判斷多重雲端相依性
本文是一系列提供指引的其中一個系列,可讓您透過 適用於雲端的 Microsoft Defender 跨多雲端資源設計雲端安全性狀態管理 (CSPM) 和雲端工作負載保護 (CWP) 解決方案。
目標
找出可能會影響多重雲端設計的相依性。
開始使用
當您設計多重雲端解決方案時,請務必清楚瞭解 適用於雲端的 Defender 中所有多重雲端功能所需的元件。
CSPM
適用於雲端的 Defender 為您的 AWS 和 GCP 工作負載提供雲端安全性狀態管理 (CSPM) 功能。
- 將 AWS 和 GCP 上線之後,適用於雲端的 Defender 會開始根據業界標準評估您的多重雲端工作負載,以及報告安全性狀態。
- CSPM 功能是無代理程式,除了成功上線 AWS/GCP 連接器之外,不依賴任何其他元件。
- 請務必注意,安全性狀態管理計劃預設為開啟,且無法關閉。
- 瞭解 探索 CSPM AWS 資源所需的 IAM 許可權 。
CWPP
注意
由於 Log Analytics 代理程式設定為在 2024 年 8 月淘汰,而且作為 適用於雲端的 Defender 更新策略的一部分,所有適用於伺服器的 Defender 功能都會透過 適用於端點的 Microsoft Defender 整合或無代理程序掃描提供,而不需要依賴 Log Analytics 代理程式 (MMA) 或 Azure 監視器代理程式 (AMA)。 如需這項變更的詳細資訊,請參閱 此公告。
在 適用於雲端的 Defender 中,您可以啟用特定方案來取得雲端工作負載平台保護 (CWPP) 功能。 保護多重雲端資源的計劃包括:
- 適用於伺服器的 Defender:保護 AWS/GCP Windows 和 Linux 機器。
- 適用於容器的 Defender:使用安全性建議和強化、弱點評定和運行時間保護,協助保護您的 Kubernetes 叢集。
- 適用於 SQL 的 Defender:保護在 AWS 和 GCP 中執行的 SQL 資料庫。
我需要哪些延伸模組?
下表摘要說明 CWPP 的延伸模組需求。
副檔名 | 適用於伺服器的 Defender | 適用於容器的 Defender | 機器上的適用於 SQL 的 Defender |
---|---|---|---|
Azure Arc 代理程式 | ✔ | ✔ | ✔ |
適用於端點的 Microsoft Defender擴充功能 | ✔ | ||
弱點評估 | ✔ | ||
無代理程式磁碟掃描 | ✔ | ✔ | |
Log Analytics 或 Azure 監視器代理程式 (預覽) 擴充功能 | ✔ | ✔ | |
Defender 感測器 | ✔ | ||
適用於 Kubernetes 的 Azure 原則 | ✔ | ||
Kubernetes 稽核記錄數據 | ✔ | ||
機器上的 SQL 伺服器 | ✔ | ||
自動 SQL Server 探索與註冊 | ✔ |
適用於伺服器的 Defender
在 AWS 或 GCP 連接器上啟用適用於伺服器的 Defender 可讓 適用於雲端的 Defender 為您的 Google Compute Engine VM 和 AWS EC2 實例提供伺服器保護。
檢閱計劃
適用於伺服器的 Defender 提供兩個不同的方案:
專案 1:
方案 2: 包含方案 1 的所有元件,以及其他功能,例如檔案完整性監視 (FIM)、Just-In-Time (JIT) VM 存取等等。
在上線至適用於伺服器的 Defender 之前, 請先檢閱每個方案 的功能。
檢閱元件 - 適用於伺服器的Defender
需要下列元件和需求,才能接收適用於伺服器的 Defender 方案的完整保護:
- Azure Arc 代理程式:AWS 和 GCP 機器會使用 Azure Arc 連線到 Azure。Azure Arc 代理程式會加以連線。
- 適用於端點的 Defender 功能:適用於端點的 Microsoft Defender 代理程式提供完整的 端點偵測及回應 (EDR) 功能。
- 弱點評估:使用整合式 Qualys 弱點掃描器或 Microsoft Defender 弱點管理 解決方案。
- Log Analytics 代理程式/Azure 監視器代理程式 (AMA) (預覽版):從機器收集安全性相關的設定資訊和事件記錄檔。
檢查網路需求
機器必須符合 網路需求 ,才能將代理程序上線。 默認會啟用自動布建。
適用於容器的 Defender
啟用適用於容器的 Defender 提供 GKE 和 EKS 叢集和基礎主機,並提供 這些安全性功能。
檢閱元件 - 適用於容器的Defender
必要的 元件 如下所示:
- Azure Arc 代理程式:將 GKE 和 EKS 叢集 連線 至 Azure,並將 Defender 感測器上線。
- Defender 感測器:提供主機層級運行時間威脅防護。
- 適用於 Kubernetes 的 Azure 原則:擴充 Gatekeeper v3 以監視 Kubernetes API 伺服器的每個要求,並確保叢集和工作負載上會遵循安全性最佳做法。
- Kubernetes 稽核記錄:來自 API 伺服器的稽核記錄可讓適用於容器的 Defender 識別多雲端伺服器內的可疑活動,並在調查警示時提供更深入的見解。 必須在連接器層級上啟用「Kubernetes 稽核記錄」的傳送。
檢查網路需求 - 適用於容器的Defender
請務必檢查您的叢集是否符合網路需求,讓Defender感測器可以與 適用於雲端的 Defender連線。
適用於 SQL 的 Defender
適用於 SQL 的 Defender 提供 GCP 計算引擎和 AWS 的威脅偵測。 必須在連接器所在的訂用帳戶上啟用適用於 SQL Server 的 Defender 方案。
檢閱元件 - 適用於 SQL 的 Defender
若要在多雲端工作負載上接收適用於 SQL 的 Defender 完整優點,您需要下列元件:
- Azure Arc 代理程式:AWS 和 GCP 機器會使用 Azure Arc 連線到 Azure。Azure Arc 代理程式會加以連線。
- Log Analytics 代理程式/Azure 監視器代理程式 (預覽版):從機器收集安全性相關的設定資訊和事件記錄
- 自動 SQL Server 探索和註冊:支持自動探索和註冊 SQL Server
下一步
在本文中,您已瞭解如何在設計多重雲端安全性解決方案時判斷多重雲端相依性。 繼續進行下一個步驟,將 連接器部署自動化。
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應