次の方法で共有

プランとエージェントの要件を決定する

  • [アーティクル]

この記事は、Microsoft Defender for Cloud を使用してマルチクラウド リソース全体のクラウド セキュリティ態勢管理 (CSPM) とクラウド ワークロード保護 (CWP) ソリューションを設計する際のガイダンスを提供するシリーズの 1 つです。

目的

有効にするプランと各プランの要件を特定します。

作業の開始

クラウド全体で資産を保護するとき、目的の保護を有効にするプランを特定し、各プランで必要に応じてエージェント コンポーネントをインストールする必要があります。

エージェントに関する考慮事項

Defender for Cloud によって使用されるエージェントと拡張機能に関するデータの考慮事項があります。

  • CSPM: Defender for Cloud 内の CSPM 機能はエージェントレスです。 CSPM を機能させるためにエージェントは必要ありません。
  • CWP: Defender for Cloud の一部のワークロード保護機能では、データを収集するためにエージェントを使用する必要があります。

Defender for Servers プラン

エージェントは、次のように Defender for Servers プランで使用されます。

  • 非 Azure パブリック クラウドは、Azure Arc サービスを利用することによって Azure に接続します。
  • Azure Connected Machine エージェントは、Azure Arc マシンとしてオンボードされたマルチクラウド マシンにインストールされます。 Defender for Cloud は、Azure Arc マシンが配置されたサブスクリプションで有効にする必要があります。
  • Defender for Cloud は、Connected Machine エージェントを利用して、Defender for Servers 機能に必要な拡張機能 (Microsoft Defender for Endpoint など) をインストールします。
  • 一部の Defender for Service プラン 2 機能には、Log Analytics エージェント/Azure Monitor エージェント (AMA) が必要です。
    • エージェントは、Defender for Cloud によって自動的にプロビジョニングすることができます。
    • 自動プロビジョニングを有効にするときに、収集されたデータを保存する場所を指定します。 Defender for Cloud によって作成された既定の Log Analytics ワークスペースか、サブスクリプション内のその他のワークスペース。 詳細情報。
    • データを連続的にエクスポートすることにした場合は、保存されるイベントとアラートの種類を詳しく調べて構成できます。 詳細情報。
  • Log Analytics ワークスペース:
    • サブスクリプション レベルで使用する Log Analytics ワークスペースを定義します。 既定のワークスペースにすることも、カスタマイズしたワークスペースにすることもできます。
    • カスタム ワークスペースではなく既定のワークスペースを選択する理由はいくつかあります。
    • 既定のワークスペースの場所は、Azure Arc マシン リージョンによって異なります。 詳細情報。
    • カスタマイズしたワークスペースの場所は、組織によって設定されます。 カスタム ワークスペースの使用方法については、こちらをご覧ください。

Defender for Containers プラン

Defender for Containers は、以下で実行中のマルチクラウド コンテナー デプロイを保護します。

  • Azure Kubernetes Service (AKS) - コンテナー化されたアプリケーションを開発、デプロイ、管理するための Microsoft のマネージド サービスです。
  • 接続された AWS アカウント内の Amazon Elastic Kubernetes Service (EKS) - 独自の Kubernetes コントロール プレーンまたはノードをインストール、操作、および保守することなく、AWS 上で Kubernetes を実行するための Amazon の管理サービス。
  • 接続された GCP プロジェクト内の Google Kubernetes Engine (GKE) - GCP インフラストラクチャを使用してアプリケーションをデプロイ、管理、およびスケーリングするための Google の管理環境。
  • その他の Kubernetes ディストリビューション - Azure Arc 対応 Kubernetes を使用すれば、他のパブリック クラウドやオンプレミスなど、任意の場所で実行されている Kubernetes クラスターをアタッチして構成することができます。

Defender for Containers には、センサーベースとエージェントレスの両方のコンポーネントが含まれています。

  • Kubernetes 監査ログ データのエージェントレス コレクションAmazon CloudWatch や GCP Cloud Logging は、監査ログ データを有効にして収集し、収集した情報を詳しく分析するために Defender for Cloud に送信します。 データ ストレージは、GDPR - EU および US に従った EKS クラスター AWS リージョンに基づきます。
  • Kubernetes インベントリのエージェントレス コレクション: Kubernetes クラスターとそのリソース (名前空間、デプロイ、ポッド、イングレスなど) でデータを収集します。
  • センサーベースの Azure Arc 対応 Kubernetes: Azure Arc エージェントを使用して EKS クラスターと GKE クラスターを Azure に接続し、Azure Arc リソースとして扱われるようにします。
  • Defender センサー: eBPF テクノロジを使用してホストからのシグナルを収集し、実行時の保護を提供する DaemonSet。 この拡張機能は Log Analytics ワークスペースに登録され、データ パイプラインとして使用されます。 監査ログ データは Log Analytics ワークスペースに保存されません。
  • Kubernetes 用の Azure Policy: 構成情報は、Kubernetes 用の Azure Policy によって収集されます。
    • Kubernetes 用の Azure Policy によって、Open Policy Agent 用のオープンソースの Gatekeeper v3 アドミッション コントローラー Webhook が拡張されます。
    • この拡張機能は Webhook として Kubernetes 受付制御に登録され、クラスターを一元的な一貫性のある方法で保護しながら、大規模な実施内容を適用できるようにします。

Defender for Databases プラン

マルチクラウド シナリオにおける Defender for Databases プランでは、Azure Arc を利用してマルチクラウド SQL Server データベースを管理します。 SQL Server インスタンスは、Azure Arc に接続された仮想マシンまたは物理マシンにインストールされます。

  • Azure Connected Machine エージェントは、Azure Arc に接続されたマシンにインストールされます。
  • Defender for Databases プランは、Azure Arc マシンが配置されたサブスクリプションで有効にする必要があります。
  • Microsoft Defender SQL Server の Log Analytics エージェントは、Azure Arc マシン上でプロビジョニングする必要があります。 このエージェントは、マシンからセキュリティ関連の構成設定とイベント ログを収集します。
  • マシン上で SQL データベースを検出できるようにするには、SQL サーバーの自動検出および登録をオンに設定する必要があります。

Defender for Cloud によって保護される実際の AWS リソースと GCP リソースに関しては、それらの場所が AWS クラウドと GCP クラウドから直接設定されます。

次の手順

この記事では、マルチクラウド セキュリティ ソリューションを設計する際にデータ所在地要件を特定する方法について説明しました。 コンプライアンス要件を特定する次のステップに進んでください。