Conectar entornos de nube híbrida y multinube a Microsoft Defender for Cloud

  • 7 minutos

Conectar la nube híbrida y los entornos multinube a Microsoft Defender for Cloud es fundamental para mantener una posición de seguridad unificada en diversos entornos de TI. Con servidores habilitados de Azure Arc para máquinas que no son de Azure, Native Cloud Connector y Classic Connector, puede ampliar las capacidades de Microsoft Defender para la nube a recursos que no son de Azure. Esta integración le permite supervisar, detectar y responder a amenazas de seguridad de forma completa. Aquí se proporciona información general sobre el proceso, junto con requisitos detallados para una conexión correcta.

Conexión de máquinas que no son de Azure a Microsoft Defender for Cloud

Microsoft Defender for Cloud puede supervisar la posición de seguridad de las máquinas que no son de Azure, pero, para ello, debe conectarlas primero a Azure.

Puede conectar equipos que no son de Azure de alguna de las maneras siguientes:

  • Incorporación con Azure Arc:
    • Mediante servidores habilitados para Azure Arc (recomendado)
    • Mediante Azure Portal.
  • Incorporación directa con Defender para punto de conexión

Conexión de máquinas locales mediante Azure Arc

Una máquina que tiene servidores habilitados para Azure Arc se convierte en un recurso de Azure. Cuando instala el agente de Log Analytics, aparece en Defender for Cloud con recomendaciones, como con los demás recursos de Azure.

Los servidores habilitados para Azure Arc proporcionan funcionalidades mejoradas, como la habilitación de directivas de configuración de invitados en la máquina y la simplificación de la implementación con otros servicios de Azure. Para obtener información general sobre las ventajas de los servidores habilitados para Azure Arc, consulte Operaciones en la nube admitidas.

Para implementar Azure Arc en una máquina, siga las instrucciones de Inicio rápido: Conexión de máquinas híbridas con servidores habilitados para Azure Arc.

Para implementar Azure Arc en varias máquinas a escala, siga las instrucciones de Conexión de máquinas híbridas a Azure a escala.

Las herramientas de Defender for Cloud para la implementación automática del agente de Log Analytics funcionan con máquinas que ejecutan Azure Arc. Sin embargo, esta capacidad se encuentra en versión preliminar. Cuando haya conectado las máquinas mediante Azure Arc, use la recomendación pertinente de Defender for Cloud para implementar el agente y aprovechar las ventajas del conjunto de protecciones que ofrece Defender for Cloud:

  • El agente de Log Analytics se debe instalar en las máquinas de Azure Arc basadas en Linux
  • El agente de Log Analytics se debe instalar en las máquinas de Azure Arc basadas en Windows

Conexión de una cuenta de AWS a Microsoft Defender for Cloud

Las cargas de trabajo suelen abarcar varias plataformas en la nube. Los servicios de seguridad en la nube deben hacer lo mismo. Microsoft Defender for Cloud ayuda a proteger las cargas de trabajo en Amazon Web Services (AWS), pero debe configurar la conexión entre ellas y Defender for Cloud.

Si está conectando una cuenta de AWS que conectó anteriormente mediante el conector clásico, debe eliminarla primero. Utilizar una cuenta de AWS que esté conectada tanto por el conector clásico como por el nativo puede producir recomendaciones duplicadas.

Requisitos previos

Para completar los procedimientos de este artículo, necesita:

  • Una suscripción de Microsoft Azure. Si no tienes una suscripción de Azure, puedes registrarte para obtener una gratuita.
  • Microsoft Defender for Cloud instalado en su suscripción Azure.
  • Acceso a una cuenta de AWS.
  • Permiso de colaborador para la suscripción a Azure correspondiente, y Permiso de administrador en la cuenta de AWS.

Defender para contenedores

Si elige el plan Microsoft Defender para contenedores, necesita:

  • Al menos un clúster de Amazon EKS con permiso para acceder al servidor API de EKS Kubernetes.
  • La capacidad de recursos para crear una nueva cola de Amazon Simple Queue Service (SQS), una transmisión de entrega de Kinesis Data Firehose y un cubo de Amazon S3 en la región del clúster.

Defender para SQL

Si elige el plan Microsoft Defender para SQL, necesitará:

  • Microsoft Defender para SQL habilitado en la suscripción. Aprenda a proteger su base de datos.
  • Una cuenta de AWS activa, con instancias de EC2 que ejecuten SQL Server o Relational Database Service (RDS) Personalizado para SQL Server.
  • Azure Arc para servidores instalados en sus instancias EC2 o RDS Custom para SQL Server.

