подписке, в которой находятся компьютеры Azure Arc.
• Агент Log Analytics для SQL Server в Microsoft Defender должен быть подготовлен на компьютерах Azure Arc. Он собирает параметры конфигурации, связанные с безопасностью, и журналы событий с компьютеров.
• Автоматическое обнаружение и регистрация SQL Server должны иметь значение "Вкл.", чтобы разрешить обнаружение базы данных SQL на компьютерах.

Когда речь идет о фактических ресурсах AWS и GCP, защищенных Defender для облака, их расположение устанавливается непосредственно из облаков AWS и GCP.

Следующие шаги

В этой статье вы узнали, как определить требования к месту размещения данных при разработке решения для обеспечения безопасности с несколькими облаками. Перейдите к следующему шагу, чтобы определить требования к соответствию.