Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este guia fornece instruções sobre como habilitar o Microsoft Defender para Nuvem e ativar e configurar algumas de suas opções do plano de segurança aprimorada que podem ser usadas para proteger servidores e cargas de trabalho de computação bare-metal do Nexus do Operador.
Antes de começar
Para ajudar a entender o Defender para Nuvem e seus muitos recursos de segurança, há uma ampla variedade de materiais disponíveis no site da documentação do Microsoft Defender para Nuvem que pode ser útil para você.
Pré-requisitos
Para concluir com êxito as ações neste guia:
- Você deve ter uma assinatura do Nexus do Operador do Azure.
- Você deve ter uma instância do Nexus do Operador conectada ao Azure Arc implantada em execução no ambiente local.
- Você deve usar uma conta de usuário do portal do Azure em sua assinatura com a função Proprietário, Colaborador ou Leitor.
Habilitar o Defender para Nuvem
Habilitar o Microsoft Defender para Nuvem em sua assinatura do Nexus do Operador é simples e imediatamente fornece acesso aos recursos de segurança incluídos gratuitamente. Para ativar o Defender para Nuvem:
- Entre no portal do Azure.
- Na caixa de pesquisa na parte superior, insira “Defender para Nuvem”.
- Selecione Microsoft Defender para Nuvem em Serviços.
Quando a página de visão geral do Defender para Nuvem aparece, você ativou com êxito o Defender para Nuvem em sua assinatura. A página de visão geral é uma experiência interativa do usuário do painel que fornece uma visão abrangente da postura de segurança do Nexus do Operador. Exibe alertas de segurança, informações de cobertura e muito mais. Usando esse painel, você pode avaliar a segurança de suas cargas de trabalho e identificar e reduzir os riscos.
Depois de ativar o Defender para Nuvem, você tem a opção de habilitar os recursos de segurança aprimorada do Defender para Nuvem que fornecem proteções importantes para o servidor e a carga de trabalho:
- Defender para servidores
- Defender para Ponto de Extremidade – disponível por meio do Defender para servidores
- Defender para contêineres
Configurar um plano do Defender para servidores para proteger os servidores bare-metal
Para usufruir da proteção de segurança adicional dos servidores de computação BMM (computador bare-metal) locais fornecidos pelo Microsoft Defender para Ponto de Extremidade, você pode habilitar e configurar um plano do Defender para servidores em sua assinatura do Nexus do Operador.
Pré-requisitos
- O Defender para Nuvem deve ser habilitado em sua assinatura.
Para configurar um plano do Defender para servidores:
- Ative o recurso do plano do Defender para servidores em Defender para Nuvem.
- Selecione um dos planos do Defender para servidores.
- Enquanto estiver na página de planos do Defender, clique no link Configurações de Servidores na coluna “Monitoramento de cobertura”. A página Configurações e monitoramento será aberta.
- Verifique se Agente do Log Analytics/agente do Azure Monitor está definido como Desativado.
- Verifique se Proteção do ponto de extremidade está definido como Desativado.
- Clique em Continuar para salvar as configurações alteradas.
Conceder permissões de integração do MDE
Para habilitar o agente do Microsoft Defender para Ponto de Extremidade (MDE) em computadores bare-metal em seu Cluster Nexus, você deve conceder a identidade nc-platform-extension da permissão do cluster para integrar o agente MDE em seu nome.
A identidade nc-platform-extension não existe antes da implantação do cluster do Operador Nexus. O exemplo a seguir deve ser executado após a implantação do Cluster.
A permissão necessária é Microsoft.Security/mdeOnboardings/read. Atribua essa permissão à identidade nc-platform-extension usando a função interna Security Reader ou uma função personalizada com a mesma permissão.
Importante
O usuário ou a identidade que cria a atribuição de função deve ter a permissão Microsoft.Authorization/roleAssignments/write no nível da assinatura.
Veja abaixo um exemplo de script bash usando a CLI do Azure para conceder a permissão de identidade nc-platform-extension para integrar o agente MDE em seu nome.
