Connettere ambienti di cloud ibrido e multi-cloud a Microsoft Defender per il cloud

  • 7 minuti

La connessione di ambienti cloud e multi-cloud ibridi a Microsoft Defender per il cloud è fondamentale per mantenere una postura di sicurezza unificata in diversi panorami IT. Se si dispone di server abilitati per Azure Arc per computer non Azure, Connettore cloud nativo e Connettore classico, è possibile estendere le funzionalità di Microsoft Defender per il cloud a risorse non Azure. Questa integrazione consente di monitorare, rilevare e rispondere a minacce alla sicurezza in modo completo. Informazioni generali relative al processo, insieme ai requisiti dettagliati richiesti per la riuscita della connessione, sono riportati di seguito.

Connettere computer non Azure a Microsoft Defender per il cloud

Microsoft Defender per il cloud può monitorare la postura di sicurezza dei computer non di Azure, ma è prima necessario connetterli ad Azure.

È possibile connettere i computer non di Azure in uno dei modi seguenti:

  • Eseguire l'onboarding con Azure Arc:
    • Tramite server abilitati per Azure Arc (scelta consigliata)
    • Usando il portale di Azure
  • Onboarding diretto con Microsoft Defender per endpoint

Connettere computer locali tramite Azure Arc

Un computer con server abilitati per Azure Arc diventa una risorsa di Azure. Quando si installa l'agente di Log Analytics, viene visualizzato in Defender per il cloud con raccomandazioni, come le altre risorse di Azure.

I server abilitati per Azure Arc offrono funzionalità avanzate, ad esempio l'abilitazione dei criteri di configurazione guest nel computer e la semplificazione della distribuzione con altri servizi di Azure. Per informazioni generali sui vantaggi dei server abilitati per Azure Arc, vedere Operazioni cloud supportate.

Per distribuire Azure Arc in un computer, seguire le istruzioni riportate in Avvio rapido: Connettere computer ibridi con server abilitati per Azure Arc.

Per distribuire Azure Arc in più computer su larga scala, seguire le istruzioni in Connettere computer ibridi ad Azure su larga scala.

Gli strumenti di Defender per il cloud che consentono la distribuzione automatica dell'agente di Log Analytics vengono usati con computer che eseguono Azure Arc. Tuttavia, questa funzionalità è attualmente in anteprima. Quando si connettono i computer tramite Azure Arc, usare la raccomandazione relativa a Defender per il cloud per distribuire l'agente e beneficiare della gamma completa di protezioni offerte da Defender per il cloud:

  • L'agente di Log Analytics deve essere installato nelle macchine virtuali Azure Arc basate su Linux
  • L'agente di Log Analytics deve essere installato nelle macchine virtuali Azure Arc basate su Windows

Connettere l’account AWS a Microsoft Defender per il cloud

I carichi di lavoro in genere si estendono su più piattaforme cloud. I servizi di sicurezza del cloud devono eseguire le stesse operazioni. Microsoft Defender per il cloud consente di proteggere i carichi di lavoro in Amazon Web Services (AWS), ma è necessario configurare la connessione tra di essi e Defender per il cloud.

Se si connette un account AWS connesso in precedenza con il connettore classico, è necessario prima rimuoverlo. L'uso di un account AWS connesso sia con il connettore classico che con quelli nativi può generare raccomandazioni duplicate.

Prerequisiti

Per completare le procedure descritte in questo articolo, sono necessari:

  • Una sottoscrizione di Microsoft Azure. Se non si dispone di una sottoscrizione di Azure, è possibile iscriversi per ottenerne una gratuita.
  • Configurazione di Microsoft Defender per il cloud nella sottoscrizione di Azure.
  • Accesso a un account AWS.
  • Autorizzazione collaboratore per la sottoscrizione di Azure pertinente e Autorizzazione amministratore per l'account AWS.

Defender per contenitori

Se si sceglie il piano Microsoft Defender per contenitori, sono necessari:

  • Almeno un cluster Amazon EKS con l'autorizzazione per accedere al server API Kubernetes di EKS.
  • La capacità della risorsa di creare una nuova coda Amazon Simple Queue Service (SQS), un flusso di distribuzione Kinesis Data Firehose e un bucket Amazon S3 nella regione del cluster.

Defender per SQL

Se si sceglie il piano Microsoft Defender per SQL, sono necessari:

  • Microsoft Defender per SQL abilitato nella sottoscrizione. Informazioni su come proteggere i database.
  • Un account AWS attivo, con istanze EC2 che eseguono SQL Server o Servizi Desktop remoto (RDS) del database relazionale personalizzati per SQL Server.
  • Azure Arc per server installato nelle istanze EC2 o in Servizi Desktop remoto personalizzati per SQL Server.

