Partekatu honen bidez:

Determinación de los requisitos de planes y agentes

  • Artikulua

Este artículo es una de las series que proporciona instrucciones al diseñar una solución de administración de posturas de seguridad en la nube (CSPM) y protección de cargas de trabajo en la nube (CWP) en recursos multinube con Microsoft Defender for Cloud.

Objetivo

Identifique los planes a habilitar y los requisitos de cada plan.

Introducción

A la hora de proteger los recursos a través de la nube, debe identificar qué planes habilitar para la protección que desea, así como instalar los componentes del agente que precise cada plan.

Consideraciones sobre el agente

Hay consideraciones de datos sobre agentes y extensiones que usa Defender for Cloud.

  • CSPM: la funcionalidad de CSPM en Defender for Cloud no tiene agente. No se necesitan agentes para que CSPM funcione.
  • CWP: algunas funcionalidades de protección de cargas de trabajo para Defender for Cloud requieren el uso de agentes para recopilar datos.

Plan de Azure Defender para servidores

Los agentes se usan en el plan de Defender para servidores de la siguiente manera:

  • Las nubes públicas que no son de Azure se conectan a Azure mediante el uso del servicio Azure Arc.
  • El agente de Azure Connected Machine se instala en máquinas multinube que se incorporan como máquinas de Azure Arc. Defender for Cloud debe estar habilitado en la suscripción en la que se encuentran las máquinas de Azure Arc.
  • Defender for Cloud aprovecha el agente de Connected Machine para instalar extensiones (como Microsoft Defender para punto de conexión) necesarias para la funcionalidad de Defender para servidores.
  • El agente de Log Analytics o de Azure Monitor (AMA) es necesario para algunas funcionalidades del plan 2 de Defender para servidores.
    • Defender for Cloud puede aprovisionar automáticamente los agentes.
    • Al habilitar el aprovisionamiento automático, se especifica dónde almacenar los datos recopilados. Ya sea en el área de trabajo predeterminada de Log Analytics creada por Defender for Cloud o en cualquier otra área de trabajo de la suscripción. Más información.
    • Si selecciona exportar datos continuamente, puede profundizar en los tipos de eventos y alertas que se guardan y configurarlos. Más información.
  • Área de trabajo de Log Analytics:
    • Defina el área de trabajo de Log Analytics que se usa en el nivel de suscripción. Puede ser un área de trabajo predeterminada o una área de trabajo creada de forma personalizada.
    • Hay varias razones para seleccionar el área de trabajo predeterminada en lugar del área de trabajo personalizada.
    • La ubicación del área de trabajo predeterminada depende de la región de la máquina de Azure Arc. Más información.
    • La organización establece la ubicación del área de trabajo creada de forma personalizada. Obtenga más información sobre el uso de un área de trabajo personalizada.

Plan de Defender para contenedores

Defender para contenedores protege las implementaciones de contenedores multinube que se ejecutan en:

  • Azure Kubernetes Service (AKS): servicio administrado por Microsoft para desarrollar, implementar y administrar aplicaciones contenedorizadas.
  • Amazon Elastic Kubernetes Service (EKS) en una cuenta de AWS conectada: el servicio administrado de Amazon para ejecutar Kubernetes en AWS sin necesidad de instalar, operar y mantener sus propios nodos o plano de control de Kubernetes.
  • Google Kubernetes Engine (GKE) en un proyecto de GCP conectado: el entorno administrado de Google para implementar, administrar y escalar aplicaciones mediante la infraestructura de GCP.
  • Otras distribuciones de Kubernetes: mediante Kubernetes habilitado para Azure Arc, que permite adjuntar y configurar clústeres de Kubernetes que se ejecutan en cualquier lugar, incluidas otras nubes públicas y locales.

Defender para contenedores tiene componentes sin agente y basados en sensores.

  • Recopilación sin agente de datos del registro de auditoría de Kubernetes: Amazon CloudWatch o GCP Cloud Logging habilita y recopila datos de registro de auditoría y envía la información recopilada a Defender for Cloud para su posterior análisis. El almacenamiento de datos se basa en la región de AWS del clúster de EKS, de acuerdo con el RGPD: Europa y EE. UU.
  • Recopilación sin agente para el inventario de Kubernetes: recopilación de datos en los clústeres de Kubernetes y sus recursos, como: espacios de nombres, implementaciones, pods y entrada.
  • Kubernetes habilitado para sensores de Kubernetes habilitado para Azure Arc: Conecta los clústeres EKS y GKE a Azure mediante Agentes de Azure Arc, de modo que se traten como recursos de Azure Arc.
  • Sensor de Defender: DaemonSet que recopila señales de hosts mediante tecnología eBPF y proporciona protección en tiempo de ejecución. La extensión se registra con un área de trabajo de Log Analytics y se usa como canalización de datos. Los datos del registro de auditoría no se almacenan en el área de trabajo de Log Analytics.
  • Azure Policy para Kubernetes: información de la configuración se recopila mediante Azure Policy para Kubernetes.
    • Azure Policy para Kubernetes amplía el webhook del controlador de admisión de Gatekeeper v3 de código abierto para el agente de directivas abierto.
    • La extensión se registra como un webhook en el control de admisión de Kubernetes y permite aplicar la implementación a escala, lo que protege a los clústeres de una manera centralizada y coherente.

Plan de Defender para bases de datos

En el caso del plan de Defender para bases de datos en un escenario multinube, se utiliza Azure Arc para administrar las bases de datos de SQL Server multinube. La instancia de SQL Server se instala en una máquina virtual o física conectada a Azure Arc.

  • El agente de Azure Connected Machine está instalado en máquinas conectadas a Azure Arc.
  • El plan de Defender para bases de datos debe estar habilitado en la suscripción en la que se encuentran las máquinas de Azure Arc.
  • El agente de Log Analytics para servidores SQL de Microsoft Defender debe aprovisionarse en las máquinas de Azure Arc. Recopila las opciones de configuración relacionadas con la seguridad y los registros de eventos de las máquinas.
  • La detección y el registro automáticos de SQL Server deben establecerse en Activado para permitir la detección de bases de datos SQL en las máquinas.

En lo que respecta a los recursos reales de AWS y GCP protegidos por Defender for Cloud, su ubicación se establece directamente desde las nubes de AWS y GCP.

Pasos siguientes

En este artículo, ha aprendido a determinar los requisitos de residencia de datos al diseñar una solución de seguridad multinube. Continúe con el paso siguiente para determinar los requisitos de cumplimiento.