Open in app

Sign in

Write

Sign in

MS Defender for Cloud的非Azure產品

Microsoft Defender for Cloudu也可以針對非微軟產品進行監控與保護,像是AWS、GCP與地端機房等。

保護非Azure資源

現今,組織要控制和管理日益複雜的環境。這些環境跨越多個資料中心、多個雲端和邊緣。每個環境和雲端都擁有自己的一套管理工具,而IT部門需要學習和操作這些工具。

同時,新的 DevOps 和 ITOps 維運模式很難實施,因為現有工具無法為新的雲端原生模式提供支援。

Azure Arc 透過提供一致性的多雲和地端管理平台來簡化治理和管理。 Azure Arc 能夠:

  • 透過將現有的非 Azure、地端或其他雲端資源投放到 Azure Resource Manager中,使用單一管理平台管理整個環境。
  • 管理VM、K8S cluster和資料庫,就像它們在 Azure 中運作一樣。
  • 使用熟悉的 Azure 服務和管理功能,無論資源身在何處。
  • 繼續使用傳統的 ITOps,同時引入 DevOps 實踐以支援環境中的新雲端原生模式。
  • 將自訂位置配置為啟用 Azure Arc 的K8S cluster、cluster connect與 cluster extensions之上的抽象層。

Azure Arc 可管理 Azure 外部託管的下列資源類型:

  • Servers — Windows 或 Linux 的實體機和虛擬機器
  • K8S cluster — 支援多個 Kubernetes 版本
  • Azure data services — Azure SQL Managed Instance and PostgreSQL Hyperscale services
  • SQL server — 使用Azure Arc-enabled servers上的 SQL Server 從任何位置enroll instances

連接非Azure的機器

透過以下任一方式連接非 Azure 機器:

  • Using Azure Arc enabled servers (建議)
  • From Defender for Cloud’s pages in the Azure portal (Getting started and Inventory)

支援 Azure Arc 的伺服器是將非 Azure 機器新增至 Defender for Cloud 的首選方式。具有啟用了 Azure Arc 的伺服器的機器將成為 Azure 資源,並顯示在 Defender for Cloud 中,並提供與其他 Azure 資源相同的建議。此外,支援 Azure Arc 的伺服器提供了增強的功能,例如在電腦上啟用guest configuration policies的選項、將 Log Analytics agent部署為extension、簡化其他 Azure 服務的部署等等。

甚麼是Azure Arc enabled servers?

支援 Azure Arc 的伺服器可管理託管在 Azure 外部、公司網路或其他CSP上的 Windows 和 Linux server,就像管理 Azure VM一樣。每台連接的server都有一個resource ID,包含在資源群組中,並受益於standard Azure constructs(例如 Azure Policy and applying tags)。管理地端基礎設施的SI可以使用 Azure Lighthouse 和 Azure Arc 跨多個客戶環境管理其混合機器,就像他們現在使用原生Azure 資源一樣。

為了在 Azure 外部託管的混合電腦上提供這種體驗,需要在計劃連接到 Azure 的每台電腦上安裝 Azure Connected Machine agent。此agent不提供任何其他功能,並且不會取代 Azure Log Analytics agent。當想要主動監視電腦上執行的作業系統和工作負載時,需要適用於 Windows 和 Linux 的 Log Analytics agent。然後,可以使用自動化運行手冊、更新管理等解決方案來管理server,或使用 Defender for Cloud 等其他 Azure 服務。

加入非Azure資源進到Azure portal

  1. From Defender for Cloud’s menu, open the Getting started page.
  2. Select the Get started tab.
  3. Below Add non-Azure servers, select Configure.
  4. From Defender for Cloud’s menu, open the Inventory page.
  5. Select the + Add non-Azure servers button.

