Conexión de entornos de nube híbrida y multinube a Microsoft Defender for Cloud

  • 7 minutos

La conexión de entornos de nube híbrida y multinube a Microsoft Defender for Cloud es fundamental para mantener una posición de seguridad unificada en diversos entornos de TI. Con los servidores habilitados para Azure Arc para máquinas que no son de Azure, Native Cloud Connector y el conector clásico, puede ampliar las funcionalidades de Microsoft Defender for Cloud a recursos que no son de Azure. Esta integración le permite supervisar, detectar y responder a amenazas de seguridad de forma completa. Aquí se proporciona información general sobre el proceso, junto con requisitos detallados para una conexión correcta.

Conexión de las máquinas que no son de Azure a Microsoft Defender for Cloud

Microsoft Defender for Cloud puede supervisar la posición de seguridad de las máquinas que no son de Azure, pero primero debe conectarlas a Azure.

Puede conectar los equipos que no son de Azure de cualquiera de las maneras siguientes:

  • Incorporación con Azure Arc:
    • Mediante el uso de servidores habilitados para Azure Arc (recomendado)
    • Mediante el portal de Azure
  • Incorporación directamente mediante Microsoft Defender para Endpoint

Conexión de máquinas locales mediante Azure Arc

Una máquina que tiene servidores habilitados para Azure Arc se convierte en un recurso de Azure. Al instalar el agente de Log Analytics en él, aparece en Defender for Cloud con recomendaciones, como los demás recursos de Azure.

Los servidores habilitados para Azure Arc proporcionan funcionalidades mejoradas, como habilitar directivas de configuración de invitado en la máquina y simplificar la implementación con otros servicios de Azure. Para obtener información general sobre las ventajas de los servidores habilitados para Azure Arc, consulte Operaciones en la nube admitidas.

Para implementar Azure Arc en una máquina, siga las instrucciones de Inicio rápido: Conexión de máquinas híbridas con servidores habilitados para Azure Arc.

Para implementar Azure Arc en varias máquinas a escala, siga las instrucciones de Conexión de máquinas híbridas a Azure a escala.

Las herramientas de Defender for Cloud para implementar automáticamente el agente de Log Analytics funcionan con máquinas que ejecutan Azure Arc. Sin embargo, esta funcionalidad está actualmente en versión preliminar. Al conectar las máquinas mediante Azure Arc, use la recomendación pertinente de Defender for Cloud para implementar el agente y beneficiarse de la gama completa de protecciones que ofrece Defender for Cloud:

  • El agente de Log Analytics debe instalarse en las máquinas de Azure Arc basadas en Linux.
  • El agente de Log Analytics debe instalarse en las máquinas de Azure Arc basadas en Windows

Conexión de la cuenta de AWS a Microsoft Defender for Cloud

Las cargas de trabajo suelen abarcar varias plataformas en la nube. Los servicios de seguridad en la nube deben hacer lo mismo. Microsoft Defender for Cloud ayuda a proteger las cargas de trabajo en Amazon Web Services (AWS), pero debe configurar la conexión entre ellas y Defender for Cloud.

Si va a conectar una cuenta de AWS que anteriormente conectó mediante el conector clásico, primero debe quitarla. El uso de una cuenta de AWS conectada por los conectores clásicos y nativos puede generar recomendaciones duplicadas.

Prerrequisitos

Para completar los procedimientos de este artículo, necesita:

  • Una suscripción de Microsoft Azure. Si no tiene una suscripción de Azure, puede registrarse para obtener una gratuita.
  • Microsoft Defender for Cloud se configura en tu suscripción de Azure.
  • Acceso a una cuenta de AWS.
  • Permiso de colaborador para la suscripción de Azure pertinente y permiso de administrador en la cuenta de AWS.

Defender para contenedores

Si elige el plan de Microsoft Defender para contenedores, necesita lo siguiente:

  • Al menos un clúster de Amazon EKS con permiso para acceder al servidor de API de Kubernetes de EKS.
  • Capacidad de recursos para crear una nueva cola de Amazon Simple Queue Service (SQS), Kinesis Data Firehose delivery stream (Flujo de entrega de Kinesis Data Firehose) y bucket de Amazon S3 en la región del clúster.

Defender para SQL

Si elige el plan de Microsoft Defender para SQL, necesita lo siguiente:

  • Microsoft Defender para SQL habilitado en la suscripción. Obtenga información sobre cómo proteger las bases de datos.
  • Una cuenta de AWS activa, con instancias EC2 que ejecutan SQL Server o Relational Database Service (RDS) Personalizado para SQL Server.
  • Azure Arc para servidores instalados en las instancias EC2 o RDS Custom para SQL Server.

