Többfelhős függőségek meghatározása
Ez a cikk az egyik olyan sorozat, amely útmutatást nyújt a felhőbeli biztonsági helyzetkezelés (CSPM) és a felhőbeli számítási feladatok védelmének (CWP) megoldásának tervezése során többfelhős erőforrásokon Felhőhöz készült Microsoft Defender.
Cél
Megtudhatja, hogy milyen függőségek befolyásolhatják a többfelhős kialakítást.
Első lépések
A többfelhős megoldás tervezése során fontos, hogy világos képet adjon azokról az összetevőkről, amelyek a Felhőhöz készült Defender minden többfelhős funkciójának használatához szükségesek.
CSPM
Felhőhöz készült Defender felhőbeli biztonsági helyzetkezelési (CSPM) funkciókat biztosít az AWS- és GCP-számítási feladatokhoz.
- Az AWS és a GCP előkészítése után Felhőhöz készült Defender elkezdi felmérni a többfelhős számítási feladatokat az iparági szabványoknak megfelelően, és jelentéseket készít a biztonsági helyzetéről.
- A CSPM-funkciók ügynök nélküliek, és nem támaszkodnak más összetevőkre, kivéve az AWS/GCP-összekötők sikeres előkészítését.
- Fontos megjegyezni, hogy a Security Posture Management csomag alapértelmezés szerint be van kapcsolva, és nem kapcsolható ki.
- Ismerje meg a CSPM AWS-erőforrásainak felderítéséhez szükséges IAM-engedélyeket .
CWPP
Feljegyzés
Mivel a Log Analytics-ügynök 2024 augusztusában megszűnik, és a Felhőhöz készült Defender frissített stratégia részeként a Defender for Servers összes funkciója és képessége Végponthoz készült Microsoft Defender integrációs vagy ügynök nélküli vizsgálat, a Log Analytics-ügynök (MMA) vagy az Azure Monitor-ügynök (AMA) függősége nélkül. A módosítással kapcsolatos további információkért tekintse meg ezt a bejelentést.
A Felhőhöz készült Defender lehetővé teszi, hogy bizonyos csomagok megkapják a Cloud Workload Platform Protection (CWPP) funkcióit. A többfelhős erőforrások védelmére vonatkozó tervek a következők:
- Defender kiszolgálókhoz: AWS/GCP Windows- és Linux-gépek védelme.
- Defender for Containers: A Kubernetes-fürtök biztonságossá tételének elősegítése biztonsági javaslatokkal és megerősítéssel, sebezhetőségi felmérésekkel és futtatókörnyezet-védelemmel.
- Defender az SQL-hez: Az AWS-ben és a GCP-ben futó SQL-adatbázisok védelme.
Milyen bővítményre van szükségem?
Az alábbi táblázat a CWPP bővítménykövetelményeit foglalja össze.
| Mellék | Defender kiszolgálókhoz | Defender tárolókhoz | Defender for SQL on Machines |
|---|---|---|---|
| Azure Arc-ügynök | ✔ | ✔ | ✔ |
| Végponthoz készült Microsoft Defender bővítmény | ✔ | ||
| Sebezhetőségi felmérés | ✔ | ||
| Ügynök nélküli lemezvizsgálat | ✔ | ✔ | |
| Log Analytics vagy Azure Monitor Agent (előzetes verzió) bővítmény | ✔ | ✔ | |
| Defender-érzékelő | ✔ | ||
| Azure Policy a Kuberneteshez | ✔ | ||
| A Kubernetes naplóadatai | ✔ | ||
| Gépeken futó SQL-kiszolgálók | ✔ | ||
| Az SQL Server automatikus felderítése és regisztrálása | ✔ |
Defender kiszolgálókhoz
A Defender for Servers engedélyezése az AWS- vagy GCP-összekötőn lehetővé teszi, hogy Felhőhöz készült Defender kiszolgálóvédelmet biztosítson a Google Compute Engine virtuális gépek és az AWS EC2-példányok számára.
Csomagok áttekintése
A Defender for Servers két különböző csomagot kínál:
1. terv:
- MDE-integráció: Az 1. terv integrálva van Végponthoz készült Microsoft Defender 2. csomaggal, hogy teljes végponti észlelés és reagálás (EDR) megoldást biztosítson az operációs rendszereket futtató gépek számára. A Defender for Endpoint funkciói a következők:
- A gépek támadási felületének csökkentése.
- Vírusvédelmi képességek biztosítása.
- Fenyegetéskezelés, beleértve a fenyegetéskeresést, az észlelést, az elemzést és az automatizált vizsgálatot és választ.
- Kiépítés: A Defender for Endpoint érzékelő automatikus kiépítése minden olyan támogatott gépen, amely Felhőhöz készült Defender csatlakozik.
- Licencelés: A végpontlicencekért óránkénti díjat számít fel a Defender, és nem ülésenként, így csökkentheti a költségeket úgy, hogy csak akkor védi a virtuális gépeket, ha használatban vannak.
- MDE-integráció: Az 1. terv integrálva van Végponthoz készült Microsoft Defender 2. csomaggal, hogy teljes végponti észlelés és reagálás (EDR) megoldást biztosítson az operációs rendszereket futtató gépek számára. A Defender for Endpoint funkciói a következők:
2. terv: Tartalmazza az 1. terv összes összetevőjét, valamint további képességeket, például a fájlintegritási monitorozást (FIM), az igény szerinti (JIT) virtuálisgép-hozzáférést stb.
Tekintse át az egyes csomagok funkcióit a Defender for Serversbe való előkészítés előtt.
Összetevők áttekintése – Defender for Servers
A Defender for Servers csomag teljes körű védelméhez a következő összetevőkre és követelményekre van szükség:
- Azure Arc-ügynök: Az AWS- és GCP-gépek az Azure Arc használatával csatlakoznak az Azure-hoz. Az Azure Arc-ügynök összekapcsolja őket.
- Az Azure Arc-ügynökre azért van szükség, hogy a gazdagép szintjén beolvassa a biztonsági információkat, és lehetővé tegye Felhőhöz készült Defender a teljes védelemhez szükséges ügynökök/bővítmények üzembe helyezését. Az Azure Arc-ügynök automatikus létrehozásához konfigurálni kell az operációsrendszer-konfigurációs ügynököt a GCP virtuálisgép-példányokon, valamint az AWS EC2-példányok AWS Systems Manager (SSM) ügynökét. További információ az ügynökről.
- Defender for Endpoint képességek: A Végponthoz készült Microsoft Defender ügynök átfogó végponti észlelés és reagálás (EDR) képességeket biztosít.
- Sebezhetőségi felmérés: Az integrált Qualys biztonságirés-ellenőrző vagy a Microsoft Defender biztonságirés-kezelés megoldás használata.
- Log Analytics-ügynök/Azure Monitor-ügynök (AMA) (előzetes verzióban):: Biztonsági konfigurációs információkat és eseménynaplókat gyűjt a gépekről.
Hálózati követelmények ellenőrzése
Az ügynökök előkészítése előtt a gépeknek meg kell felelniük a hálózati követelményeknek . Az automatikus kiépítés alapértelmezés szerint engedélyezve van.
Defender tárolókhoz
A Defender for Containers engedélyezése GKE- és EKS-fürtöket és mögöttes gazdagépeket biztosít ezekkel a biztonsági képességekkel.
Összetevők áttekintése – Defender for Containers
A szükséges összetevők a következők:
- Azure Arc-ügynök: Csatlakoztatja a GKE- és EKS-fürtöket az Azure-hoz, és előkészíti a Defender-érzékelőt.
- Defender-érzékelő: Gazdagépszintű futtatókörnyezeti veszélyforrások elleni védelmet biztosít.
- Azure Policy for Kubernetes: Kibővíti a Gatekeeper v3-at a Kubernetes API-kiszolgálóhoz érkező összes kérés figyeléséhez, és biztosítja, hogy a fürtök és számítási feladatok biztonsági ajánlott eljárásait betartsa.
- Kubernetes-naplók: Az API-kiszolgáló naplói lehetővé teszik a Defender for Containers számára a gyanús tevékenységek azonosítását a többfelhős kiszolgálókon, és mélyebb elemzéseket nyújtanak a riasztások vizsgálata során. A "Kubernetes-naplók" küldését engedélyezni kell az összekötő szintjén.
Hálózatkezelési követelmények ellenőrzése – Defender for Containers
Győződjön meg arról, hogy a fürtök megfelelnek a hálózati követelményeknek, hogy a Defender-érzékelő csatlakozni tud Felhőhöz készült Defender.
Defender az SQL-hez
Az SQL Defender fenyegetésészlelést biztosít a GCP számítási motorhoz és az AWS-hez. A Defender for SQL Server on Machines csomagot engedélyezni kell azon az előfizetésen, ahol az összekötő található.
Összetevők áttekintése – Defender az SQL-hez
A Defender for SQL teljes körű előnyeinek a többfelhős számítási feladaton való eléréséhez az alábbi összetevőkre van szüksége:
- Azure Arc-ügynök: Az AWS- és GCP-gépek az Azure Arc használatával csatlakoznak az Azure-hoz. Az Azure Arc-ügynök összekapcsolja őket.
- Az Azure Arc-ügynökre azért van szükség, hogy a gazdagép szintjén beolvassa a biztonsági információkat, és lehetővé tegye Felhőhöz készült Defender a teljes védelemhez szükséges ügynökök/bővítmények üzembe helyezését.
- Az Azure Arc-ügynök automatikus létrehozásához konfigurálni kell az operációsrendszer-konfigurációs ügynököt a GCP virtuálisgép-példányokon, valamint az AWS EC2-példányok AWS Systems Manager (SSM) ügynökét. További információ az ügynökről.
- Log Analytics-ügynök/Azure Monitor-ügynök (AMA) (előzetes verzióban): Biztonsági konfigurációs információkat és eseménynaplókat gyűjt a gépekről
- Automatikus SQL Server-felderítés és -regisztráció: Támogatja az SQL-kiszolgálók automatikus felderítését és regisztrálását
Következő lépések
Ebben a cikkben megtanulta, hogyan határozhatja meg a többfelhős függőségeket egy többfelhős biztonsági megoldás tervezésekor. Folytassa a következő lépéssel az összekötő üzembe helyezésének automatizálásához.