Log Analytics workspaces清單將會有資料顯示。此清單包括(如果適用)啟用auto provisioning時 Defender for Cloud 會建立的預設workspace。選擇要使用的workspace。

從工作區清單中,選擇相關工作區的「Add Servers」。將出現Agents management頁面。從這裡,根據要加入的機器類型選擇以下相關程序:

  • Onboard your Azure Stack VMs
  • Onboard your Linux machines
  • Onboard your Windows machines

加入Azure Stack VMs

要新增 Azure Stack VM,需要Agents management頁面上的資訊,並在 Azure Stack 上執行的虛擬機器上配置 Azure Monitor, Update 與Configuration Management virtual machine extension。

  1. 從Agents management頁面,將Workspace ID and Primary Key複製到記事本中。
  2. 登入 Azure Stack portal並開啟「虛擬機器」頁面。
  3. 選擇要使用 Defender for Cloud 保護的虛擬機器。
  4. 選擇Extensions。顯示該虛擬機器上安裝的虛擬機器Extensions清單。
  5. 選擇Add tab。新資源選單顯示可用VM extensions。
  6. 選擇 Azure Monitor、Update and Configuration Management extension,然後選擇「Create」。將開啟Install extension configuration頁面。
  7. 在Install extension configuration頁面上,貼上在記事本中的Workspace ID 與Workspace Key (Primary Key)。
  8. 完成配置後,選擇「OK」。extension的狀態將顯示為Provisioning Succeeded。虛擬機器可能最多需要一小時才會出現在 Defender for Cloud 中。

加入Linux server

需要Agents management頁面使用 WGET 命令。

  1. 從Agents management頁面,將 WGET 指令複製到記事本。將此檔案儲存到可從 Linux 電腦存取的位置。
  2. 在 Linux 電腦上,使用 WGET 指令開啟該檔案。選擇整個內容並將其複製並貼上到terminal console中。
  3. 安裝完成後,可以透過執行 [pgrep] 命令來驗證 omsagent 是否已安裝。該指令將傳回 omsagent PID。Agent的日誌可在以下位置找到: /var/opt/microsoft/omsagent/workspace id/log/ 新 Linux 電腦可能需要長達 30 分鐘才會出現在 Defender for Cloud 中。

加入Windows server

需要閱讀Agents management頁面上的資訊並下載相應的agent檔案(32/64位元)。

  1. 選擇適用於電腦處理器類型的下載 Windows agent連結以下載安裝檔
  2. 從Agents management頁面,將Workspace ID and Primary Key複製到記事本中。
  3. 將下載的安裝檔案複製到目標電腦並執行。
  4. 請依照安裝精靈進行操作(下一步、我同意、下一步、下一步)。
  5. 在 Azure Log Analytics 頁面上,將複製的Workspace ID and Primary Key貼上到記事本中。
  6. 如果電腦需要透過proxy server與 Log Analytics 服務進行通訊,請選擇「Advanced」並提供proxy server的 URL 和port number。
  7. 輸入所有配置設定後,選擇“下一步”。
  8. 在「準備安裝」頁面中,查看要套用的設定並選擇「安裝」。
  9. 在「配置成功完成」頁面上,選擇「完成」。

完成後,Microsoft Monitoring agent將出現在控制面板中。可以在那裡檢查配置並驗證agent是否已連接。

連接AWS

將AWS account加入 Microsoft Defender for Cloud,整合 AWS Security Hub 和 Defender for Cloud。因此,Defender for Cloud 提供這兩個雲端環境的可見性和保護,以提供:

  • Automatic agent provisioning(Defender for Cloud 使用 Azure Arc 將 Log Analytics agent部署到 AWS instances)
  • Policy management
  • Vulnerability management
  • Embedded Endpoint Detection and Response (EDR)
  • Detection of security misconfigurations
  • 顯示 Defender for Cloud recommendations 與AWS Security Hub findings的單一視圖
  • 將 AWS resource納入 Defender for Cloud 的secure score計算中
  • 對 AWS 資源進行監管合規性評估

在下面的圖示中,可以看到安全中心的概述儀表板中顯示的 AWS account。

建AWS Security Hub:
若要檢視多個region的安全建議,請對每個相關region重複以下步驟。如果使用的是 AWS 主帳號,請重複以下三個步驟來配置主帳號以及所有相關區域的所有連接的成員帳號。

