توصيل السحابة المختلطة والبيئات متعددة السحابة ب Microsoft Defender for Cloud

  • 7 دقائق

يعد توصيل السحابة المختلطة والبيئات متعددة السحابات ب Microsoft Defender for Cloud أمرا بالغ الأهمية للحفاظ على وضع أمان موحد عبر مناظر تكنولوجيا المعلومات المتنوعة. باستخدام خوادم Azure Arc الممكنة للأجهزة غير Azure وموصل السحابة الأصلي والموصل الكلاسيكي، يمكنك توسيع قدرات Microsoft Defender for Cloud إلى موارد غير Azure. يمكنك هذا التكامل من مراقبة التهديدات الأمنية واكتشافها والاستجابة لها بشكل شامل. نقدم هنا نظرة عامة إعلامية حول العملية، بالإضافة إلى متطلبات مفصلة لاتصال ناجح.

توصيل الأجهزة غير التابعة ل Azure ب Microsoft Defender for Cloud

يمكن ل Microsoft Defender for Cloud مراقبة الوضع الأمني للأجهزة غير التابعة ل Azure، ولكن أولا تحتاج إلى توصيلها ب Azure.

يمكنك توصيل أجهزة الكمبيوتر غير التابعة ل Azure بأي من الطرق التالية:

  • الإلحاق ب Azure Arc:

    • باستخدام خوادم Azure Arc الممكنة (مستحسن)
    • باستخدام مدخل Microsoft Azure

  • الإعداد مباشرة باستخدام Microsoft Defender لنقطة النهاية

توصيل الأجهزة المحلية باستخدام Azure Arc

يصبح الجهاز الذي يحتوي على خوادم Azure Arc الممكنة مورد Azure. عند تثبيت عامل Log Analytics عليه، يظهر في Defender for Cloud مع توصيات، مثل موارد Azure الأخرى.

توفر الخوادم التي تدعم Azure Arc قدرات محسنة، مثل تمكين نهج تكوين الضيف على الجهاز وتبسيط النشر مع خدمات Azure الأخرى. للحصول على نظرة عامة حول فوائد الخوادم التي تدعم Azure Arc، راجع العمليات السحابية المدعومة.

لنشر Azure Arc على جهاز واحد، اتبع الإرشادات الواردة في التشغيل السريع: توصيل الأجهزة المختلطة باستخدام خوادم Azure Arc الممكنة.

لنشر Azure Arc على أجهزة متعددة على نطاق واسع، اتبع الإرشادات الواردة في توصيل الأجهزة المختلطة ب Azure على نطاق واسع.

تعمل أدوات Defender for Cloud لنشر عامل Log Analytics تلقائيا مع الأجهزة التي تعمل على Azure Arc. ومع ذلك، هذه الإمكانية قيد المعاينة حاليا. عند توصيل أجهزتك باستخدام Azure Arc، استخدم توصية Defender for Cloud ذات الصلة لنشر العامل والاستفادة من مجموعة الحماية الكاملة التي يقدمها Defender for Cloud:

  • يجب تثبيت عامل Log Analytics على أجهزة Azure Arc المستندة إلى Linux
  • يجب تثبيت عامل Log Analytics على أجهزة Azure Arc المستندة إلى Windows

توصيل حساب AWS الخاص بك ب Microsoft Defender for Cloud

تمتد أحمال العمل عادة على أنظمة أساسية سحابية متعددة. يجب أن تفعل خدمات أمان السحابة نفس الشيء. يساعد Microsoft Defender for Cloud في حماية أحمال العمل في Amazon Web Services (AWS)، ولكنك تحتاج إلى إعداد الاتصال بينها وبين Defender for Cloud.

إذا كنت تقوم بتوصيل حساب AWS الذي قمت بتوصيله مسبقا باستخدام الموصل الكلاسيكي، يجب إزالته أولا. يمكن أن ينتج عن استخدام حساب AWS المتصل من قبل كل من الموصلات الكلاسيكية والأصلية توصيات مكررة.

المتطلبات المسبقه

لإكمال الإجراءات الواردة في هذه المقالة، تحتاج إلى:

  • اشتراك Microsoft Azure. إذا لم يكن لديك اشتراك Azure، يمكنك التسجيل للحصول على اشتراك مجاني.
  • إعداد Microsoft Defender for Cloud على اشتراك Azure الخاص بك.
  • الوصول إلى حساب AWS.
  • إذن المساهم لاشتراك Azure ذي الصلة، وإذن المسؤول على حساب AWS.

Defender للحاويات

إذا اخترت خطة Microsoft Defender for Containers، فستحتاج إلى:

  • مجموعة Amazon EKS واحدة على الأقل مع إذن للوصول إلى خادم واجهة برمجة تطبيقات EKS Kubernetes.
  • سعة المورد لإنشاء قائمة انتظار Amazon Simple Queue Service (SQS) جديدة، ودفق تسليم Kinesis Data Firehose، ودلو Amazon S3 في منطقة نظام المجموعة.

Defender ل SQL

إذا اخترت خطة Microsoft Defender for SQL، فستحتاج إلى:

  • تم تمكين Microsoft Defender for SQL على اشتراكك. تعرف على كيفية حماية قواعد البيانات الخاصة بك.
  • حساب AWS نشط، مع مثيلات EC2 التي تشغل SQL Server أو خدمة قاعدة البيانات الارتباطية (RDS) المخصصة ل SQL Server.
  • Azure Arc للخوادم المثبتة على مثيلات EC2 أو RDS Custom ل SQL Server.

