Conectar ambientes de nuvem híbrida e multinuvem ao Microsoft Defender para Nuvem

  • 7 minutos

Conectar ambientes de nuvem híbrida e multinuvem ao Microsoft Defender para Nuvem é crucial para manter uma postura de segurança unificada em diversos cenários de TI. Com os servidores habilitados para Azure Arc para computadores que não são do Azure, o Conector de Nuvem Nativa e o Conector Clássico, você pode estender os recursos do Microsoft Defender para Nuvem para recursos que não são do Azure. Essa integração permite que você monitore, detecte e responda a ameaças de segurança de forma abrangente. Aqui, fornecemos uma visão geral informativa do processo, juntamente com requisitos detalhados para uma conexão bem-sucedida.

Conectar seus computadores que não são do Azure ao Microsoft Defender para Nuvem

O Microsoft Defender para Nuvem pode monitorar a postura de segurança de seus computadores que não são do Azure, mas primeiro você precisa conectá-los ao Azure.

Você pode conectar seus computadores que não são do Azure de qualquer uma das seguintes maneiras:

  • Integração com o Azure Arc:

    • Usando servidores habilitados para Azure Arc (recomendado)
    • Usando o portal do Azure

  • Integração diretamente com o Microsoft Defender para Ponto de Extremidade

Conectar computadores locais usando o Azure Arc

Um computador que tem servidores habilitados para Azure Arc se torna um recurso do Azure. Quando você instala o agente do Log Analytics nele, ele aparece no Defender para Nuvem com recomendações, como seus outros recursos do Azure.

Os servidores habilitados para Azure Arc fornecem recursos aprimorados, como habilitar políticas de configuração de convidado no computador e simplificar a implantação com outros serviços do Azure. Para obter uma visão geral dos benefícios dos servidores habilitados para Azure Arc, consulte operações de nuvem com suporte.

Para implantar o Azure Arc em um computador, siga as instruções no Início Rápido: Conectar computadores híbridos com servidores habilitados para Azure Arc.

Para implantar o Azure Arc em vários computadores em escala, siga as instruções em Conectar computadores híbridos ao Azure em escala.

As ferramentas do Defender para Nuvem para implantar automaticamente o agente do Log Analytics funcionam com computadores que executam o Azure Arc. No entanto, essa funcionalidade está atualmente em versão prévia. Ao conectar seus computadores usando o Azure Arc, use a recomendação relevante do Defender para Nuvem para implantar o agente e se beneficiar de toda a gama de proteções oferecidas pelo Defender para Nuvem:

  • O agente do Log Analytics deve ser instalado em seus computadores Azure Arc baseados em Linux
  • O agente do Log Analytics deve ser instalado em seus computadores do Azure Arc baseados no Windows

Conectar sua conta do AWS ao Microsoft Defender para Nuvem

As cargas de trabalho geralmente abrangem várias plataformas de nuvem. Os serviços de segurança de nuvem devem fazer o mesmo. O Microsoft Defender para Nuvem ajuda a proteger cargas de trabalho no Amazon Web Services (AWS), mas você precisa configurar a conexão entre eles e o Defender para Nuvem.

Se você estiver conectando uma conta do AWS conectada anteriormente usando o conector clássico, deverá removê-la primeiro. Usar uma conta do AWS conectada pelos conectores clássicos e nativos pode produzir recomendações duplicadas.

Pré-requisitos

Para concluir os procedimentos neste artigo, você precisa:

  • Uma assinatura do Microsoft Azure. Se você não tiver uma assinatura do Azure, poderá se inscrever para uma gratuita.
  • Configuração do Microsoft Defender para Nuvem em sua assinatura do Azure.
  • Acesso a uma conta do AWS.
  • Permissão de colaborador para a assinatura relevante do Azure e permissão de administrador na conta da AWS.

Defender para contêineres

Se você escolher o plano do Microsoft Defender para Contêineres, precisará:

  • Pelo menos um cluster do Amazon EKS com permissão para acessar o servidor de API do Kubernetes do EKS.
  • A capacidade de recurso para criar uma nova fila do serviço de fila única (SQS) da Amazon, o fluxo de entrega do Kinesis Data Firehose e o bucket do Amazon S3 na região do cluster.

Defender para SQL

Se você escolher o plano do Microsoft Defender para SQL, precisará:

  • Microsoft Defender para SQL habilitado na sua assinatura. Saiba como proteger seus bancos de dados.
  • Uma conta ativa do AWS, com instâncias EC2 executando o SQL Server ou o RDS (Serviço de Banco de Dados Relacional) Personalizado para SQL Server.
  • Azure Arc para servidores instalados nas suas instâncias EC2 ou RDS Custom para SQL Server.