  1. Enable AWS Config.
  2. Enable AWS Security Hub.
  3. Verify that there’s data flowing to the Security Hub.

首次啟用 Security Hub 時,可能需要一段時間才能獲得資料。

在 AWS 中設定security center的身份驗證:
有兩種方法讓 Defender for Cloud 向 AWS 進行驗證:

  • 為 Defender for Cloud 建立 IAM role— 這是最安全的方法,建議用這個方式
  • Defender for Cloud 的 AWS user — 如果未啟用 IAM,但這是一個不太安全的方式

建立Defender for Cloud的AWS IAM role:

  1. 選擇Roles並建立角色
  2. 選擇另一個 AWS account
  3. 輸入以下詳細資訊:
    — Account ID — 輸入 Microsoft Account ID (158177204117),如security center的 AWS connector頁面中所示
    — Require External ID— 應選擇
    — External ID — 輸入security center AWS connector頁面中顯示的subscription ID
  4. 選擇下一步
  5. 在Attach permission policies中選擇以下的policies
    — SecurityAudit
    — AmazonSSMAutomationRole
    — AWSSecurityHubReadOnlyAccess
  6. 可以選擇新增標籤。為使用者新增標籤不會影響連線。
  7. 選擇下一步。
  8. 在Roles清單中,選擇建立的角色
  9. 儲存 ARN 以供稍後使用

跨 AWS 資源自動執行作業需要 AWS Systems Manager。如果 EC2 instance SSM agent,請依照 Amazon 的相關說明進行操作

確保註冊了適當的 Azure resources providers:

  • Microsoft.HybridCompute
  • Microsoft.GuestConfiguration

建立用於大規模註冊的Service Principal。作為要用於加入的訂閱的擁有者,為 Azure Arc 加入建立Service Principal。

連接到Defender for Cloud

從 Defender for Cloud 的選單中,選擇Security solutions,然後選擇Multi cloud connectors。選擇Add AWS account。配置 AWS authentication tab中的選項:

  1. 輸入連接器的顯示名稱
  2. 確認訂閱是否正確。該訂閱將包含connector和 AWS Security Hub recommendations
  3. 根據在步驟 2. 在 AWS 中為安全中心設定authentication中選擇的身份驗證選項:
    選擇t Assume Role並貼上為security center建立 IAM 角色中的 ARN。將 ARN 檔案貼到 Azure portal中 AWS 連線精靈的相關欄位中
    或者
    選擇Credentials並貼上在為security center建立 AWS 使用者中儲存的 .csv 檔案中的 access key與secret key。
  4. 下一步
  5. 配置 Azure Arc Configuration tab中的選項:
  • Defender for Cloud 發現連接的 AWS account中的 EC2 instance,並使用 SSM 將它們載入到 Azure Arc。
  • 選擇發現的 AWS EC2 將在所選訂閱中加入的資源群組和 Azure 區域。
  • 依照此處所述輸入 Azure Arc 的Service Principal的 ID 和Client Secret來建立Service Principal以進行大規模加入機器
  • 如果機器透過 proxy server連接到internet,請指定 proxy server IP 位址或機器用於與 proxy server通訊的名稱和port number。

最後選擇Review + create。Tags部分將列出為每個已加入的 EC2 自動建立的所有 Azure Tags及其自身的相關詳細資訊,以便在 Azure 能識別它。

成功建立connector並正確配置 AWS Security Hub 後:

  • Defender for Cloud 掃描環境中的 AWS EC2 instance,將它們加入 Azure Arc,使其能夠安裝 Log Analytics agent並提供威脅防護和安全建議。
  • ASC 服務每 6 小時掃描一次新的 AWS EC2 instance,並根據配置載入它們。
  • AWS CIS standard將顯示在 Defender for Cloud 的regulatory compliance dashboard。
  • 如果啟用 Security Hub policy,recommendations將在將機器加入完成後 5–10 分鐘顯示在 Defender for Cloud portal與regulatory compliance dashboard中。