#!/usr/bin/env bash
# Usage: ./script.sh /subscriptions/<subID>/resourceGroups/<rgName>/providers/Microsoft.NetworkCloud/clusters/<clusterName>
CLUSTER_ID="$1"
if [ -z "$CLUSTER_ID" ]; then
echo "Usage: $0 <Full Azure Network Cloud Cluster Resource ID>"
exit 1
fi
# 1. Extract Subscription ID by splitting on '/' and taking the 3rd field:
SUBSCRIPTION_ID=$(echo "$CLUSTER_ID" | cut -d'/' -f3)
echo "Subscription ID: $SUBSCRIPTION_ID"
# 2. Extract the actual cluster name from the last segment in the resource ID
CLUSTER_NAME=$(basename "$CLUSTER_ID")
echo "Cluster name: $CLUSTER_NAME"
# 3. Retrieve the Managed Resource Group name
MRG_NAME=$(az networkcloud cluster show \
--ids "$CLUSTER_ID" \
--query "managedResourceGroupConfiguration.name" \
--output tsv)
echo "Managed Resource Group name: $MRG_NAME"
# 4. Retrieve the extension's principal ID
PRINCIPAL_ID=$(az k8s-extension show \
--name nc-platform-extension \
--cluster-name "$CLUSTER_NAME" \
--resource-group "$MRG_NAME" \
--cluster-type connectedClusters \
--query "identity.principalId" \
--output tsv)
echo "Extension Principal ID: $PRINCIPAL_ID"
# 5. Create a Security Reader role assignment at subscription level
echo "Creating Security Reader role assignment at subscription level"
az role assignment create \
--role "Security Reader" \
--subscription "$SUBSCRIPTION_ID" \
--assignee-object-id "$PRINCIPAL_ID" \
--assignee-principal-type ServicePrincipal \
--scope "/subscriptions/$SUBSCRIPTION_ID"
echo "Done. Security Reader role assignment created"
Embora as permissões necessárias não sejam atribuídas, a lógica de reconciliação de integração do MDE continuará tentando integrar o agente MDE até que as permissões sejam concedidas. Após a conclusão da atribuição de permissão, a reconciliação de integração do MDE será concluída com êxito sem a necessidade de ações adicionais.
A reconciliação do status de integração do MDE é um processo de retirada exponencial. A primeira tentativa de repetição será feita após 10 minutos, a segunda após 20 minutos e a terceira após 40 minutos. Se ocorrerem três falhas, a reconciliação aguardará 10 minutos antes de tentar integrar o agente MDE novamente (o que reiniciará o processo de retirada exponencial).
Importante
A reconciliação do Agente MDE é executada independentemente em cada um dos computadores bare-metal no cluster. Como tal, o tempo exato necessário para integrar o agente MDE em todos os computadores bare-metal no cluster variará dependendo do número de computadores bare-metal no cluster e da hora inicial da primeira tentativa de integração.
Requisito específico do Nexus do Operador para habilitar o Defender para Ponto de Extremidade
Importante
No Nexus do Operador, o Microsoft Defender para Ponto de Extremidade é habilitado por cluster, em vez de em todos os clusters de uma só vez, que é o comportamento padrão quando a configuração de Proteção do ponto de extremidade está habilitada no Defender para servidores. Para solicitar que a Proteção do ponto de extremidade seja ativada em um ou mais clusters de carga de trabalho locais, você precisará abrir um tíquete do Suporte da Microsoft e, posteriormente, a equipe de Suporte executará as ações de habilitação. Você deve ter um plano do Defender para servidores ativo em sua assinatura antes de abrir um tíquete.
Depois que o Defender para Ponto de Extremidade é habilitado pelo Suporte da Microsoft, a configuração é gerenciada pela plataforma para garantir segurança e desempenho ideais e reduzir o risco de configurações incorretas.
Configurar o plano do Defender para contêineres para proteger as cargas de trabalho de cluster do Serviço de Kubernetes do Azure
Para proteger os clusters do Kubernetes locais que executam as cargas de trabalho do operador, habilite e configure o plano do Defender para contêineres na sua assinatura.
Pré-requisitos
- O Defender para Nuvem deve ser habilitado em sua assinatura.
Para configurar o plano do Defender para contêineres:
- Ative o recurso do plano do Defender para contêineres no Defender para Nuvem.
- Enquanto estiver na página de planos do Defender, clique no link Configurações de Contêineres na coluna “Monitoramento de cobertura”. A página Configurações e monitoramento será aberta.
- Verifique se DefenderDaemonSet está definido como Desativado.
- Verifique se o Azure Policy para Kubernetes está definido como Desativado.
- Clique em Continuar para salvar as configurações alteradas.