Recomendamos que você use o processo de provisionamento automático para instalar o Azure Arc em todas as suas instâncias EC2 existentes e futuras. Para habilitar o provisionamento automático do Azure Arc, você precisa de permissão de Proprietário na assinatura relevante do Azure.

O SSM (AWS Systems Manager) gerencia o provisionamento automático usando o Agente SSM. Algumas Imagens da Amazon Machine já têm o Agente SSM pré-instalado. Se as instâncias do EC2 não tiverem o Agente SSM, instale-o usando estas instruções da Amazon: Instalar o Agente SSM para um ambiente híbrido e multinuvem (Windows).

Verifique se o agente do SSM tem a política gerenciada AmazonSSMManagedInstanceCore. Ele habilita a funcionalidade principal para o serviço AWS Systems Manager.

Habilite essas outras extensões nos computadores conectados ao Azure Arc:

  • Microsoft Defender para Endpoint
  • Uma solução de avaliação de vulnerabilidade (Gerenciamento de Ameaças e Vulnerabilidades ou Qualys)
  • O agente do Log Analytics em computadores conectados ao Azure Arc ou no agente do Azure Monitor

Verifique se o workspace do Log Analytics selecionado tem uma solução de segurança instalada. O agente do Log Analytics e o agente do Azure Monitor estão atualmente configurados no nível da assinatura. Todas as suas contas do AWS e os projetos do GCP (Google Cloud Platform) na mesma assinatura herdam as configurações de assinatura do agente do Log Analytics e do agente do Azure Monitor.

Defender para servidores

Se você escolher o plano do Microsoft Defender para Servidores, precisará:

  • Microsoft Defender para Servidores habilitado em sua assinatura. Saiba como habilitar planos em Habilitar recursos de segurança aprimorados.
  • Uma conta AWS ativa, com instâncias EC2.
  • Azure Arc para servidores instalados em suas instâncias EC2.

Recomendamos que você use o processo de provisionamento automático para instalar o Azure Arc em todas as suas instâncias EC2 existentes e futuras. Para habilitar o provisionamento automático do Azure Arc, você precisa de permissão de Proprietário na assinatura relevante do Azure.

O AWS Systems Manager gerencia o provisionamento automático usando o Agente SSM. Algumas Imagens da Amazon Machine já têm o Agente SSM pré-instalado. Se as instâncias do EC2 não tiverem o Agente SSM, instale-o usando uma das seguintes instruções da Amazon:

  • Instalar o Agente do SSM para um ambiente híbrido e multinuvem (Windows)
  • Instalar o SSM Agent para um ambiente híbrido e multinuvem (Linux)

Verifique se o agente do SSM tem a política gerenciada AmazonSSMManagedInstanceCore, que permite a funcionalidade principal para o serviço do AWS Systems Manager.

Se você quiser instalar manualmente o Azure Arc em suas instâncias EC2 existentes e futuras, use a recomendação de que as instâncias EC2 devem estar conectadas ao Azure Arc para identificar aquelas que não têm o Azure Arc instalado.

Habilite essas outras extensões nos computadores conectados ao Azure Arc:

  • Microsoft Defender para Endpoint
  • Uma solução de avaliação de vulnerabilidade (Gerenciamento de Ameaças e Vulnerabilidades ou Qualys)
  • O agente do Log Analytics em computadores conectados ao Azure Arc ou no agente do Azure Monitor

Verifique se o workspace do Log Analytics selecionado tem uma solução de segurança instalada. O agente do Log Analytics e o agente do Azure Monitor estão atualmente configurados no nível da assinatura. Todas as suas contas do AWS e projetos GCP na mesma assinatura herdam as configurações de assinatura do agente do Log Analytics e do agente do Azure Monitor.

O Defender para Servidores atribui marcas aos recursos do AWS para gerenciar o processo de provisionamento automático. Você deve ter essas marcas atribuídas corretamente aos seus recursos para que o Defender para Nuvem possa gerenciá-las: AccountId, Cloud, InstanceIde MDFCSecurityConnector.

CSPM do Defender

Se você escolher o plano de Gerenciamento de Postura do Microsoft Defender Cloud Security, precisará:

  • Uma assinatura do Azure. Se você não tiver uma assinatura do Azure, poderá se inscrever para uma assinatura gratuita.
  • Você deve habilitar o Microsoft Defender para Nuvem em sua assinatura do Azure.
  • Conecte seus computadores que não são do Azure, contas do AWS.
  • Para obter acesso a todos os recursos disponíveis no plano CSPM, o plano deve ser habilitado pelo Proprietário da Assinatura.