判斷多重雲端相依性

本文是一系列提供指引的其中一個系列，可讓您透過 適用於雲端的 Microsoft Defender 跨多雲端資源設計雲端安全性狀態管理 （CSPM） 和雲端工作負載保護 （CWP） 解決方案。

目標

找出可能會影響多重雲端設計的相依性。

開始使用

當您設計多重雲端解決方案時，請務必清楚瞭解 適用於雲端的 Defender 中所有多重雲端功能所需的元件。

CSPM

適用於雲端的 Defender 為您的 AWS 和 GCP 工作負載提供雲端安全性狀態管理 （CSPM） 功能。

• 將 AWS 和 GCP 上線之後，適用於雲端的 Defender 會開始根據業界標準評估您的多重雲端工作負載，以及報告安全性狀態。
• CSPM 功能是無代理程式，除了成功上線 AWS/GCP 連接器之外，不依賴任何其他元件。
• 請務必注意，安全性狀態管理計劃預設為開啟，且無法關閉。
• 瞭解 探索 CSPM AWS 資源所需的 IAM 許可權 。

CWPP

注意

由於 Log Analytics 代理程式設定為在 2024 年 8 月淘汰，而且作為 適用於雲端的 Defender 更新策略的一部分，所有適用於伺服器的 Defender 功能都會透過 適用於端點的 Microsoft Defender 整合或無代理程序掃描提供，而不需要依賴 Log Analytics 代理程式 （MMA） 或 Azure 監視器代理程式 （AMA）。 如需這項變更的詳細資訊，請參閱 此公告。

在 適用於雲端的 Defender 中，您可以啟用特定方案來取得雲端工作負載平台保護 （CWPP） 功能。 保護多重雲端資源的計劃包括：

• 適用於伺服器的 Defender：保護 AWS/GCP Windows 和 Linux 機器。
• 適用於容器的 Defender：使用安全性建議和強化、弱點評定和運行時間保護，協助保護您的 Kubernetes 叢集。
• 適用於 SQL 的 Defender：保護在 AWS 和 GCP 中執行的 SQL 資料庫。

我需要哪些延伸模組？

下表摘要說明 CWPP 的延伸模組需求。

副檔名	適用於伺服器的 Defender	適用於容器的 Defender	機器上的適用於 SQL 的 Defender
Azure Arc 代理程式	✔	✔	✔
適用於端點的 Microsoft Defender擴充功能	✔
弱點評估	✔
無代理程式磁碟掃描	✔	✔
Log Analytics 或 Azure 監視器代理程式 （預覽） 擴充功能	✔		✔
Defender 感測器		✔
適用於 Kubernetes 的 Azure 原則		✔
Kubernetes 稽核記錄數據		✔
機器上的 SQL 伺服器			✔
自動 SQL Server 探索與註冊			✔

適用於伺服器的 Defender

在 AWS 或 GCP 連接器上啟用適用於伺服器的 Defender 可讓 適用於雲端的 Defender 為您的 Google Compute Engine VM 和 AWS EC2 實例提供伺服器保護。

檢閱計劃

適用於伺服器的 Defender 提供兩個不同的方案：

• 專案 1：

  • MDE 整合：方案 1 與 適用於端點的 Microsoft Defender 方案 2 整合，為執行各種操作系統的機器提供完整的 端點偵測及回應 （EDR） 解決方案。 適用於端點的 Defender 功能包括：
    • 減少機器的攻擊面 。
    • 提供 防毒 功能。
    • 威脅管理，包括威脅搜捕、偵測、分析和自動化調查和回應。
  • 布建：在聯機至 適用於雲端的 Defender 的每個支持計算機上，自動布建適用於端點的Defender感測器。
  • 授權： 適用於端點授權的Defender每小時收費，而不是每個基座，只有在虛擬機正在使用時，才能降低成本。

