判斷多雲端相依性

發行項
08/13/2024

本文是其中一個系列，可在您使用適用於雲端的 Microsoft Defender 來設計跨多雲端資源的雲端安全性態勢管理 (CSPM) 和雲端工作負載保護 (CWP) 解決方案時提供指導。

Goal

找出可能會影響多雲端設計的相依性。

開始使用

當您設計多雲端解決方案時，請務必清楚了解在適用於雲端的 Defender 中享有所有多雲端功能所需的元件。

CSPM

適用於雲端的 Defender 對於 AWS 和 GCP 工作負載提供雲端安全性態勢管理 (CSPM) 功能。

將 AWS 和 GCP 上線之後，適用於雲端的 Defender 會開始根據業界標準評估您的多雲端工作負載，並回報安全性態勢。
CSPM 功能是無代理程式，而且不會依賴其他任何元件，但無法成功上線 AWS/GCP 連接器。
請務必注意，預設會開啟安全性態勢管理計畫，且無法關閉。
了解探索 CSPM AWS 資源所需的 IAM 授權。

CWPP

注意

由於 Log Analytics 代理程式將於 2024 年 8 月淘汰並作為適用於雲端的 Defender 更新策略一部分，所有適用於伺服器的 Defender功能將透過適用於端點的 Microsoft Defender 整合或無代理程式掃描提供，而不依賴於 Log Analytics 代理程式 (MMA) 或 Azure 監視器代理程式 (AMA)。如需這項變更的詳細資訊，請參閱此公告。

在適用於雲端的 Defender 中，您可以啟用特定計劃，以取得雲端工作負載平台保護 (CWPP) 功能。保護多雲端資源的計畫包括：

適用於伺服器的 Defender：保護 AWS/GCP Windows 和 Linux 機器。
適用於容器的 Defender：使用安全性建議和強化、弱點評估及執行時間保護，協助保護您的 Kubernetes 叢集。
適用於 SQL 的 Defender：保護在 AWS 和 GCP 中執行的 SQL 資料庫。

我需要哪些延伸模組？

下表摘要說明 CWPP 的延伸模組需求。

副檔名	適用於伺服器的 Defender	適用於容器的 Defender	機器上適用於 SQL 的 Defender
Azure Arc 代理程式	✔	✔	✔
適用於端點的 Microsoft Defender 擴充功能	✔
弱點評估	✔
無代理程式磁碟掃描	✔	✔
Log Analytics 或 Azure 監視器代理程式 (預覽) 擴充功能	✔		✔
Defender 感應器		✔
適用於 Kubernetes 的 Azure 原則		✔
Kubernetes 稽核記錄資料		✔
機器上的 SQL 伺服器			✔
自動 SQL Server 探索與註冊			✔

適用於伺服器的 Defender

在 AWS 或 GCP 連接器上啟用適用於伺服器的 Defender 可讓適用於雲端的 Defender 對於 Google Compute Engine VM 和 AWS EC2 執行個體提供伺服器保護。

檢閱計畫

適用於伺服器的 Defender 提供兩個不同的方案：

方案 1：
- MDE 整合：方案 1 與適用於端點方案 2 的 Microsoft Defender 整合，為執行各種作業系統的機器提供完整的端點偵測和回應 (EDR) 解決方案。適用於端點的 Defender 功能包括：
  - 減少機器的攻擊面。
  - 提供防毒功能。
  - 威脅管理，包括威脅搜捕、偵測、分析以及自動化調查與回應。
- 佈建：在每個連線至適用於雲端的 Defender 的支援機器自動佈建適用於端點感應器的 Defender。
- 授權：適用於端點的 Defender 授權是計時收費，而非依基座收費，因此只會保護使用中的虛擬機器，藉此降低成本。
方案 2： 包含方案 1 的所有元件，以及檔案完整性監視 (FIM)、Just-In-Time (JIT) VM 存取等其他功能。

在上線至適用於伺服器的 Defender 之前，請先檢閱每個方案的功能。

檢閱元件 - 適用於伺服器的 Defenderr

需要下列元件和需求，才能從適用於伺服器的 Defender 方案接收完整保護：

Azure Arc 代理程式：AWS 和 GCP 機器會使用 Azure Arc 連線到 Azure。Azure Arc 代理程式會進行連線。
- 需要 Azure Arc 代理程式才能讀取主機層級的安全性資訊，並允許適用於雲端的 Defender 部署完整保護所需的代理程式/擴充功能。若要自動佈建 Azure Arc 代理程式，必須設定 GCP VM 執行個體上的 OS 設定代理程式，並且必須設定 AWS EC2 執行個體的 AWS Systems Manager (SSM) 代理程式。深入了解代理程式。
適用於端點的 Defender 功能：適用於端點的 Microsoft Defender 代理程式提供完整的端點偵測和回應 (EDR) 功能。
弱點評量：使用整合式 Qualys 弱點掃描器或 Microsoft Defender 弱點管理解決方案。
Log Analytics 代理程式/Azure 監視器代理程式 (AMA) (預覽版)：從電腦收集安全性相關的設定資訊和事件記錄檔。

檢查網路需求

機器必須符合網路需求，才能將代理程式上線。預設會啟用自動佈建。

適用於容器的 Defender

啟用適用於容器的 Defender 提供 GKE 和 EKS 叢集和基礎主機，並提供這些安全性功能。

檢閱元件 - 適用於容器的 Defender

必要的元件如下所示：

Azure Arc 代理程式：將您的 GKE 和 EKS 叢集連線至 Azure，並將 Defender 感應器上線。
Defender 感應器：提供主機層級執行階段威脅防護。
適用於 Kubernetes 的 Azure 原則：擴充 Gatekeeper v3 以監視 Kubernetes API 伺服器的每個要求，並確保在叢集和工作負載上遵循安全性最佳做法。
Kubernetes 稽核記錄：來自 API 伺服器的稽核記錄可讓適用於容器的 Defender 識別多雲端伺服器內的可疑活動，並在調查警示時提供更深入的見解。必須在連接器層級上啟用「Kubernetes 稽核記錄」傳送。

檢查網路需求 - 適用於容器的 Defender

請務必檢查您的叢集是否符合網路需求，讓 Defender 感應器可以與適用於雲端的 Defender 連線。

適用於 SQL 的 Defender

適用於 SQL 的 Defender 提供 GCP 計算引擎和 AWS 的威脅偵測。必須在連接器所在的訂用帳戶上啟用適用於SQL Server的 Defender 方案。

檢閱元件 - Defender for SQL

若要在多雲端工作負載上獲得適用於 SQL 的 Defender 完整優點，您需要下列元件：

Azure Arc 代理程式：AWS 和 GCP 機器會使用 Azure Arc 連線到 Azure。Azure Arc 代理程式會進行連線。
- 需要 Azure Arc 代理程式才能讀取主機層級的安全性資訊，並允許適用於雲端的 Defender 部署完整保護所需的代理程式/擴充功能。
- 若要自動佈建 Azure Arc 代理程式，必須設定 GCP VM 執行個體上的 OS 設定代理程式，並且必須設定 AWS EC2 執行個體的 AWS Systems Manager (SSM) 代理程式。深入了解代理程式。
Log Analytics 代理程式/Azure 監視器代理程式 (AMA) (預覽版)：從電腦收集安全性相關的設定資訊和事件記錄檔
自動 SQL Server 探索和註冊：支援自動探索和註冊 SQL Server

下一步

在本文中，您已了解如何在設計多雲端安全性解決方案時判斷多雲端相依性。繼續進行下一個步驟，以自動化連接器部署。

共用方式為