Megosztás a következőn keresztül:

Terv- és ügynökkövetelmények meghatározása

  • Cikk

Ez a cikk az egyik olyan sorozat, amely útmutatást nyújt a felhőbeli biztonsági helyzetkezelés (CSPM) és a felhőbeli számítási feladatok védelmének (CWP) megoldásának tervezése során többfelhős erőforrásokon Felhőhöz készült Microsoft Defender.

Cél

Azonosítsa az engedélyezni kívánt terveket és az egyes tervekre vonatkozó követelményeket.

Első lépések

Az eszközök felhőben történő védelmekor meg kell határoznia, hogy milyen tervek legyenek engedélyezve a kívánt védelemhez, valamint az ügynökösszetevők telepítését, ha és ha szükséges, az egyes csomagokban.

Ügynökkel kapcsolatos szempontok

A Felhőhöz készült Defender által használt ügynökökkel és bővítményekkel kapcsolatos adatvédelmi megfontolásokat is figyelembe kell venni.

  • CSPM: Az Felhőhöz készült Defender CSPM-funkciója ügynök nélküli. A CSPM működéséhez nincs szükség ügynökökre.
  • CWP: A Felhőhöz készült Defender egyes számítási feladatvédelmi funkcióihoz ügynökökre van szükség az adatok gyűjtéséhez.

Defender kiszolgálókhoz csomag

Az ügynökök a Defender for Servers csomagban az alábbiak szerint használhatók:

  • A nem Azure-beli nyilvános felhők az Azure Arc szolgáltatás használatával csatlakoznak az Azure-hoz.
  • Az Azure Csatlakozás ed Machine-ügynök az Azure Arc-gépekként előkészített többfelhős gépekre van telepítve. Felhőhöz készült Defender engedélyezni kell abban az előfizetésben, amelyben az Azure Arc-gépek találhatók.
  • Felhőhöz készült Defender a Csatlakozás gépügynököt használja a Defender for Servers működéséhez szükséges bővítmények (például Végponthoz készült Microsoft Defender) telepítéséhez.
  • A 2. szolgáltatáscsomag egyes funkcióihoz log analytics-ügynökre/Azure Monitor-ügynökre (AMA) van szükség.
    • Az ügynököket automatikusan kiépítheti Felhőhöz készült Defender.
    • Az automatikus kiépítés engedélyezésekor meg kell adnia, hogy hol tárolja az összegyűjtött adatokat. Az Felhőhöz készült Defender által létrehozott alapértelmezett Log Analytics-munkaterületen vagy az előfizetés bármely más munkaterületén. További információ.
    • Ha úgy választ, hogy folyamatosan exportálja az adatokat, részletezheti és konfigurálhatja a mentett események és riasztások típusait. További információ.
  • Log Analytics-munkaterület:
    • Ön határozza meg az előfizetés szintjén használt Log Analytics-munkaterületet. Ez lehet alapértelmezett munkaterület vagy egyénileg létrehozott munkaterület.
    • Az egyéni munkaterület helyett több oka is van az alapértelmezett munkaterület kiválasztásának.
    • Az alapértelmezett munkaterület helye az Azure Arc-gép régiójától függ. További információ.
    • Az egyénileg létrehozott munkaterület helyét a szervezet állítja be. További információ az egyéni munkaterületek használatáról.