نوصي باستخدام عملية التوفير التلقائي لتثبيت Azure Arc على جميع مثيلات EC2 الحالية والمستقبلية. لتمكين التوفير التلقائي ل Azure Arc، تحتاج إلى إذن المالك على اشتراك Azure ذي الصلة.

يدير AWS Systems Manager (SSM) التوفير التلقائي باستخدام عامل SSM. تحتوي بعض صور جهاز Amazon بالفعل على عامل SSM مثبت مسبقا. إذا لم يكن لدى مثيلات EC2 عامل SSM، فقم بتثبيته باستخدام هذه الإرشادات من Amazon: تثبيت عامل SSM لبيئة مختلطة ومتعددة السحابة (Windows).

تأكد من أن عامل SSM الخاص بك لديه النهج المدار AmazonSSMManagedInstanceCore. وهو يتيح الوظائف الأساسية لخدمة AWS Systems Manager.

تمكين هذه الملحقات الأخرى على الأجهزة المتصلة ب Azure Arc:

  • Microsoft Defender لنقطة النهاية
  • حل تقييم الثغرات الأمنية (إدارة المخاطر والثغرات الأمنية أو Qualys)
  • عامل Log Analytics على الأجهزة المتصلة ب Azure Arc أو عامل Azure Monitor

تأكد من تثبيت حل أمان لمساحة عمل Log Analytics المحددة. يتم تكوين عامل Log Analytics وعامل Azure Monitor حاليا على مستوى الاشتراك. ترث جميع حسابات AWS ومشاريع Google Cloud Platform (GCP) ضمن نفس الاشتراك إعدادات الاشتراك لعامل Log Analytics وعامل Azure Monitor.

Defender للخوادم

إذا اخترت خطة Microsoft Defender for Servers، فستحتاج إلى:

  • تم تمكين Microsoft Defender for Servers على اشتراكك. تعرف على كيفية تمكين الخطط في تمكين ميزات الأمان المحسنة.
  • حساب AWS نشط، مع مثيلات EC2.
  • Azure Arc للخوادم المثبتة على مثيلات EC2.

نوصي باستخدام عملية التوفير التلقائي لتثبيت Azure Arc على جميع مثيلات EC2 الحالية والمستقبلية. لتمكين التوفير التلقائي ل Azure Arc، تحتاج إلى إذن المالك على اشتراك Azure ذي الصلة.

يدير AWS Systems Manager التوفير التلقائي باستخدام عامل SSM. تحتوي بعض صور جهاز Amazon بالفعل على عامل SSM مثبت مسبقا. إذا لم يكن لدى مثيلات EC2 عامل SSM، فقم بتثبيته باستخدام أي من الإرشادات التالية من Amazon:

  • تثبيت عامل SSM لبيئة مختلطة ومتعددة السحابة (Windows)
  • تثبيت عامل SSM لبيئة مختلطة ومتعددة السحابة (Linux)

تأكد من أن عامل SSM الخاص بك لديه النهج المدار AmazonSSSMManagedInstanceCore، والذي يتيح الوظائف الأساسية لخدمة AWS Systems Manager.

إذا كنت ترغب في تثبيت Azure Arc يدويا على مثيلات EC2 الحالية والمستقبلية، يجب توصيل مثيلات EC2 توصية Azure Arc لتحديد المثيلات التي لم يتم تثبيت Azure Arc عليها.

تمكين هذه الملحقات الأخرى على الأجهزة المتصلة ب Azure Arc:

  • Microsoft Defender لنقطة النهاية
  • حل تقييم الثغرات الأمنية (إدارة المخاطر والثغرات الأمنية أو Qualys)
  • عامل Log Analytics على الأجهزة المتصلة ب Azure Arc أو عامل Azure Monitor

تأكد من تثبيت حل أمان لمساحة عمل Log Analytics المحددة. يتم تكوين عامل Log Analytics وعامل Azure Monitor حاليا على مستوى الاشتراك. ترث جميع حسابات AWS ومشاريع GCP ضمن نفس الاشتراك إعدادات الاشتراك لعامل Log Analytics وعامل Azure Monitor.

يقوم Defender for Servers بتعيين علامات لموارد AWS لإدارة عملية التوفير التلقائي. يجب أن يتم تعيين هذه العلامات بشكل صحيح إلى مواردك حتى يتمكن Defender for Cloud من إدارتها: AccountIdCloudInstanceIdMDFCSecurityConnector.

ديفندر CSPM

إذا اخترت خطة Microsoft Defender Cloud Security Posture Management، فستحتاج إلى:

  • اشتراك Azure. إذا لم يكن لديك اشتراك Azure، يمكنك التسجيل للحصول على اشتراك مجاني.
  • يجب تمكين Microsoft Defender for Cloud على اشتراك Azure الخاص بك.
  • قم بتوصيل الأجهزة غير التابعة ل Azure، حسابات AWS.
  • من أجل الوصول إلى جميع الميزات المتوفرة من خطة CSPM، يجب تمكين الخطة من قبل مالك الاشتراك.