共用方式為

判斷方案和代理程式需求

  • 發行項

本文是其中一個系列,可在您使用適用於雲端的 Microsoft Defender 來設計跨多雲端資源的雲端安全性態勢管理 (CSPM) 和雲端工作負載保護 (CWP) 解決方案時提供指導。

Goal

識別要啟用哪些方案,以及每個方案的需求。

開始使用

在跨雲端保護資產時,您必須識別要啟用哪些方案以取得所需的保護,以及在每個方案需要時安裝代理程式元件。

代理程式考量

適用於雲端的 Defender 所使用的代理程式和延伸模組有資料考量。

  • CSPM:適用於雲端的 Defender 中的 CSPM 功能是無代理程式。 CSPM 不需要代理程式才能運作。
  • CWP:適用於雲端的 Defender 的某些工作負載保護功能需要使用代理程式來收集資料。

適用於伺服器的 Defender 方案

代理程式用於適用於伺服器的 Defender 方案中,如下所示:

  • 非 Azure 公用雲端會利用 Azure Arc 服務來連線到 Azure。
  • Azure Connected Machine 代理程式會安裝在以 Azure Arc 機器身分上線的多雲端電腦上。 適用於雲端的 Defender 應該在 Azure Arc 機器所在的訂用帳戶中啟用。
  • 適用於雲端的 Defender 會利用連線的電腦代理程式來安裝延伸模組 (例如,適用於端點的 Microsoft Defender),其為適用於伺服器的 Defender功能所需。
  • 某些適用於服務方案 2 的 Defender 功能需要Log Analytics 代理程式/Azure 監視器代理程式 (AMA)
    • 適用於雲端的 Defender 可以自動佈建代理程式。
    • 當您啟用自動佈建時,您會指定要儲存所收集資料的位置。 無論是在適用於雲端的 Defender 所建立的預設 Log Analytics 工作區,或訂用帳戶的任何其他工作區中。 深入了解
    • 如果您選取持續匯出資料,您可以鑽研並設定已儲存的事件和警示類型。 深入了解
  • Log Analytics 工作區:
    • 您可以定義您在訂用帳戶層級使用的 Log Analytics 工作區。 它可以是預設工作區或自訂建立的工作區。
    • 選取預設工作區而非自訂工作區有數個原因
    • 預設工作區的位置取決於您的 Azure Arc 機器區域。 深入了解
    • 自訂建立工作區的位置是由您的組織所設定。 深入了解使用自訂工作區。

適用於容器的 Defender 方案

適用於容器的 Defender 可保護您在下列位置執行的多雲端容器部署:

  • Azure Kubernetes Service (AKS) - Microsoft 受管理的服務,可用來開發、部署和管理容器化應用程式。
  • 已連線 AWS 帳戶中的 Amazon Elastic Kubernetes Service (EKS) - :Amazon 在 AWS 上執行 Kubernetes 的受控服務,而不需要安裝、操作和維護您自己的 Kubernetes 控制平面或節點。
  • 已連線 GCP 專案中的 Google Kubernetes Engine (GKE) - Google 使用 GCP 基礎結構部署、管理和調整應用程式的受控環境。
  • 其他 Kubernetes 發佈 - 使用已啟用 Azure Arc 的 Kubernetes,可讓您連結及設定在任何位置執行的 Kubernetes 叢集,包括其他公用雲端和內部部署。

適用於容器的 Defender 同時有以感應器為基礎的元件和無代理程式的元件。

  • Kubernetes 稽核記錄檔的無代理程式集合Amazon CloudWatch 或 GCP Cloud Logging 會啟用並收集稽核記錄檔,並將收集的資訊傳送到適用於雲端的 Defender,以供進一步分析。 資料儲存體是以 EKS 叢集 AWS 區域為基礎,符合 GDPR - 歐盟和美國。
  • Kubernetes 無代理程式集合詳細目錄:收集 Kubernetes 叢集及其資源上的資料,例如:命名空間、部署、Pod 和輸入。
  • 以感應器為基礎的已啟用 Azure Arc Kubernetes:使用 Azure Arc 代理程式,將您的 EKS 和 GKE 叢集連線至 Azure,使其可視為 Azure Arc 資源。
  • Defender 感應器:DaemonSet 會使用 eBPF 技術從主機收集訊號,並提供執行階段保護。 此延伸模組會向 Log Analytics 工作區註冊,並作為資料管線使用。 稽核記錄資料不會儲存在 Log Analytics 工作區中。
  • 適用於 Kubernetes 的 Azure 原則:適用於 Kubernetes 的 Azure 原則附會收集設定資訊。
    • 適用於 Kubernetes 的 Azure 原則會延伸適用於 Open Policy Agent 的開放原始碼 Gatekeeper v3 許可控制器 Webhook。
    • 此延伸模組會註冊為 Kubernetes 許可控制的 Webhook,讓您能夠以集中、一致的方式,針對叢集實施大規模政策與保護。

適用於資料庫的 Defender 方案

對於多雲端案例中的適用於資料庫的 Defender 方案,您可以利用 Azure Arc 來管理多雲端 SQL Server 資料庫。 SQL Server 執行個體會安裝在連線至 Azure Arc 的虛擬機器或實體機器中。

  • Azure Connected Machine 代理程式會安裝在連線至 Azure Arc 的機器上。
  • 適用於資料庫的 Defender 方案應該在 Azure Arc 機器所在的訂用帳戶中啟用。
  • Microsoft Defender SQL Server 的 Log Analytics 代理程式應該佈建在 Azure Arc 機器上。 它會從機器收集安全性相關的組態設定和事件記錄檔。
  • 自動化 SQL Server 探索和註冊必須設定為「開啟」,以允許機器上的 SQL 資料庫探索。

對於受「適用於雲端的 Defender」保護的實際 AWS 和 GCP 資源而言,其位置會直接從 AWS 和 GCP 雲端設定。

下一步

在本文中,您已了解如何在設計多重雲端安全性解決方案時,判斷合規性需求。 繼續進行下一個步驟,以判斷合規性需求