Определение зависимостей с несколькими облаками
Эта статья является одной из серии рекомендаций по проектированию решения для управления безопасностью облака (CSPM) и облачной защиты рабочих нагрузок (CWP) в многооблачных ресурсах с Microsoft Defender для облака.
Goal
Определите зависимости, которые могут повлиять на дизайн мультиоблачных зависимостей.
Начало работы
При проектировании решения с несколькими облаками важно иметь четкое представление о компонентах, необходимых для использования всех многооблачных функций в Defender для облака.
CSPM
Defender для облака предоставляет функции управления posture Cloud Security (CSPM) для рабочих нагрузок AWS и GCP.
- После подключения AWS и GCP Defender для облака начнет оценивать рабочие нагрузки с несколькими облаками по отраслевым стандартам и отчетам о состоянии безопасности.
- Функции CSPM являются безагентными и не зависят от других компонентов, кроме успешного подключения соединителей AWS/GCP.
- Важно отметить, что план управления безопасностью включен по умолчанию и не может быть отключен.
- Сведения о разрешениях IAM, необходимых для обнаружения ресурсов AWS для CSPM.
CWPP
Примечание.
Так как агент Log Analytics установлен на пенсию в августе 2024 г. и в рамках обновленной стратегии Defender для облака все функции и возможности Defender для серверов будут предоставлены через Microsoft Defender для конечной точки интеграция или сканирование без агента без зависимости от агента Log Analytics (MMA) или агента Azure Monitor (AMA). Дополнительные сведения об этом изменении см . в этом объявлении.
В Defender для облака можно включить определенные планы для получения функций Защиты платформы облачной рабочей нагрузки (CWPP). Планы защиты многооблачных ресурсов включают:
- Defender для серверов: защита компьютеров AWS/GCP под управлением Windows и Linux.
- Defender для контейнеров. Защита кластеров Kubernetes с помощью рекомендаций по безопасности и защиты от уязвимостей, оценки уязвимостей и защиты среды выполнения.
- Defender для SQL: защита баз данных SQL, работающих в AWS и GCP.
Какое расширение мне нужно?
В следующей таблице перечислены требования к расширению для CWPP.
| Расширение | Defender для серверов | Defender для контейнеров | Defender для SQL на компьютерах |
|---|---|---|---|
| Агент Azure Arc | ✔ | ✔ | ✔ |
| расширение Microsoft Defender для конечной точки | ✔ | ||
| Оценка уязвимостей | ✔ | ||
| Сканирование диска без агента | ✔ | ✔ | |
| Расширение Log Analytics или Агента Azure Monitor (предварительная версия) | ✔ | ✔ | |
| Датчик Defender | ✔ | ||
| Политика Azure для Kubernetes | ✔ | ||
| Данные журнала аудита Kubernetes | ✔ | ||
| Серверы SQL на компьютерах | ✔ | ||
| Автоматическое обнаружение и регистрация SQL Server | ✔ |
Defender для серверов
Включение Defender для серверов в соединителе AWS или GCP позволяет Defender для облака обеспечить защиту сервера виртуальным машинам Google Compute Engine и экземплярам AWS EC2.
Просмотр планов
Defender для серверов предлагает два различных плана:
План 1.
- Интеграция MDE: план 1 интегрируется с Microsoft Defender для конечной точки план 2 для предоставления полного решения обнаружение и нейтрализация атак на конечные точки (EDR) для компьютеров с несколькими операционными системами. К функциям Defender для конечной точки относятся:
- Уменьшение уязвимой зоны для компьютеров.
- Предоставление возможностей антивирусной программы.
- Управление угрозами, включая охоту на угрозы, обнаружение, аналитику и автоматизированное исследование и реагирование.
- Подготовка: автоматическая подготовка датчика Defender для конечной точки на каждом поддерживаемом компьютере, подключенном к Defender для облака.
- Лицензирование. Плата за лицензии на Defender для конечной точки взимается за час, а не за место, что позволяет сократить затраты на защиту виртуальных машин только при их использовании.
- Интеграция MDE: план 1 интегрируется с Microsoft Defender для конечной точки план 2 для предоставления полного решения обнаружение и нейтрализация атак на конечные точки (EDR) для компьютеров с несколькими операционными системами. К функциям Defender для конечной точки относятся:
План 2. Включает все компоненты плана 1 вместе с дополнительными возможностями, такими как мониторинг целостности файлов (FIM), JIT-доступ к виртуальной машине и многое другое.