連接GCP

將 GCP 帳號加入 Microsoft Defender for Cloud,可以整合 GCP Security Command center(以下簡稱SCC)和 Defender for Cloud。因此,Defender for Cloud 提供這兩個雲端環境的可見性和保護,以提供:

  • 偵測安全錯誤配置
  • 顯示 Defender for Cloud recommendations和 GCP SCC 調查結果的單一視圖
  • 將 GCP 資源納入 Defender for Cloud 的secure score計算中
  • 將基於 CIS 標準的 GCP SCC recommendations 整合到 Defender for Cloud 的regulatory compliance dashboard

在下面的圖示中,可以看到 Defender for Cloud 的概述儀表板中顯示的 GCP project。

建立GCP cloud connector

對於組織中的所有 GCP projects,還必須:

  • 使用 GCP 文件中的這些說明設定 GCP SCC
  • 使用 GCP 文件中的這些說明啟用Security Health Analytics
  • 驗證是否有資料流向SCC

連接 GCP 環境進行安全設定的說明遵循 Google 關於使用security configuration recommendations的建議。此整合使用 Google SCC,將消耗更多資源,會讓費用增加。首次啟用Security Health Analytics時,可能需要幾個小時才能獲得資料

啟用GCP SCC API

  1. 從 Google 的 Cloud Console API Library中,選擇要連接到 Azure Security Center的project。
  2. 在 API Library中,找到並選擇 Security Command Center API
  3. 在 API 頁面上,選擇啟用

為security configuration整合建立專用service account

  1. 在 GCP Console 中,選擇要連線到security center的project。
  2. 在導覽功能表中的” IAM and Admin”選項下,選擇服service account。
  3. 選擇建立service account。
  4. 輸入帳戶名,然後選擇建立。
  5. 將角色指定為Role as Security Center Admin Viewer,然後選擇繼續。
  6. 授予使用者對此service account的存取權限部分是optional。選擇完成。
  7. 複製建立的service account的email value,並儲存以供以後使用。
  8. 在導覽功能表中的”IAM and Admin”選項下,選擇 IAM
  9. 切換到organization level。
  10. 選擇新增。
  11. 在新成員欄位中,貼上先前複製的email values。
  12. 將角色指定為 Security Center Admin Viewer,然後選擇儲存。

為專用service account建立private key

切換到porject level

  1. 在導覽功能表中的 “IAM 和Admin”選項下,選擇service account。
  2. 開啟專用service account並選擇編輯。
  3. 在“Key”部分中,選擇“ADD KEY”,然後選擇“Create new key”。
  4. 在Create new key畫面中,選擇 JSON,然後選擇建立。
  5. 儲存此 JSON 檔案以供以後使用。

將GCP連接到Defender for Cloud

  1. 從 Defender for Cloud 的選單中,選擇Cloud connectors。
  2. 選擇新增 GCP account。
  3. 在onboarding頁面上,執行以下操作,然後選擇「下一步」。
  4. 驗證所選訂閱。
  5. 在顯示名稱欄位中,輸入連接器的顯示名稱。
  6. 在組織 ID 欄位中,輸入組織 ID。
  7. 在Private key file box中,瀏覽到下載的 JSON 檔案。為專用service account建立private key。

成功建立連接器並且已正確配置 GCP SCC後:

  • GCP CIS 標準將顯示在 Defender for Cloud 的regulatory compliance dashboard中。
  • 加入完成後 5–10 分鐘,針對 GCP 資源的安全建議將顯示在Security Center和regulatory compliance dashboard中
資安
雲端運算

--

--

運用"雲端服務"加速企業的數位轉型願景
運用"雲端服務"加速企業的數位轉型願景

Written by 運用"雲端服務"加速企業的數位轉型願景

405 Followers
1 Following

我們協助您駕馭名為"雲端運算"的怪獸,馴服它為您所用。諮詢請來信jason.kao@suros.com.tw. https://facebook.com/jason.kao.for.cloud

No responses yet

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams