Configurare l'ambiente di sicurezza Defender per il cloud nella sottoscrizione Operator Nexus

Questa guida fornisce istruzioni su come abilitare Microsoft Defender per il cloud e attivare e configurare alcune delle opzioni del piano di sicurezza avanzato che possono essere usate per proteggere i server di calcolo bare metal Operator Nexus e i carichi di lavoro.

Operazioni preliminari

Per facilitare la comprensione di Defender per il cloud e delle numerose funzionalità di sicurezza, è disponibile un'ampia gamma di materiali nel sito della documentazione Microsoft Defender per il cloud che potrebbe risultare utile.

Prerequisiti

Per completare correttamente le azioni in questa guida:

• È necessario avere una sottoscrizione di Azure Operator Nexus.
• È necessario disporre di un'istanza Nexus connessa ad Azure Arc distribuita in esecuzione nell'ambiente locale.
• È necessario usare un account utente portale di Azure nella sottoscrizione con il ruolo Proprietario, Collaboratore o Lettore.

Abilitare Defender per il cloud

L'abilitazione di Microsoft Defender per il cloud nella sottoscrizione Operator Nexus è semplice e offre immediatamente l'accesso alle funzionalità di sicurezza gratuite incluse. Per attivare Defender per il cloud:

1. Accedi al portale di Azure.
2. Nella casella di ricerca in alto immettere "Defender per il cloud".
3. Selezionare Microsoft Defender per il cloud in Servizi.

Quando si apre la pagina di panoramica Defender per il cloud, è stata attivata correttamente Defender per il cloud nella sottoscrizione. La pagina di panoramica è un'esperienza utente dashboard interattiva che offre una visualizzazione completa del comportamento di sicurezza Operator Nexus. Vengono visualizzati avvisi di sicurezza, informazioni di copertura e molto altro ancora. Usando questo dashboard, è possibile valutare la sicurezza dei carichi di lavoro e identificare e attenuare i rischi.

Dopo aver attivato Defender per il cloud, è possibile abilitare le funzionalità di sicurezza avanzate di Defender per il cloud che forniscono importanti protezioni per server e carichi di lavoro:

• Defender per server
• Defender per endpoint : reso disponibile tramite Defender per server
• Defender per contenitori

Configurare un piano defender per server per proteggere i server bare metal

Per sfruttare la protezione di sicurezza aggiuntiva dei server di calcolo BMM (Bare Metal Machine) locali forniti da Microsoft Defender per endpoint, è possibile abilitare e configurare un piano Defender for Servers nella sottoscrizione Operator Nexus.

Prerequisiti

• Defender per il cloud deve essere abilitato nella sottoscrizione.

Per configurare un piano defender per server:

1. Attivare la funzionalità piano defender per server in Defender per il cloud.
2. Selezionare uno dei piani defender per server.
3. Nella pagina Piani di Defender fare clic sul collegamento Impostazioni per Server nella colonna "Monitoraggio copertura". Verrà aperta la pagina Impostazioni e monitoraggio.
   • Assicurarsi che l'agente di Log Analytics o l'agente di Monitoraggio di Azure sia impostato su Disattivato.
   • Assicurarsi che Endpoint Protection sia impostato su Disattivato.
   • Fare clic su Continua per salvare le impostazioni modificate.

Requisito specifico dell'operatore Nexus per l'abilitazione di Defender per endpoint

Importante

In Operator Nexus Microsoft Defender per endpoint è abilitato per ogni cluster anziché in tutti i cluster contemporaneamente, ovvero il comportamento predefinito quando l'impostazione endpoint protection è abilitata in Defender per server. Per richiedere l'attivazione di Endpoint Protection in uno o più cluster di carico di lavoro locali, è necessario aprire un ticket di supporto tecnico Microsoft e il team di supporto eseguirà successivamente le azioni di abilitazione. È necessario avere un piano Defender per server attivo nella sottoscrizione prima di aprire un ticket.

Quando Defender per endpoint è abilitato da supporto tecnico Microsoft, la configurazione viene gestita dalla piattaforma per garantire sicurezza e prestazioni ottimali e ridurre il rischio di errori di configurazione.

Configurare il piano defender per contenitori per proteggere i carichi di lavoro del cluster servizio Azure Kubernetes

È possibile proteggere i cluster Kubernetes locali che eseguono i carichi di lavoro degli operatori abilitando e configurando il piano Defender per contenitori nella sottoscrizione.

Prerequisiti

• Defender per il cloud deve essere abilitato nella sottoscrizione.

Per configurare il piano Defender per contenitori:

1. Attivare la funzionalità piano defender per contenitori in Defender per il cloud.
2. Nella pagina Piani di Defender fare clic sul collegamento Impostazioni per Contenitori nella colonna "Monitoraggio copertura". Verrà aperta la pagina Impostazioni e monitoraggio.
   • Assicurarsi che DefenderDaemonSet sia impostato su Disattivato.
   • Assicurarsi che Criteri di Azure per Kubernetes sia impostato su Disattivato.
   • Fare clic su Continua per salvare le impostazioni modificate.