你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

确定多云依赖项

本文是系列文章之一,为您设计通过 Microsoft Defender for Cloud 管理多云资源中的云安全状况管理(CSPM)和云工作负荷保护(CWP)解决方案提供指导。

目标

找出可能影响多云设计的依赖项。

开始吧

设计多云解决方案时,请务必清楚地了解 Defender for Cloud 中所有多云功能所需的组件。

CSPM

Defender for Cloud 为 AWS 和 GCP 工作负载提供云安全状况管理(CSPM)功能。

  • 载入 AWS 和 GCP 后,Defender for Cloud 会开始根据行业标准评估多云工作负载,并报告安全状况。
  • CSPM 功能是无代理的,除了成功载入 AWS/GCP 连接器之外,不依赖于任何其他组件。
  • 请务必注意,安全状况管理计划默认处于打开状态,无法关闭。
  • 了解 CSPM 发现 AWS 资源所需的 IAM 权限

CWPP

注释

由于 Log Analytics 代理于 2024 年 8 月停用,并且作为 Defender for Cloud 更新策略的一部分,所有 Defender for Servers 特性和功能都将通过 Microsoft Defender for Endpoint 集成或无代理扫描提供,而无需依赖于 Log Analytics 代理(MMA)或 Azure Monitor 代理(AMA)。 有关此更改的详细信息,请参阅 此公告

在 Defender for Cloud 中,启用特定计划来获取云工作负载平台保护(CWPP)功能。 保护多云资源的计划包括:

我需要哪些扩展?

下表汇总了 CWPP 的扩展要求。

扩展 适用于服务器的 Defender 容器防护 计算机上的 Defender for SQL
Azure Arc 代理
Microsoft Defender for Endpoint 扩展
漏洞评估
无代理磁盘扫描
Log Analytics 或 Azure Monitor 代理(预览版)扩展
Defender 传感器
适用于 Kubernetes 的 Azure Policy
Kubernetes 审核日志数据
计算机上的 SQL Server
自动 SQL Server 发现和注册

适用于服务器的 Defender

在 AWS 或 GCP 连接器上启用 Defender for Servers 允许 Defender for Cloud 为 Google 计算引擎 VM 和 AWS EC2 实例提供服务器保护。

查看计划

Defender for Servers 提供两个不同的计划:

  • 计划 1:

  • 计划 2: 包括计划 1 的所有组件以及其他功能,例如文件完整性监视(FIM)、实时 (JIT) VM 访问等。

    在加入 Defender for Servers 之前,请查看 每个计划的功能

查看组件 - Defender for Servers

需要满足以下组件和要求才能从 Defender for Servers 计划获得完全保护:

检查网络要求

在载入代理之前,计算机必须满足 网络要求 。 默认情况下启用自动预配。

容器防护

启用 Defender for Containers 可提供具有 这些安全功能的 GKE 和 EKS 群集和基础主机。

查看组件 - Defender for Containers

所需的 组件 如下所示:

  • Azure Arc 代理:将 GKE 和 EKS 群集连接到 Azure,并载入 Defender 传感器。
  • Defender 传感器:提供主机级运行时威胁防护。
  • 适用于 Kubernetes 的 Azure Policy:扩展 Gatekeeper v3 以监视对 Kubernetes API 服务器的每个请求,并确保在群集和工作负载上遵循安全最佳做法。
  • Kubernetes 审核日志:来自 API 服务器的审核日志允许 Defender for Containers 识别多云服务器中的可疑活动,并在调查警报时提供更深入的见解。 需要在连接器级别启用“Kubernetes 审核日志”发送。

检查网络要求 - Defender for Containers

请确保检查群集是否满足网络要求,以便 Defender 传感器可与 Defender for Cloud 连接。

Defender for SQL

Defender for SQL 为 GCP 计算引擎和 AWS 提供威胁检测。 必须在连接器所在的订阅上启用 "Defender for SQL Servers on Machines" 计划。

查看组件 - Defender for SQL

若要在多云工作负载上获得 Defender for SQL 的全部优势,需要以下组件:

  • Azure Arc 代理:AWS 和 GCP 计算机使用 Azure Arc 连接到 Azure。Azure Arc 代理连接它们。
    • 需要 Azure Arc 代理才能读取主机级别的安全信息,并允许 Defender for Cloud 部署完全保护所需的代理/扩展。
    • 若要自动预配 Azure Arc 代理,必须配置 GCP VM 实例 上的 OS 配置代理和 AWS EC2 实例的 AWS 系统管理器 (SSM) 代理。 详细了解代理。
  • Log Analytics 代理/Azure Monitor 代理 (AMA)(预览版):从计算机收集与安全相关的配置信息和事件日志
  • 自动 SQL Server 发现和注册:支持自动发现和注册 SQL Server

后续步骤

本文介绍了在设计多云安全解决方案时如何确定多云依赖项。 继续执行下一步以 自动执行连接器部署