Determinar dependências de várias nuvens
Este artigo faz parte de uma série que fornece orientação enquanto você projeta uma solução de gerenciamento de postura de segurança na nuvem (CSPM) e proteção de carga de trabalho na nuvem (CWP) em recursos multicloud com o Microsoft Defender for Cloud.
Goal
Descubra as dependências que podem influenciar seu design multicloud.
Começar agora
Ao projetar sua solução multicloud, é importante ter uma imagem clara dos componentes necessários para aproveitar todos os recursos multicloud no Defender for Cloud.
GPSC
O Defender for Cloud fornece recursos de Gerenciamento de Postura de Segurança na Nuvem (CSPM) para suas cargas de trabalho da AWS e do GCP.
- Depois de integrar a AWS e o GCP, o Defender for Cloud começa a avaliar suas cargas de trabalho multicloud em relação aos padrões do setor e emite relatórios sobre sua postura de segurança.
- Os recursos do CSPM não têm agente e não dependem de nenhum outro componente, exceto para a integração bem-sucedida de conectores AWS/GCP.
- É importante observar que o plano de Gerenciamento de Postura de Segurança está ativado por padrão e não pode ser desativado.
- Saiba mais sobre as permissões do IAM necessárias para descobrir recursos da AWS para CSPM.
CWPP
Nota
Como o agente do Log Analytics está programado para se aposentar em agosto de 2024 e como parte da estratégia atualizada do Defender for Cloud, todos os recursos e capacidades do Defender for Servers serão fornecidos por meio da integração do Microsoft Defender for Endpoint ou da verificação sem agente, sem dependência do agente do Log Analytics (MMA) ou do agente do Azure Monitor (AMA). Para obter mais informações sobre essa alteração, consulte este anúncio.
No Defender for Cloud, você habilita planos específicos para obter recursos de CWPP (Cloud Workload Platform Protection). Os planos para proteger os recursos multicloud incluem:
- Defender for Servers: proteja máquinas Windows/Linux AWS/GCP.
- Defender for Containers: Ajude a proteger seus clusters Kubernetes com recomendações de segurança e proteção, avaliações de vulnerabilidade e proteção em tempo de execução.
- Defender for SQL: proteja bancos de dados SQL em execução na AWS e no GCP.
De que extensão necessito?
A tabela a seguir resume os requisitos de extensão para CWPP.
| Extensão | Defender para Servidores | Defender para Contentores | Defender para SQL em máquinas |
|---|---|---|---|
| Azure Arc Agent | ✔ | ✔ | ✔ |
| Extensão do Microsoft Defender for Endpoint | ✔ | ||
| Avaliação de vulnerabilidades | ✔ | ||
| Verificação de disco sem agente | ✔ | ✔ | |
| Extensão do Log Analytics ou do Azure Monitor Agent (visualização) | ✔ | ✔ | |
| Sensor Defender | ✔ | ||
| Azure Policy para o Kubernetes | ✔ | ||
| Dados de log de auditoria do Kubernetes | ✔ | ||
| Servidores SQL em computadores | ✔ | ||
| Descoberta e registro automáticos do SQL Server | ✔ |
Defender para Servidores
A ativação do Defender for Servers em seu conector AWS ou GCP permite que o Defender for Cloud forneça proteção de servidor para suas VMs do Google Compute Engine e instâncias do AWS EC2.
Rever planos
O Defender for Servers oferece dois planos diferentes:
Plano 1:
- Integração MDE: o Plano 1 integra-se com o Microsoft Defender for Endpoint Plan 2 para fornecer uma solução completa de deteção e resposta de pontos finais (EDR) para máquinas que executam uma variedade de sistemas operacionais. Os recursos do Defender for Endpoint incluem:
- Reduzir a superfície de ataque das máquinas.
- Fornecendo recursos antivírus .
- Gerenciamento de ameaças, incluindo caça, deteção, análise e investigação e resposta automatizadas.
- Provisionamento: provisionamento automático do sensor do Defender for Endpoint em todas as máquinas compatíveis conectadas ao Defender for Cloud.
- Licenciamento: cobra licenças do Defender for Endpoint por hora em vez de por estação, reduzindo os custos ao proteger as máquinas virtuais apenas quando elas estão em uso.
