你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
本文是系列文章之一,为您设计通过 Microsoft Defender for Cloud 管理多云资源中的云安全状况管理(CSPM)和云工作负荷保护(CWP)解决方案提供指导。
目标
找出可能影响多云设计的依赖项。
开始吧
设计多云解决方案时,请务必清楚地了解 Defender for Cloud 中所有多云功能所需的组件。
CSPM
Defender for Cloud 为 AWS 和 GCP 工作负载提供云安全状况管理(CSPM)功能。
- 载入 AWS 和 GCP 后,Defender for Cloud 会开始根据行业标准评估多云工作负载,并报告安全状况。
- CSPM 功能是无代理的,除了成功载入 AWS/GCP 连接器之外,不依赖于任何其他组件。
- 请务必注意,安全状况管理计划默认处于打开状态,无法关闭。
- 了解 CSPM 发现 AWS 资源所需的 IAM 权限。
CWPP
注释
由于 Log Analytics 代理于 2024 年 8 月停用,并且作为 Defender for Cloud 更新策略的一部分,所有 Defender for Servers 特性和功能都将通过 Microsoft Defender for Endpoint 集成或无代理扫描提供,而无需依赖于 Log Analytics 代理(MMA)或 Azure Monitor 代理(AMA)。 有关此更改的详细信息,请参阅 此公告。
在 Defender for Cloud 中,启用特定计划来获取云工作负载平台保护(CWPP)功能。 保护多云资源的计划包括:
- Defender for Servers:保护 AWS/GCP Windows 和 Linux 计算机。
- Defender for Containers:通过安全建议和强化、漏洞评估和运行时保护帮助保护 Kubernetes 群集。
- Defender for SQL:保护在 AWS 和 GCP 中运行的 SQL 数据库。
我需要哪些扩展?
下表汇总了 CWPP 的扩展要求。
| 扩展 | 适用于服务器的 Defender | 容器防护 | 计算机上的 Defender for SQL |
|---|---|---|---|
| Azure Arc 代理 | ✔ | ✔ | ✔ |
| Microsoft Defender for Endpoint 扩展 | ✔ | ||
| 漏洞评估 | ✔ | ||
| 无代理磁盘扫描 | ✔ | ✔ | |
| Log Analytics 或 Azure Monitor 代理(预览版)扩展 | ✔ | ✔ | |
| Defender 传感器 | ✔ | ||
| 适用于 Kubernetes 的 Azure Policy | ✔ | ||
| Kubernetes 审核日志数据 | ✔ | ||
| 计算机上的 SQL Server | ✔ | ||
| 自动 SQL Server 发现和注册 | ✔ |
适用于服务器的 Defender
在 AWS 或 GCP 连接器上启用 Defender for Servers 允许 Defender for Cloud 为 Google 计算引擎 VM 和 AWS EC2 实例提供服务器保护。
查看计划
Defender for Servers 提供两个不同的计划:
计划 1:
- MDE 集成: 计划 1 与 Microsoft Defender for Endpoint 计划 2 集成,为运行 一系列操作系统的计算机提供完整的端点检测与响应(EDR)解决方案。 Defender for Endpoint 功能包括:
- 预配: 在连接到 Defender for Cloud 的每个受支持的计算机上自动配置 Defender for Endpoint 感测器。
- 许可定价: 按小时收取 Defender for Endpoint 许可证费用,而不是按设备收费,这样仅在虚拟机使用时进行保护,从而降低成本。
计划 2: 包括计划 1 的所有组件以及其他功能,例如文件完整性监视(FIM)、实时 (JIT) VM 访问等。
在加入 Defender for Servers 之前,请查看 每个计划的功能 。
查看组件 - Defender for Servers
需要满足以下组件和要求才能从 Defender for Servers 计划获得完全保护:
- Azure Arc 代理:AWS 和 GCP 计算机使用 Azure Arc 连接到 Azure。Azure Arc 代理连接它们。
- 需要 Azure Arc 代理才能读取主机级别的安全信息,并允许 Defender for Cloud 部署完全保护所需的代理/扩展。 若要自动预配 Azure Arc 代理,必须配置 GCP VM 实例 上的 OS 配置代理和 AWS EC2 实例的 AWS 系统管理器 (SSM) 代理。 详细了解代理。
- Defender for Endpoint 功能: Microsoft Defender for Endpoint 代理提供全面的终结点检测和响应(EDR)功能。
- 漏洞评估:使用集成的 Qualys 漏洞扫描程序或 Microsoft Defender 漏洞管理解决方案 。
- Log Analytics 代理/Azure Monitor 代理 (预览版):收集机器上的安全相关配置信息和事件日志。
检查网络要求
在载入代理之前,计算机必须满足 网络要求 。 默认情况下启用自动预配。
容器防护
启用 Defender for Containers 可提供具有 这些安全功能的 GKE 和 EKS 群集和基础主机。
查看组件 - Defender for Containers
所需的 组件 如下所示:
- Azure Arc 代理:将 GKE 和 EKS 群集连接到 Azure,并载入 Defender 传感器。
- Defender 传感器:提供主机级运行时威胁防护。
- 适用于 Kubernetes 的 Azure Policy:扩展 Gatekeeper v3 以监视对 Kubernetes API 服务器的每个请求,并确保在群集和工作负载上遵循安全最佳做法。
- Kubernetes 审核日志:来自 API 服务器的审核日志允许 Defender for Containers 识别多云服务器中的可疑活动,并在调查警报时提供更深入的见解。 需要在连接器级别启用“Kubernetes 审核日志”发送。
检查网络要求 - Defender for Containers
请确保检查群集是否满足网络要求,以便 Defender 传感器可与 Defender for Cloud 连接。
Defender for SQL
Defender for SQL 为 GCP 计算引擎和 AWS 提供威胁检测。 必须在连接器所在的订阅上启用 "Defender for SQL Servers on Machines" 计划。
查看组件 - Defender for SQL
若要在多云工作负载上获得 Defender for SQL 的全部优势,需要以下组件:
- Azure Arc 代理:AWS 和 GCP 计算机使用 Azure Arc 连接到 Azure。Azure Arc 代理连接它们。
- 需要 Azure Arc 代理才能读取主机级别的安全信息,并允许 Defender for Cloud 部署完全保护所需的代理/扩展。
- 若要自动预配 Azure Arc 代理,必须配置 GCP VM 实例 上的 OS 配置代理和 AWS EC2 实例的 AWS 系统管理器 (SSM) 代理。 详细了解代理。
- Log Analytics 代理/Azure Monitor 代理 (AMA)(预览版):从计算机收集与安全相关的配置信息和事件日志
- 自动 SQL Server 发现和注册:支持自动发现和注册 SQL Server
后续步骤
本文介绍了在设计多云安全解决方案时如何确定多云依赖项。 继续执行下一步以 自动执行连接器部署。