Se recomienda usar el proceso de aprovisionamiento automático para instalar Azure Arc en todas las instancias de EC2 existentes y futuras. Para habilitar el aprovisionamiento automático de Azure Arc, necesita el permiso propietario en la suscripción de Azure correspondiente.

AWS Systems Manager (SSM) administra el aprovisionamiento automático mediante el agente de SSM. Algunas Amazon Machine Images ya tienen el agente de SSM preinstalado. Si las instancias ec2 no tienen el agente de SSM, instálela mediante estas instrucciones de Amazon: Instalación del agente de SSM para un entorno híbrido y multinube (Windows).

Asegúrate de que el agente de SSM tenga la directiva administrada AmazonSSMManagedInstanceCore. Habilita la funcionalidad básica para el servicio AWS Systems Manager.

Habilite estas otras extensiones en las máquinas conectadas a Azure Arc:

  • Microsoft Defender para punto de conexión
  • Una solución de evaluación de vulnerabilidades (Administración de amenazas y vulnerabilidades o Qualys)
  • El agente de Log Analytics en máquinas conectadas a Azure Arc o el agente de Azure Monitor

Asegúrese de que el área de trabajo de Log Analytics seleccionada tiene instalada una solución de seguridad. El agente de Log Analytics y el agente de Azure Monitor están configurados actualmente en el nivel de suscripción. Todas las cuentas de AWS y los proyectos de Google Cloud Platform (GCP) en la misma suscripción heredan la configuración de suscripción para el agente de Log Analytics y el agente de Azure Monitor.

Defender para servidores

Si elige el plan de Microsoft Defender para servidores, necesita lo siguiente:

  • Microsoft Defender para Servidores habilitado en tu suscripción. Obtenga información sobre cómo habilitar planes en Habilitar características de seguridad mejoradas.
  • Una cuenta de AWS activa, con instancias ec2.
  • Azure Arc para servidores instalado en tus instancias EC2.

Se recomienda usar el proceso de aprovisionamiento automático para instalar Azure Arc en todas las instancias de EC2 existentes y futuras. Para habilitar el aprovisionamiento automático de Azure Arc, necesita el permiso propietario en la suscripción de Azure correspondiente.

AWS Systems Manager administra el aprovisionamiento automático mediante el agente de SSM. Algunas Amazon Machine Images ya tienen preinstalado el Agente de SSM. Si las instancias EC2 no tienen el agente de SSM, instálalo usando cualquiera de las instrucciones siguientes de Amazon.

  • Instalación del agente de SSM para un entorno híbrido y multinube (Windows)
  • Instalación del agente de SSM para un entorno híbrido y multinube (Linux)

Asegúrese de que el agente de SSM tenga la directiva administrada AmazonSSMManagedInstanceCore, que habilita la funcionalidad básica para el servicio AWS Systems Manager.

Si desea instalar manualmente Azure Arc en sus instancias EC2 existentes y futuras, use la recomendación de conectar instancias EC2 a Azure Arc para identificar aquellas instancias que no tienen Azure Arc instalado.

Habilite estas otras extensiones en las máquinas conectadas a Azure Arc:

  • Microsoft Defender para punto de conexión
  • Una solución de evaluación de vulnerabilidades (Administración de amenazas y vulnerabilidades o Qualys)
  • El agente de Log Analytics en máquinas conectadas a Azure Arc o el agente de Azure Monitor

Asegúrese de que el área de trabajo de Log Analytics seleccionada tiene instalada una solución de seguridad. El agente de Log Analytics y el agente de Azure Monitor están configurados actualmente en el nivel de suscripción. Todas las cuentas de AWS y los proyectos de GCP en la misma suscripción heredan la configuración de suscripción para el agente de Log Analytics y el agente de Azure Monitor.

Defender for Servers asigna etiquetas a los recursos de AWS para administrar el proceso de aprovisionamiento automático. Debe tener estas etiquetas asignadas correctamente a los recursos para que Defender for Cloud pueda administrarlas: AccountId, Cloud, InstanceIdy MDFCSecurityConnector.

Defender CSPM

Si elige el plan de administración de posturas de seguridad en la nube de Microsoft Defender, necesita:

  • Una suscripción de Azure. Si no tiene una suscripción de Azure, puede registrarse para obtener una suscripción gratuita.
  • Debe habilitar Microsoft Defender for Cloud en su suscripción de Azure.
  • Conecte las máquinas que no son de Azure y las cuentas de AWS.
  • Para obtener acceso a todas las características disponibles en el plan CSPM, el propietario de la suscripción debe habilitar el plan.