• 方案 2： 包含方案 1 的所有元件，以及其他功能，例如檔案完整性監視 （FIM）、Just-In-Time （JIT） VM 存取等等。

  在上線至適用於伺服器的 Defender 之前， 請先檢閱每個方案 的功能。

檢閱元件 - 適用於伺服器的Defender

需要下列元件和需求，才能接收適用於伺服器的 Defender 方案的完整保護：

• Azure Arc 代理程式：AWS 和 GCP 機器會使用 Azure Arc 連線到 Azure。Azure Arc 代理程式會加以連線。
  • 需要 Azure Arc 代理程式才能讀取主機層級的安全性資訊，並允許 適用於雲端的 Defender 部署完整保護所需的代理程式/擴充功能。 若要自動布建 Azure Arc 代理程式，必須設定 GCP VM 實例上的 OS 設定代理程式和 AWS EC2 實例的 AWS 系統管理員 （SSM） 代理程式。 深入瞭解 代理程式。
• 適用於端點的 Defender 功能：適用於端點的 Microsoft Defender 代理程式提供完整的 端點偵測及回應 （EDR） 功能。
• 弱點評估：使用整合式 Qualys 弱點掃描器或 Microsoft Defender 弱點管理 解決方案。
• Log Analytics 代理程式/Azure 監視器代理程式 （AMA） （預覽版）：從機器收集安全性相關的設定資訊和事件記錄檔。

檢查網路需求

機器必須符合 網路需求 ，才能將代理程序上線。 默認會啟用自動布建。

適用於容器的 Defender

啟用適用於容器的 Defender 提供 GKE 和 EKS 叢集和基礎主機，並提供 這些安全性功能。

檢閱元件 - 適用於容器的Defender

必要的 元件 如下所示：

• Azure Arc 代理程式：將 GKE 和 EKS 叢集 連線 至 Azure，並將 Defender 感測器上線。
• Defender 感測器：提供主機層級運行時間威脅防護。
• 適用於 Kubernetes 的 Azure 原則：擴充 Gatekeeper v3 以監視 Kubernetes API 伺服器的每個要求，並確保叢集和工作負載上會遵循安全性最佳做法。
• Kubernetes 稽核記錄：來自 API 伺服器的稽核記錄可讓適用於容器的 Defender 識別多雲端伺服器內的可疑活動，並在調查警示時提供更深入的見解。 必須在連接器層級上啟用「Kubernetes 稽核記錄」的傳送。

檢查網路需求 - 適用於容器的Defender

請務必檢查您的叢集是否符合網路需求，讓Defender感測器可以與 適用於雲端的 Defender連線。

適用於 SQL 的 Defender

適用於 SQL 的 Defender 提供 GCP 計算引擎和 AWS 的威脅偵測。 必須在連接器所在的訂用帳戶上啟用適用於 SQL Server 的 Defender 方案。

檢閱元件 - 適用於 SQL 的 Defender

若要在多雲端工作負載上接收適用於 SQL 的 Defender 完整優點，您需要下列元件：

• Azure Arc 代理程式：AWS 和 GCP 機器會使用 Azure Arc 連線到 Azure。Azure Arc 代理程式會加以連線。
  • 需要 Azure Arc 代理程式才能讀取主機層級的安全性資訊，並允許 適用於雲端的 Defender 部署完整保護所需的代理程式/擴充功能。
  • 若要自動布建 Azure Arc 代理程式，必須設定 GCP VM 實例上的 OS 設定代理程式和 AWS EC2 實例的 AWS 系統管理員 （SSM） 代理程式。 深入瞭解 代理程式。
• Log Analytics 代理程式/Azure 監視器代理程式 （預覽版）：從機器收集安全性相關的設定資訊和事件記錄
• 自動 SQL Server 探索和註冊：支持自動探索和註冊 SQL Server

下一步

在本文中，您已瞭解如何在設計多重雲端安全性解決方案時判斷多重雲端相依性。 繼續進行下一個步驟，將 連接器部署自動化。