È consigliabile usare il processo di provisioning automatico per installare Azure Arc in tutte le istanze EC2 esistenti e future. Per abilitare il provisioning automatico di Azure Arc, è necessaria l'autorizzazione Proprietario per la sottoscrizione di Azure pertinente.

AWS Systems Manager (SSM) gestisce il provisioning automatico tramite l'agente SSM. Alcune Amazon Machine Images dispongono già dell'agente SSM preinstallato. Se le istanze EC2 non dispongono dell'agente SSM, installarlo seguendo le istruzioni seguenti fornite da Amazon: Installare l'agente SSM per un ambiente ibrido e multi-cloud (Windows).

Assicurarsi che l'agente SSM disponga del criterio gestito AmazonSSMManagedInstanceCore. Tale criterio abilita le funzionalità di base del servizio AWS Systems Manager.

Abilitare le ulteriori estensioni seguenti nei computer connessi ad Azure Arc:

  • Microsoft Defender per endpoint
  • Una soluzione di valutazione della vulnerabilità (gestione di minacce e vulnerabilità o Qualys)
  • Agente di Log Analytics nei computer connessi ad Azure Arc o agente di Monitoraggio di Azure

Assicurarsi che nell'area di lavoro Log Analytics selezionata sia installata una soluzione di sicurezza. L'agente di Log Analytics e l'agente di Monitoraggio di Azure sono attualmente configurati a livello di sottoscrizione. Tutti gli account AWS e i progetti Google Cloud Platform (GCP) all’interno della stessa sottoscrizione ereditano le impostazioni di sottoscrizione per l'agente di Log Analytics e l'agente di Monitoraggio di Azure.

Defender per server

Se si sceglie il piano Microsoft Defender per server, sono necessari:

  • Microsoft Defender per server abilitato nella sottoscrizione. Informazioni su come abilitare i piani in Abilitare le funzionalità di sicurezza avanzate.
  • Un account AWS attivo, con istanze EC2.
  • Azure Arc per server installato nelle istanze EC2.

È consigliabile usare il processo di provisioning automatico per installare Azure Arc in tutte le istanze EC2 esistenti e future. Per abilitare il provisioning automatico di Azure Arc, è necessaria l'autorizzazione Proprietario per la sottoscrizione di Azure pertinente.

AWS Systems Manager gestisce il provisioning automatico tramite l'agente SSM. Alcune Amazon Machine Images dispongono già dell'agente SSM preinstallato. Se le istanze EC2 non dispongono dell'agente SSM, installarlo seguendo le istruzioni seguenti fornite da Amazon:

  • Installare l'agente SSM per un ambiente ibrido e multi-cloud (Windows)
  • Installare l'agente SSM per un ambiente ibrido e multi-cloud (Linux)

Assicurarsi che l'agente SSM disponga del criterio gestito AmazonSSMManagedInstanceCore, che abilita le funzionalità di base per il servizio AWS Systems Manager.

Se si vuole installare manualmente Azure Arc nelle istanze EC2 esistenti e future, usare la raccomandazione relativa alle istanze EC2 da connettere ad Azure Arc per identificare le istanze in cui non è installato Azure Arc.

Abilitare le ulteriori estensioni seguenti nei computer connessi ad Azure Arc:

  • Microsoft Defender per endpoint
  • Una soluzione di valutazione della vulnerabilità (gestione di minacce e vulnerabilità o Qualys)
  • Agente di Log Analytics nei computer connessi ad Azure Arc o agente di Monitoraggio di Azure

Assicurarsi che nell'area di lavoro Log Analytics selezionata sia installata una soluzione di sicurezza. L'agente di Log Analytics e l'agente di Monitoraggio di Azure sono attualmente configurati a livello di sottoscrizione. Tutti gli account AWS e i progetti GPC all’interno della stessa sottoscrizione ereditano le impostazioni di sottoscrizione per l'agente di Log Analytics e l'agente di Monitoraggio di Azure.

Defender per server assegna tag alle risorse AWS per gestire il processo di provisioning automatico. È necessario che i tag seguenti vengano assegnati correttamente alle risorse in modo che Defender per il cloud possa gestirli: AccountId, Cloud, InstanceId e MDFCSecurityConnector.

Defender CSPM

Se si sceglie il piano Microsoft Defender Cloud Security Posture Management, è necessario:

  • Una sottoscrizione di Azure. Se non si ha una sottoscrizione di Azure, è possibile iscriversi per una sottoscrizione gratuita.
  • Abilitare Microsoft Defender per il cloud nella sottoscrizione di Azure.
  • Connettere i computer non di Azure e gli account AWS.
  • Per poter accedere a tutte le funzionalità disponibili del piano CSPM, quest'ultimo deve essere abilitato dal Proprietario della sottoscrizione.