将混合云和多云环境连接到 Microsoft Defender for Cloud

  • 7 分钟

将混合云和多云环境连接到 Microsoft Defender for Cloud 对于在各种 IT 环境中保持统一的安全态势至关重要。 为非 Azure 计算机、本机云连接器和经典连接器启用 Azure Arc 的服务器后,可以将 Microsoft Defender for Cloud 的功能扩展到非 Azure 资源。 此集成使你可以全面监视、检测和响应安全威胁。 在这里,我们提供了过程的信息性概述,以及成功连接的详细要求。

将非 Azure 计算机连接到 Microsoft Defender for Cloud

Microsoft Defender for Cloud 可以监视非 Azure 计算机的安全状况,但首先需要将它们连接到 Azure。

可以通过以下任一方式连接非 Azure 计算机:

  • 使用 Azure Arc 载入:

    • 使用已启用 Azure Arc 的服务器(建议)
    • 使用 Azure 门户

  • 直接使用 Microsoft Defender for Endpoint 载入

使用 Azure Arc 连接本地计算机

启用了 Azure Arc 的服务器的计算机将成为 Azure 资源。 在计算机上安装 Log Analytics 代理时,它会显示在 Defender for Cloud 中,其中包含建议,例如其他 Azure 资源。

已启用 Azure Arc 的服务器提供增强的功能,例如在计算机上启用来宾配置策略,以及简化与其他 Azure 服务的部署。 有关已启用 Azure Arc 的服务器的优势的概述,请参阅支持的云作。

若要在一台计算机上部署 Azure Arc,请按照快速入门中的说明作:将混合计算机连接到已启用 Azure Arc 的服务器。

若要大规模在多台计算机上部署 Azure Arc,请按照大规模将混合计算机连接到 Azure 中的说明进行作。

用于自动部署 Log Analytics 代理的 Defender for Cloud 工具适用于运行 Azure Arc 的计算机。但是,此功能目前以预览版提供。 使用 Azure Arc 连接计算机时,请使用相关的 Defender for Cloud 建议部署代理,并从 Defender for Cloud 提供的全部保护中受益:

  • 应在基于 Linux 的 Azure Arc 计算机上安装 Log Analytics 代理
  • Log Analytics 代理应安装在基于 Windows 的 Azure Arc 计算机上

将 AWS 帐户连接到 Microsoft Defender for Cloud

工作负荷通常跨越多个云平台。 云安全服务必须执行相同的作。 Microsoft Defender for Cloud 有助于保护 Amazon Web Services (AWS)中的工作负荷,但需要设置它们与 Defender for Cloud 之间的连接。

如果要连接以前使用经典连接器连接的 AWS 帐户,必须先将其删除。 使用由经典连接器和本机连接器连接的 AWS 帐户可能会生成重复的建议。

先决条件

若要完成本文中的过程,需要:

  • Microsoft Azure 订阅。 如果没有 Azure 订阅,可以注册免费订阅。
  • Microsoft Azure 订阅上设置的 Defender for Cloud。
  • 访问 AWS 帐户。
  • 相关 Azure 订阅的参与者权限,以及 AWS 帐户的管理员权限。

Defender for Containers

如果选择Microsoft Defender for Containers 计划,则需要:

  • 至少有一个 Amazon EKS 群集有权访问 EKS Kubernetes API 服务器。
  • 用于在群集区域中创建新的 Amazon 简单队列服务(SQS)队列、Kinesis Data Firehose 传送流和 Amazon S3 存储桶的资源容量。

Defender for SQL

如果选择 Microsoft Defender for SQL 计划,则需要:

  • Microsoft订阅上启用了 Defender for SQL。 了解如何保护数据库。
  • 活动 AWS 帐户,运行 SQL Server 或关系数据库服务 (RDS) 的 EC2 实例为 SQL Server 自定义。
  • 适用于在 EC2 实例上安装的服务器或适用于 SQL Server 的 RDS 自定义的 Azure Arc。

建议使用自动预配过程在所有现有和将来的 EC2 实例上安装 Azure Arc。 若要启用 Azure Arc 自动预配,需要对相关 Azure 订阅拥有所有者权限。

AWS 系统管理器(SSM)使用 SSM 代理管理自动预配。 一些 Amazon Machine Images 已预安装 SSM 代理。 如果 EC2 实例没有 SSM 代理,请使用 Amazon 中的以下说明安装它:为混合和多云环境(Windows)安装 SSM 代理。

确保 SSM 代理具有托管策略 AmazonSSMManagedInstanceCore。 它为 AWS Systems Manager 服务启用核心功能。

在连接到 Azure Arc 的计算机上启用以下其他扩展:

  • Microsoft Defender for Endpoint
  • 漏洞评估解决方案(威胁和漏洞管理或 Qualys)
  • 连接到 Azure Arc 的计算机或 Azure Monitor 代理上的 Log Analytics 代理

确保所选的 Log Analytics 工作区已安装安全解决方案。 Log Analytics 代理和 Azure Monitor 代理当前在订阅级别配置。 同一订阅下的所有 AWS 帐户和 Google Cloud Platform (GCP) 项目都继承 Log Analytics 代理和 Azure Monitor 代理的订阅设置。

Defender for Servers

如果选择Microsoft Defender for Servers 计划,则需要:

  • Microsoft订阅上启用的 Defender for Servers。 了解如何在“启用增强的安全功能”中启用计划。
  • 包含 EC2 实例的活动 AWS 帐户。
  • 适用于在 EC2 实例上安装的服务器的 Azure Arc。

建议使用自动预配过程在所有现有和将来的 EC2 实例上安装 Azure Arc。 若要启用 Azure Arc 自动预配,需要对相关 Azure 订阅拥有所有者权限。

AWS Systems Manager 使用 SSM 代理管理自动预配。 一些 Amazon Machine Images 已预安装 SSM 代理。 如果 EC2 实例没有 SSM 代理,请使用 Amazon 中的以下任一说明进行安装:

  • 为混合和多云环境安装 SSM 代理 (Windows)
  • 为混合和多云环境安装 SSM 代理(Linux)

确保 SSM 代理具有托管策略 AmazonSSMManagedInstanceCore,该策略为 AWS Systems Manager 服务启用核心功能。

如果要在现有和将来的 EC2 实例上手动安装 Azure Arc,请使用 EC2 实例连接到 Azure Arc 建议,以确定未安装 Azure Arc 的实例。

在连接到 Azure Arc 的计算机上启用以下其他扩展:

  • Microsoft Defender for Endpoint
  • 漏洞评估解决方案(威胁和漏洞管理或 Qualys)
  • 连接到 Azure Arc 的计算机或 Azure Monitor 代理上的 Log Analytics 代理

确保所选的 Log Analytics 工作区已安装安全解决方案。 Log Analytics 代理和 Azure Monitor 代理当前在订阅级别配置。 同一订阅下的所有 AWS 帐户和 GCP 项目都继承 Log Analytics 代理和 Azure Monitor 代理的订阅设置。

Defender for Servers 将标记分配给 AWS 资源,以管理自动预配过程。 必须将这些标记正确分配给资源,以便 Defender for Cloud 可以管理它们:AccountIdCloudInstanceIdMDFCSecurityConnector

Defender CSPM

如果选择Microsoft Defender 云安全状况管理计划,则需要:

  • Azure 订阅。 如果没有 Azure 订阅,可以注册免费订阅。
  • 必须在 Azure 订阅上启用 Microsoft Defender for Cloud。
  • 连接非 Azure 计算机、AWS 帐户。
  • 若要访问 CSPM 计划提供的所有功能,订阅所有者必须启用该计划。