Defender for Containers csomag

A Defender for Containers a következő helyen futó többfelhős tárolótelepítéseket védi:

  • Azure Kubernetes Service (AKS) – A Microsoft felügyelt szolgáltatása tárolóalapú alkalmazások fejlesztésére, üzembe helyezésére és kezelésére.
  • Amazon Elastic Kubernetes Service (EKS) egy csatlakoztatott AWS-fiókban – Az Amazon felügyelt szolgáltatása a Kubernetes AWS-en való futtatásához anélkül, hogy saját Kubernetes-vezérlősíkot vagy csomópontokat kellene telepítenie, üzemeltetnie és karbantartania.
  • Google Kubernetes Engine (GKE) egy csatlakoztatott GCP-projektben – a Google felügyelt környezete alkalmazások GCP-infrastruktúrával történő üzembe helyezéséhez, kezeléséhez és méretezéséhez.
  • Egyéb Kubernetes-disztribúciók – az Azure Arc-kompatibilis Kubernetes használatával, amely lehetővé teszi a bárhol futó Kubernetes-fürtök csatolását és konfigurálását, beleértve más nyilvános felhőket és helyszínieket is.

A Defender for Containers érzékelőalapú és ügynök nélküli összetevőkkel is rendelkezik.

  • A Kubernetes naplózási naplóadatainak ügynök nélküli gyűjtése: Az Amazon CloudWatch vagy a GCP Cloud Logging lehetővé teszi és összegyűjti a naplóadatokat, és elküldi az összegyűjtött adatokat Felhőhöz készült Defender további elemzés céljából. Az adattárolás az EKS-fürt AWS-régióján alapul, összhangban az EU és az USA GDPR-jával.
  • Ügynök nélküli gyűjtemény a Kubernetes-leltárhoz: Gyűjtsön adatokat a Kubernetes-fürtökről és azok erőforrásairól, például: Névterek, Üzembe helyezések, Podok és Bejövő forgalom.
  • Érzékelőalapú Azure Arc-kompatibilis Kubernetes: az EKS- és GKE-fürtöket Azure Arc-ügynökökkel Csatlakozás az Azure-ba, hogy azok Azure Arc-erőforrásként legyenek kezelve.
  • Defender-érzékelő: Egy DaemonSet, amely eBPF technológiával gyűjti a gazdagépektől érkező jeleket, és futásidejű védelmet nyújt. A bővítmény regisztrálva van egy Log Analytics-munkaterületen, és adatfolyamként használatos. A naplóadatok nem a Log Analytics-munkaterületen tárolódnak.
  • Azure Policy for Kubernetes: A konfigurációs információkat az Azure Policy for Kubernetes gyűjti.
    • Az Azure Policy for Kubernetes kibővíti a nyílt forráskódú Gatekeeper v3 belépési vezérlő webhookját az Open Policy Agenthez.
    • A bővítmény webes horogként regisztrálja a Kubernetes-hozzáférés-vezérlést, és lehetővé teszi a helyszíni kényszerítés alkalmazását, biztosítva a fürtök központi, konzisztens védelmét.

Defender for Databases csomag

A Defender for Databases többfelhős forgatókönyv esetén az Azure Arc használatával kezelheti a többfelhős SQL Server-adatbázisokat. Az SQL Server-példány az Azure Archoz csatlakoztatott virtuális vagy fizikai gépen van telepítve.

  • Az Azure Csatlakozás ed Machine Agent az Azure Archoz csatlakoztatott gépekre van telepítve.
  • A Defender for Databases csomagot engedélyezni kell abban az előfizetésben, amelyben az Azure Arc-gépek találhatók.
  • A Microsoft Defender SQL Servers Log Analytics-ügynökét az Azure Arc-gépeken kell kiépíteni. Biztonsági konfigurációs beállításokat és eseménynaplókat gyűjt a gépekről.
  • Az SQL Server automatikus felderítését és regisztrálását Be értékre kell állítani, hogy engedélyezve legyen az SQL-adatbázis felderítése a gépeken.

Ha a Felhőhöz készült Defender által védett tényleges AWS- és GCP-erőforrásokról van szó, a helyük közvetlenül az AWS- és GCP-felhőkből van beállítva.

Következő lépések

Ebben a cikkben megtanulhatta, hogyan határozhatja meg az adattárolási követelményeket egy többfelhős biztonsági megoldás tervezésekor. Folytassa a következő lépéssel a megfelelőségi követelmények meghatározásához.