- Integração MDE: o Plano 1 integra-se com o Microsoft Defender for Endpoint Plan 2 para fornecer uma solução completa de deteção e resposta de pontos finais (EDR) para máquinas que executam uma variedade de sistemas operacionais. Os recursos do Defender for Endpoint incluem:
Plano 2: Inclui todos os componentes do Plano 1, juntamente com recursos adicionais, como monitoramento de integridade de arquivos (FIM), acesso a VM just-in-time (JIT) e muito mais.
Analise os recursos de cada plano antes de integrar ao Defender for Servers.
Componentes de revisão - Defender for Servers
Os seguintes componentes e requisitos são necessários para receber proteção total do plano Defender for Servers:
- Agente do Azure Arc: máquinas AWS e GCP se conectam ao Azure usando o Azure Arc. O agente do Azure Arc os conecta.
- O agente do Azure Arc é necessário para ler informações de segurança no nível do host e permitir que o Defender for Cloud implante os agentes/extensões necessários para proteção completa. Para provisionar automaticamente o agente do Azure Arc, o agente de configuração do sistema operacional em instâncias de VM do GCP e o agente do AWS Systems Manager (SSM) para instâncias do AWS EC2 devem ser configurados. Saiba mais sobre o agente.
- Recursos do Defender for Endpoint: O agente do Microsoft Defender for Endpoint fornece recursos abrangentes de EDR (deteção e resposta de pontos finais).
- Avaliação de vulnerabilidade: usando o verificador de vulnerabilidades integrado do Qualys ou a solução Microsoft Defender Vulnerability Management.
- Agente do Log Analytics/Azure Monitor Agent (AMA) (em visualização): Coleta informações de configuração relacionadas à segurança e logs de eventos de máquinas.
Verifique os requisitos de rede
As máquinas devem atender aos requisitos de rede antes de integrar os agentes. O provisionamento automático está habilitado por padrão.
Defender para Contentores
A habilitação do Defender for Containers fornece esses recursos de segurança aos clusters GKE e EKS e hosts subjacentes.
Componentes de revisão - Defender for Containers
Os componentes necessários são os seguintes:
- Azure Arc Agent: conecta seus clusters GKE e EKS ao Azure e integra o sensor Defender.
- Sensor Defender: fornece proteção contra ameaças de tempo de execução no nível do host.
- Política do Azure para Kubernetes: estende o Gatekeeper v3 para monitorar todas as solicitações para o servidor de API do Kubernetes e garante que as práticas recomendadas de segurança estejam sendo seguidas em clusters e cargas de trabalho.
- Logs de auditoria do Kubernetes: os logs de auditoria do servidor de API permitem que o Defender for Containers identifique atividades suspeitas em seus servidores multicloud e forneça informações mais detalhadas durante a investigação de alertas. O envio dos "logs de auditoria do Kubernetes" precisa ser habilitado no nível do conector.
Verifique os requisitos de rede - Defender for Containers
Certifique-se de verificar se seus clusters atendem aos requisitos de rede para que o sensor do Defender possa se conectar ao Defender for Cloud.
Defender para SQL
O Defender for SQL fornece deteção de ameaças para o GCP Compute Engine e a AWS. O plano Defender for SQL Server on Machines deve ser habilitado na assinatura em que o conector está localizado.
Revisar componentes - Defender for SQL
Para receber todos os benefícios do Defender for SQL em sua carga de trabalho multicloud, você precisa destes componentes:
- Agente do Azure Arc: máquinas AWS e GCP se conectam ao Azure usando o Azure Arc. O agente do Azure Arc os conecta.
- O agente do Azure Arc é necessário para ler informações de segurança no nível do host e permitir que o Defender for Cloud implante os agentes/extensões necessários para proteção completa.
- Para provisionar automaticamente o agente do Azure Arc, o agente de configuração do sistema operacional em instâncias de VM do GCP e o agente do AWS Systems Manager (SSM) para instâncias do AWS EC2 devem ser configurados. Saiba mais sobre o agente.
- Agente do Log Analytics/Azure Monitor Agent (AMA) (em visualização): coleta informações de configuração relacionadas à segurança e logs de eventos de máquinas
- Descoberta e registro automáticos do SQL Server: oferece suporte à descoberta e ao registro automáticos de servidores SQL
Próximos passos
Neste artigo, você aprendeu como determinar dependências multicloud ao projetar uma solução de segurança multicloud. Continue com a próxima etapa para automatizar a implantação do conector.