你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
确定多云依赖项
本文是一系列教程的一部分,在你使用 Microsoft Defender for Cloud 跨多云资源设计云安全态势管理 (CSPM) 和云工作负载保护 (CWP) 解决方案时提供指导。
目标
找出可能影响多云设计的依赖项。
入门
设计多云解决方案时,请务必清楚地了解 Defender for Cloud 中所有多云功能所需的组件。
CSPM
Defender for Cloud 为 AWS 和 GCP 工作负载提供云安全态势管理 (CSPM) 功能。
- 载入 AWS 和 GCP 后,Defender for Cloud 会开始根据行业标准评估多云工作负载,并报告安全态势。
- CSPM 功能是无代理的,除了要成功载入 AWS/GCP 连接器之外,不依赖于任何其他组件。
- 请务必注意,安全态势管理计划是默认开启且无法关闭的。
- 了解 CSPM 发现 AWS 资源所需的 IAM 权限。
CWPP
注意
由于 Log Analytics 代理将于 2024 年 8 月停用,作为 Defender for Cloud 更新策略的一部分,所有 Defender for Servers 特性和功能都将通过 Microsoft Defender for Endpoint 集成或无代理扫描提供,不依赖于 Log Analytics 代理 (MMA) 或 Azure Monitor 代理 (AMA)。 有关此更改的更多信息,请参阅此公告。
在 Defender for Cloud 中,启用特定计划来获取云工作负载平台保护 (CWPP) 功能。 保护多云资源的计划包括:
- Defender for Servers:保护 AWS/GCP Windows 和 Linux 计算机。
- Defender for Containers:通过采用安全建议和强化、漏洞评估和运行时保护功能帮助保护 Kubernetes 群集。
- Defender for SQL:保护在 AWS 和 GCP 中运行的 SQL 数据库。
我需要哪一扩展?
下表汇总了 CWPP 的扩展需求。
| 扩展 | 适用于服务器的 Defender | Defender for Containers | 计算机上的 Defender for SQL |
|---|---|---|---|
| Azure Arc 代理 | ✔ | ✔ | ✔ |
| Microsoft Defender for Endpoint 拓展 | ✔ | ||
| 漏洞评估 | ✔ | ||
| 无代理磁盘扫描 | ✔ | ✔ | |
| Log Analytics 或 Azure Monitor 代理(预览版)扩展 | ✔ | ✔ | |
| Defender 传感器 | ✔ | ||
| 适用于 Kubernetes 的 Azure Policy | ✔ | ||
| Kubernetes 审核日志数据 | ✔ | ||
| 计算机上的 SQL 服务器 | ✔ | ||
| 自动 SQL Server 发现和注册 | ✔ |
适用于服务器的 Defender
在 AWS 或 GCP 连接器上启用 Defender for Servers,让 Defender for Cloud 能为 Google Compute Engine VM 和 AWS EC2 实例提供服务器保护。
查看计划
Defender for Servers 提供两项不同的计划:
计划 1:
- MDE 集成:计划 1 与 Microsoft Defender for Endpoint 计划 2 集成,以便为运行一系列操作系统的计算机提供完整的终结点检测和响应 (EDR) 解决方案。 Defender for Endpoint 功能包括:
- 预配:在连接到 Defender for Cloud 的每台受支持计算机上自动预配 Defender for Endpoint 传感器。
- 许可:Defender for Endpoint 许可证按小时收费(而不是按席位),因此,仅在虚拟机使用时才提供保护,降低了成本。
计划 2:包括计划 1 的所有组件以及其他功能,例如文件完整性监视 (FIM)、实时 (JIT) VM 访问等。
请在载入 Defender for Servers 之前查看各项计划的功能。
查看组件 - Defender for Servers
需要满足以下组件需求和要求才能享受 Defender for Servers 计划提供的完整保护:
- Azure Arc 代理:AWS 和 GCP 计算机使用 Azure Arc 连接到 Azure,Azure Arc 代理为其起到连接作用。
- 需要使用 Azure Arc 代理来读取主机级别的安全信息,并允许 Defender for Cloud 部署完整保护所需的代理/扩展。 若要自动预配 Azure Arc 代理,必须在 GCP VM 实例上配置 OS 配置代理,并为 AWS EC2 实例配置 AWS Systems Manager (SSM) 代理。 详细了解代理。
- Defender for Endpoint 功能:Microsoft Defender for Endpoint 代理提供全面的终结点检测和响应 (EDR) 功能。
- 漏洞评估:使用集成的 Qualys 漏洞扫描程序或 Microsoft Defender 漏洞管理解决方案。
- Log Analytics 代理/Azure Monitor 代理 (AMA)(预览版):从计算机收集与安全相关的配置信息和事件日志。
检查网络要求
在载入代理之前,计算机必须满足网络要求。 默认情况下会启用自动预配。
Defender for Containers
启用 Defender for Containers 可提供具有这些安全功能的 GKE 和 EKS 群集和基础主机。
查看组件 - Defender for Containers
所需组件如下所示:
- Azure Arc 代理:将 GKE 和 EKS 群集连接到 Azure,并加入 Defender 传感器。
- Defender 传感器:提供主机级别的运行时威胁防护。
- 适用于 Kubernetes 的 Azure Policy:扩展 Gatekeeper v3 以监视对 Kubernetes API 服务器的每个请求,并确保在群集和工作负载上遵循安全最佳做法。
- Kubernetes 审核日志:来自 API 服务器的审核日志可让 Defender for Containers 识别多云服务器中的可疑活动,并在调查警报时提供更深入的见解。 需要在连接器级别启用“Kubernetes 审核日志”发送。
检查网络要求 - Defender for Containers
请确保检查群集是否满足网络要求,以便 Defender 传感器可与 Defender for Cloud 连接。
Defender for SQL
Defender for SQL 为 GCP Compute Engine 和 AWS 提供威胁检测。 必须在连接器所在的订阅上启用计算机上的 Defender for SQL Server 计划。
查看组件 - Defender for SQL
若要在多云工作负载上获取 Defender for SQL 的完整优势,需要以下组件:
- Azure Arc 代理:AWS 和 GCP 计算机使用 Azure Arc 连接到 Azure,Azure Arc 代理为其起到连接作用。
- 需要使用 Azure Arc 代理来读取主机级别的安全信息,并允许 Defender for Cloud 部署完整保护所需的代理/扩展。
- 若要自动预配 Azure Arc 代理,必须在 GCP VM 实例上配置 OS 配置代理,并为 AWS EC2 实例配置 AWS Systems Manager (SSM) 代理。 详细了解代理。
- Log Analytics 代理/Azure Monitor 代理 (AMA)(预览版):从计算机收集与安全相关的配置信息和事件日志
- 自动 SQL Server 发现和注册:支持 SQL Server 的自动发现和注册
后续步骤
本文介绍了在设计多云安全解决方案时如何确定多云依赖项。 请继续了解下一步以自动部署连接器。