Ознакомьтесь с функциями каждого плана перед подключением к Defender для серверов.
Проверка компонентов — Defender для серверов
Для получения полной защиты от плана Defender для серверов необходимы следующие компоненты и требования:
- Агент Azure Arc: компьютеры AWS и GCP подключаются к Azure с помощью Azure Arc. Агент Azure Arc подключает их.
- Агент Azure Arc необходим для чтения сведений о безопасности на уровне узла и разрешить Defender для облака развертывать агенты и расширения, необходимые для полной защиты. Чтобы автоматически подготовить агент Azure Arc, необходимо настроить агент конфигурации ОС на экземплярах виртуальных машин GCP и агент AWS Systems Manager (SSM) для экземпляров AWS EC2. Дополнительные сведения об агенте.
- Возможности Defender для конечной точки: агент Microsoft Defender для конечной точки предоставляет комплексные возможности обнаружение и нейтрализация атак на конечные точки (EDR).
- Оценка уязвимостей: использование встроенного сканера уязвимостей Qualys или решения Управление уязвимостями Microsoft Defender.
- Агент Log Analytics или агент Azure Monitor (AMA) (в предварительной версии): собирает сведения о конфигурации, связанные с безопасностью, и журналы событий с компьютеров.
Проверка требований к сети
Компьютеры должны соответствовать требованиям к сети перед подключением агентов. Автоматическая подготовка включена по умолчанию.
Defender для контейнеров
Включение Defender для контейнеров предоставляет кластеры GKE и EKS и базовые узлы с этими возможностями безопасности.
Проверка компонентов — Defender для контейнеров
Необходимые компоненты приведены следующим образом:
- Агент Azure Arc: подключает кластеры GKE и EKS к Azure и подключает датчик Defender.
- Датчик Защитника: обеспечивает защиту от угроз среды выполнения на уровне узла.
- Политика Azure для Kubernetes: расширяет шлюз версии 3 для отслеживания каждого запроса на сервер API Kubernetes и гарантирует, что рекомендации по обеспечению безопасности выполняются в кластерах и рабочих нагрузках.
- Журналы аудита Kubernetes: журналы аудита с сервера API позволяют Defender для контейнеров выявлять подозрительные действия на серверах с несколькими облаками и предоставлять более подробную информацию при изучении оповещений. Отправка журналов аудита Kubernetes должна быть включена на уровне соединителя.
Проверка требований к сети — Defender для контейнеров
Убедитесь, что кластеры соответствуют требованиям к сети, чтобы датчик Defender смог подключиться к Defender для облака.
Defender для SQL
Defender для SQL обеспечивает обнаружение угроз для вычислительной подсистемы GCP и AWS. План Defender для SQL Server на компьютерах должен быть включен в подписке, в которой находится соединитель.
Проверка компонентов — Defender для SQL
Чтобы получить полные преимущества Defender для SQL в рабочей нагрузке с несколькими облаками, вам потребуются следующие компоненты:
- Агент Azure Arc: компьютеры AWS и GCP подключаются к Azure с помощью Azure Arc. Агент Azure Arc подключает их.
- Агент Azure Arc необходим для чтения сведений о безопасности на уровне узла и разрешить Defender для облака развертывать агенты и расширения, необходимые для полной защиты.
- Чтобы автоматически подготовить агент Azure Arc, необходимо настроить агент конфигурации ОС на экземплярах виртуальных машин GCP и агент AWS Systems Manager (SSM) для экземпляров AWS EC2. Дополнительные сведения об агенте.
- Агент Log Analytics или агент Azure Monitor (AMA) (в предварительной версии): собирает сведения о конфигурации, связанные с безопасностью, и журналы событий с компьютеров
- Автоматическое обнаружение и регистрация SQL Server: поддерживает автоматическое обнаружение и регистрацию серверов SQL Server
Следующие шаги
В этой статье вы узнали, как определить многооблачные зависимости при разработке решения для обеспечения безопасности с несколькими облаками. Перейдите к следующему шагу, чтобы автоматизировать развертывание соединителя.