Hybride cloud- en multicloudomgevingen verbinden met Microsoft Defender for Cloud

  • 7 minuten

Het verbinden van hybride cloud- en multicloudomgevingen met Microsoft Defender for Cloud is van cruciaal belang voor het handhaven van een uniforme beveiligingspostuur in verschillende IT-landschappen. Met servers met Azure Arc voor niet-Azure-machines, de systeemeigen cloudconnector en de klassieke connector kunt u de mogelijkheden van Microsoft Defender for Cloud uitbreiden naar niet-Azure-resources. Met deze integratie kunt u beveiligingsrisico's uitgebreid bewaken, detecteren en erop reageren. Hier geven we een informatief overzicht van het proces, samen met gedetailleerde vereisten voor een geslaagde verbinding.

Uw niet-Azure-machines verbinden met Microsoft Defender voor Cloud

Microsoft Defender voor Cloud kan de beveiligingspostuur van uw niet-Azure-machines bewaken, maar eerst moet u ze verbinden met Azure.

U kunt uw niet-Azure-computers op een van de volgende manieren verbinden:

  • Onboarding met Azure Arc:

    • Door servers met Azure Arc te gebruiken (aanbevolen)
    • Met behulp van Azure Portal

  • Rechtstreeks onboarden met Microsoft Defender voor Eindpunt

On-premises machines verbinden met behulp van Azure Arc

Een machine met servers met Azure Arc wordt een Azure-resource. Wanneer u de Log Analytics-agent erop installeert, wordt deze weergegeven in Defender for Cloud met aanbevelingen, zoals uw andere Azure-resources.

Servers met Azure Arc bieden verbeterde mogelijkheden, zoals het inschakelen van gastconfiguratiebeleid op de computer en het vereenvoudigen van de implementatie met andere Azure-services. Zie Ondersteunde cloudbewerkingen voor een overzicht van de voordelen van servers met Azure Arc.

Als u Azure Arc op één computer wilt implementeren, volgt u de instructies in de quickstart: Hybride machines verbinden met servers met Azure Arc.

Als u Azure Arc op meerdere computers op schaal wilt implementeren, volgt u de instructies in Hybride machines verbinden met Azure op schaal.

Defender for Cloud-hulpprogramma's voor het automatisch implementeren van de Log Analytics-agent werken met machines met Azure Arc. Deze mogelijkheid is echter momenteel beschikbaar als preview-versie. Wanneer u uw machines verbindt met behulp van Azure Arc, gebruikt u de relevante Aanbeveling van Defender voor Cloud om de agent te implementeren en te profiteren van het volledige beveiligingsbereik dat Defender for Cloud biedt:

  • De Log Analytics-agent moet worden geïnstalleerd op uw Azure Arc-machines op basis van Linux
  • De Log Analytics-agent moet zijn geïnstalleerd op uw Windows-machines met Azure Arc

Uw AWS-account verbinden met Microsoft Defender voor Cloud

Workloads omvatten vaak meerdere cloudplatforms. Cloudbeveiligingsservices moeten hetzelfde doen. Microsoft Defender voor Cloud helpt workloads in Amazon Web Services (AWS) te beveiligen, maar u moet de verbinding tussen deze workloads en Defender for Cloud instellen.

Als u een AWS-account verbindt dat u eerder hebt verbonden met de klassieke connector, moet u dit eerst verwijderen. Het gebruik van een AWS-account dat is verbonden met zowel de klassieke als systeemeigen connectors, kan dubbele aanbevelingen opleveren.

Voorwaarden

Als u de procedures in dit artikel wilt voltooien, hebt u het volgende nodig:

  • Een Microsoft Azure-abonnement. Als u geen Azure-abonnement hebt, kunt u zich aanmelden voor een gratis abonnement.
  • Microsoft Defender voor Cloud is ingesteld op uw Azure-abonnement.
  • Toegang tot een AWS-account.
  • Inzendermachtiging voor het relevante Azure-abonnement en beheerdersmachtigingen voor het AWS-account.

Verdediger voor Containers

Als u het Microsoft Defender for Containers-abonnement kiest, hebt u het volgende nodig:

  • Ten minste één Amazon EKS-cluster met toestemming voor toegang tot de EKS Kubernetes API-server.
  • De resourcecapaciteit voor het maken van een nieuwe Amazon Simple Queue Service (SQS)-wachtrij, een Kinesis Data Firehose-bezorgstroom en een Amazon S3-bucket in de regio van het cluster.

Defender voor SQL

Als u het Microsoft Defender voor SQL-abonnement kiest, hebt u het volgende nodig:

  • Microsoft Defender voor SQL ingeschakeld voor uw abonnement. Meer informatie over het beveiligen van uw databases.
  • Een actief AWS-account met EC2-exemplaren waarop SQL Server of Relational Database Service (RDS) Custom for SQL Server wordt uitgevoerd.
  • Azure Arc voor servers die zijn geïnstalleerd op uw EC2-exemplaren of RDS Custom voor SQL Server.