Se recomienda usar el proceso de aprovisionamiento automático para instalar Azure Arc en todas las instancias de EC2 existentes y futuras. Para habilitar el aprovisionamiento automático de Azure Arc, necesita el permiso Propietario en la suscripción de Azure correspondiente.

AWS Systems Manager (SSM) administra el aprovisionamiento automático mediante el agente de SSM. Algunas imágenes de máquina de Amazon ya tienen el agente SSM preinstalado. Si sus instancias EC2 no tienen el Agente SSM, instálelo siguiendo estas instrucciones de Amazon: Instalar Agente SSM para un entorno híbrido y multicloud (Windows).

Asegúrese de que su Agente SSM tiene la directiva administrada AmazonSSMManagedInstanceCore. Habilita la funcionalidad principal para el servicio AWS Systems Manager.

Habilite estas otras extensiones en los equipos conectados a Azure Arc:

  • Microsoft Defender para punto de conexión
  • Una solución de evaluación de vulnerabilidades (Administración de amenazas y vulnerabilidades o Qualys)
  • El agente de Log Analytics en máquinas conectadas a Azure Arc o el agente de Azure Monitor.

Asegúrese de que el área de trabajo de Log Analytics seleccionada tiene instalada una solución de seguridad. El agente de Log Analytics y el agente de Azure Monitor están configurados actualmente en el nivel subscription. Todas sus cuentas de AWS y proyectos de Google Cloud Platform (GCP) bajo la misma suscripción heredan la configuración de suscripción para el agente de Log Analytics y el agente de Azure Monitor.

Defender para servidores

Si elige el plan Microsoft Defender para servidores necesitará:

  • Microsoft Defender para servidores está habilitado en la suscripción. Obtenga información sobre cómo habilitar planes en Habilitación de las características de seguridad mejoradas.
  • Una cuenta de AWS activa, con instancias de EC2.
  • Azure Arc para servidores instalado en las instancias de EC2.

Se recomienda usar el proceso de aprovisionamiento automático para instalar Azure Arc en todas las instancias de EC2 existentes y futuras. Para habilitar el aprovisionamiento automático de Azure Arc, necesita el permiso Propietario en la suscripción de Azure correspondiente.

AWS Systems Manager administra el aprovisionamiento automático mediante el agente de SSM. Algunas imágenes de máquina de Amazon ya tienen el agente SSM preinstalado. Si sus instancias EC2 no tienen el Agente SSM, instálelo utilizando cualquiera de las siguientes instrucciones de Amazon:

  • Instalación del Agente SSM para un entorno híbrido y multinube (Windows)
  • Instalación del Agente SSM para un entorno híbrido y multinube (Linux)

Asegúrese de que su Agente SSM tiene la directiva administrada AmazonSSMManagedInstanceCore, que habilita la funcionalidad principal para el servicio AWS Systems Manager.

Si quiere instalar manualmente Azure Arc en las instancias de EC2 existentes y futuras, use la recomendación de Las instancias de EC2 deben estar conectadas a Azure Arc para identificar las instancias que no tienen instalado Azure Arc.

Habilite estas otras extensiones en los equipos conectados a Azure Arc:

  • Microsoft Defender para punto de conexión
  • Una solución de evaluación de vulnerabilidades (Administración de amenazas y vulnerabilidades o Qualys)
  • El agente de Log Analytics en máquinas conectadas a Azure Arc o el agente de Azure Monitor.

Asegúrese de que el área de trabajo de Log Analytics seleccionada tiene instalada una solución de seguridad. El agente de Log Analytics y el agente de Azure Monitor están configurados actualmente en el nivel subscription. Todas sus cuentas de AWS y proyectos de GCP bajo la misma suscripción heredan la configuración de suscripción para el agente de Log Analytics y el agente de Azure Monitor.

Defender para servidores asigna etiquetas a los recursos de AWS para administrar el proceso de aprovisionamiento automático. Debe tener estas etiquetas correctamente asignadas a sus recursos para que Defender for Cloud pueda administrarlos: AccountId, Cloud, InstanceId y MDFCSecurityConnector.

Administración de la posición de seguridad en la nube de Defender

Si elige el plan Administración de la posición de seguridad en la nube de Microsoft Defender, necesitará:

  • Suscripción a Azure. Si no tiene una suscripción de Azure, puede registrarse para una evaluación gratuita.
  • Debe haber habilitado Defender for Cloud en la suscripción de Azure.
  • Conecte sus máquinas que no son de Azure, sus cuentas de AWS.
  • Para obtener acceso a todas las características disponibles en el plan de CSPM, el propietario de la suscripción debe habilitar el plan.