通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

确定计划和代理要求

  • 项目

本文是一系列教程的一部分,在你使用 Microsoft Defender for Cloud 跨多云资源设计云安全态势管理 (CSPM) 和云工作负载保护 (CWP) 解决方案时提供指导。

目标

确定要启用的计划和每个计划的要求。

开始使用

在跨云保护资产时,需要确定要启用哪些计划来实现所需的保护,并根据每个计划的需要安装代理组件。

代理注意事项

下面是有关 Defender for Cloud 使用的代理和扩展的数据注意事项。

  • CSPM:Defender for Cloud 中的 CSPM 功能是无代理的。 CSPM 无需任何代理即可正常工作。
  • CWP:Defender for Cloud 的一些工作负载保护功能需要使用代理收集数据。

用于服务器的 Defender 计划

代理用于 Defender for Servers 计划,如下所示:

  • 非 Azure 公有云利用 Azure Arc 服务连接到 Azure。
  • Azure Connected Machine 代理安装在作为 Azure Arc 计算机载入的多云计算机上。 应在 Azure Arc 计算机所在的订阅中启用 Defender for Cloud。
  • Defender for Cloud 利用 Connected Machine 代理安装 Defender for Servers 功能所需的扩展(例如 Microsoft Defender for Endpoint)。
  • 某些 Defender for Service 计划 2 功能需要 Log Analytics 代理/Azure Monitor 代理 (AMA)
    • Defender for Cloud 可以自动预配代理。
    • 启用自动预配时,需要指定存储收集数据的位置。 可以是 Defender for Cloud 创建的默认 Log Analytics 工作区中,也可以是订阅中的任何其他工作区中。 了解详细信息
    • 如果选择连续导出数据,则可以钻取和配置保存的事件和警报的类型。 了解详细信息
  • Log Analytics 工作区:
    • 定义在订阅级别使用的 Log Analytics 工作区。 它可以是默认工作区,也可以是自定义创建的工作区。
    • 选择默认工作区而不是自定义工作区有多种原因
    • 默认工作区的位置取决于 Azure Arc 计算机区域。 了解详细信息
    • 自定义创建的工作区的位置由组织设置。 详细了解如何使用自定义工作区。

Defender for Containers 计划

Defender for Containers 可保护在以下位置运行的多云容器部署:

  • Azure Kubernetes 服务 (AKS):Microsoft 的托管服务,用于开发、部署和管理容器化应用程序。
  • 在连接的 AWS 帐户中的 Amazon Elastic Kubernetes Service (EKS) - Amazon 的托管服务,用于在 AWS 上运行 Kubernetes,而无需安装、操作和维护自己的 Kubernetes 控制平面或节点。
  • 在已连接的 GCP 项目中的 Google Kubernetes Engine (GKE) - Google 的托管环境,通过 GCP 基础结构部署、管理和缩放应用程序。
  • 其他 Kubernetes 发行版 - 使用 已启用 Azure Arc 的 Kubernetes,使你可以附加和配置在任意位置(包括其他公有云和本地)运行的 Kubernetes 群集。

Defender for Containers 具有基于传感器的组件和无代理组件。

  • Kubernetes 审核日志数据的无代理集合Amazon CloudWatch 或 GCP 云日志记录启用和收集审核日志数据,并将收集的信息发送到 Defender for Cloud 以进一步分析。 数据存储基于 EKS 群集 AWS 区域,符合 GDPR - 欧盟和美国。
  • Kubernetes 清单的无代理收集:在 Kubernetes 群集及其资源(例如:命名空间、部署、Pod 和入口)上收集数据。
  • 基于传感器的已启用 Azure Arc 的 Kubernetes:使用 Azure Arc 代理将 EKS 和 GKE 群集连接到 Azure,使其被视为 Azure Arc 资源。
  • Defender 传感器:一个 DeamonSet,它使用 eBPF 技术从主机收集信号,并提供运行时保护。 该扩展向 Log Analytics 工作区注册,并用作数据管道。 审核日志数据不会存储在 Log Analytics 工作区中。
  • 适用于 Kubernetes 的 Azure Policy:配置信息由适用于 Kubernetes 的 Azure Policy 收集。
    • 适用于 Kubernetes 的 Azure Policy 扩展了 Open Policy Agent 的开源 Gatekeeper v3 许可控制器 Webhook。
    • 此扩展注册为 Kubernetes 许可控制的 Webhook,并使你能够应用大规模强制性操作,以集中一致的方式保护群集。

Defender for Databases 计划

对于多云方案中的 Defender for Databases 计划,可以利用 Azure Arc 来管理多云 SQL Server 数据库。 SQL Server 实例安装在连接到 Azure Arc 的虚拟机或物理计算机中。

  • Azure Connected Machine 代理 安装在连接到 Azure Arc 的计算机上。
  • 应在 Azure Arc 计算机所在的订阅中启用 Defender for Databases 计划。
  • 应在 Azure Arc 计算机上预配适用于 Microsoft Defender SQL Server 的 Log Analytics 代理。 它从计算机收集与安全相关的配置设置和事件日志。
  • 需要将自动 SQL Server 发现和注册设置为“启用”,以允许计算机上的 SQL 数据库发现。

当涉及到受 Defender for Cloud 保护的实际 AWS 和 GCP 资源时,它们的位置直接从 AWS 和 GCP 云进行设置。

后续步骤

本文介绍了在设计多云安全解决方案时如何确定数据驻留要求。 继续执行下一步以确定合规性要求