U wordt aangeraden het proces voor automatische inrichting te gebruiken om Azure Arc te installeren op al uw bestaande en toekomstige EC2-exemplaren. Als u automatische provisioning van Azure Arc wilt inschakelen, hebt u Eigenaar-machtigingen nodig voor het relevante Azure-abonnement.

AWS Systems Manager (SSM) beheert automatisch inrichten met behulp van de SSM-agent. Sommige Amazon Machine Images hebben de SSM Agent al geïnstalleerd. Als uw EC2-exemplaren de SSM-agent niet hebben, installeert u deze met behulp van deze instructies van Amazon: SSM Agent installeren voor een hybride omgeving en een omgeving met meerdere clouds (Windows).

Zorg ervoor dat uw SSM-agent het beheerde beleid AmazonSSMManagedInstanceCore heeft. Het maakt kernfunctionaliteit mogelijk voor de AWS Systems Manager-service.

Schakel deze andere extensies in op de met Azure Arc verbonden machines:

  • Microsoft Defender voor Eindpunt
  • Een oplossing voor evaluatie van beveiligingsproblemen (Beheer van bedreigingen en beveiligingsproblemen of Qualys)
  • De Log Analytics-agent op met Azure Arc verbonden machines of de Azure Monitor-agent

Zorg ervoor dat voor de geselecteerde Log Analytics-werkruimte een beveiligingsoplossing is geïnstalleerd. De Log Analytics-agent en de Azure Monitor-agent zijn momenteel geconfigureerd op abonnementsniveau. Al uw AWS-accounts en GCP-projecten (Google Cloud Platform) onder hetzelfde abonnement nemen de abonnementsinstellingen voor de Log Analytics-agent en de Azure Monitor-agent over.

Defender voor Servers

Als u het Microsoft Defender for Servers-abonnement kiest, hebt u het volgende nodig:

  • Microsoft Defender voor Servers ingeschakeld voor uw abonnement. Leer hoe u plannen kunt inschakelen binnen de functie Verbeterde Beveiliging.
  • Een actief AWS-account met EC2-exemplaren.
  • Azure Arc voor servers die zijn geïnstalleerd op uw EC2-exemplaren.

U wordt aangeraden het proces voor automatische inrichting te gebruiken om Azure Arc te installeren op al uw bestaande en toekomstige EC2-exemplaren. Als u automatische provisioning van Azure Arc wilt inschakelen, hebt u Eigenaar-machtigingen nodig voor het relevante Azure-abonnement.

AWS Systems Manager beheert automatisch inrichten met behulp van de SSM-agent. Sommige Amazon Machine Images hebben de SSM Agent al geïnstalleerd. Als uw EC2-exemplaren de SSM-agent niet hebben, installeert u deze met behulp van een van de volgende instructies van Amazon:

  • SSM-agent installeren voor een hybride omgeving en een omgeving met meerdere clouds (Windows)
  • SSM-agent installeren voor een hybride omgeving en een omgeving met meerdere clouds (Linux)

Zorg ervoor dat uw SSM-agent het beheerde beleid AmazonSSMManagedInstanceCore heeft, waardoor de kernfunctionaliteit voor de AWS Systems Manager-service mogelijk is.

Als u Azure Arc handmatig wilt installeren op uw bestaande en toekomstige EC2-exemplaren, moet u de EC2-exemplaren verbinden met azure Arc-aanbeveling om exemplaren te identificeren waarop Azure Arc niet is geïnstalleerd.

Schakel deze andere extensies in op de met Azure Arc verbonden machines:

  • Microsoft Defender voor Eindpunt
  • Een oplossing voor evaluatie van beveiligingsproblemen (Beheer van bedreigingen en beveiligingsproblemen of Qualys)
  • De Log Analytics-agent op met Azure Arc verbonden machines of de Azure Monitor-agent

Zorg ervoor dat voor de geselecteerde Log Analytics-werkruimte een beveiligingsoplossing is geïnstalleerd. De Log Analytics-agent en de Azure Monitor-agent zijn momenteel geconfigureerd op abonnementsniveau. Al uw AWS-accounts en GCP-projecten onder hetzelfde abonnement nemen de abonnementsinstellingen voor de Log Analytics-agent en de Azure Monitor-agent over.

Defender for Servers wijst tags toe aan uw AWS-resources om het automatische inrichtingsproces te beheren. U moet deze tags correct aan uw resources hebben toegewezen, zodat Defender voor Cloud ze kan beheren: AccountId, Cloud, InstanceIden MDFCSecurityConnector.

Defender CSPM

Als u het Microsoft Defender Cloud Security Posture Management-plan kiest, hebt u het volgende nodig:

  • Een Azure-abonnement. Als u geen Azure-abonnement hebt, kunt u zich registreren voor een gratis abonnement.
  • U moet Microsoft Defender for Cloud inschakelen voor uw Azure-abonnement.
  • Verbind uw niet-Azure-machines en AWS-accounts.
  • Als u toegang wilt krijgen tot alle functies die beschikbaar zijn in het CSPM-abonnement, moet het abonnement worden ingeschakeld door de eigenaar van het abonnement.