Prisma Cloud Compute: Agentenloses Scannen in Azure mit benutzerdefinierten Netzwerkressourcen (benutzerdefinierte Subnetz-ID und Sicherheitsgruppe)
7475
Created On 11/13/23 08:21 AM - Last Modified 12/19/23 05:21 AM
Objective
- In diesem Artikel werden die Überprüfung ohne Agent in Azure mit benutzerdefinierten Netzwerkressourcen (benutzerdefinierte Subnetz-ID und Sicherheitsgruppe) und die erforderlichen Berechtigungen beschrieben.
Environment
- Prisma Cloud Compute Edition
- Saas
- Selbst gehostet
- Azure
Procedure
Bei der Konfiguration der Überprüfungen ohne Agent für Azure in Prisma können bestimmte Subnetze oder Sicherheitsgruppen (SGs) für den Überprüfungsprozess festgelegt werden. Die Scanner übernehmen die Konfigurationseinstellungen des angegebenen Subnetzes/SG. Sie wird jedoch durch die Ressource mit dem Namen "prismacloud-scan-XXXXXXXXXXX" identifiziert.
Konfigurationsprozess:
- In der Azure-Umgebung werden die bereitgestellten benutzerdefinierten Netzwerkressourcen nicht direkt für die Überprüfung ohne Agent verwendet.
- Dies liegt an der aktuellen Einschränkung, nur einen einzelnen Bezeichner für Subnetz/Sicherheitsgruppe zu unterstützen, und Azure verbietet identische Subnetz-/Sicherheitsgruppennamen innerhalb derselben Ressourcengruppe.
- Folglich kann nicht davon ausgegangen werden, dass das angegebene Subnetz/die angegebene Sicherheitsgruppe in jeder Region vorhanden ist.
- Um dieses Problem zu beheben, werden Netzwerkressourcen mit der gleichen Konfiguration wie die bereitgestellten Ressourcen unter der Ressourcengruppe Prisma Agentless erstellt und als "prismacloud-scan-XXXXXXXXXX" identifiziert.
Erstellung von Netzwerkressourcen:
- Prisma ergreift die Initiative, um neue Subnetze und Sicherheitsgruppen zu erstellen, auch wenn Sie sich für eine benutzerdefinierte Netzwerkkonfiguration über die Prisma-Benutzeroberfläche entscheiden.
- Dieser Ansatz gewährleistet die Konsistenz und Einhaltung der gewünschten Konfiguration.
- Die neu erstellten Netzwerkressourcen spiegeln die bereitgestellten Ressourcen mit der Prisma Cloud Agentless Kennung "prismacloud-scan-XXXXXXXXXX" wider.
Anforderungen an die Berechtigungen:
- Trotz der Auswahl benutzerdefinierter Netzwerkressourcen über die Prisma-Benutzeroberfläche ist es wichtig zu beachten, dass nicht obligatorische Berechtigungen , die in der Dokumentation zu Azure Agentless Permissions beschrieben sind, weiterhin für die erfolgreiche Ausführung von Überprüfungen ohne Agent in Azure mit benutzerdefinierten Netzwerkressourcen erforderlich sind.
|
Berechtigungen
|
Zweck
|
| Microsoft.Network/networkInterfaces/write | Erstellen der Netzwerkschnittstelle der Scannerinstanz |
| Microsoft.Network/networkInterfaces/delete | Löschen der Netzwerkschnittstelle der Scannerinstanz |
| Microsoft.Network/NetzwerkSecurityGroups/schreiben | Erstellen der Sicherheitsgruppe für die Scannerinstanz |
| Microsoft.Network/networkSecurityGroups/delete | Löschen der Sicherheitsgruppe der Scannerinstanz |
| Microsoft.Network/virtualNetworks/write | Erstellen des Scannerinstanznetzwerks |
| Microsoft.Network/virtualNetworks/delete | Löschen des Scanner-Instanznetzwerks |
Additional Information
Im Folgenden finden Sie ein Beispiel für die Überprüfung ohne Azure-Agent mit benutzerdefinierter Sicherheitsgruppe und
Subnetz-ID.Azure-Konfiguration:
- Um den Prozess einer Azure Agentless-Überprüfung mit benutzerdefinierter Sicherheitsgruppe und Subnetz-ID für Azure zu veranschaulichen, verwenden wir benutzerdefinierte Sicherheitsgruppen und Subnetz-IDs in der PCCAgentlessScanResourceGroup. Dies ist die Standardressourcengruppe für den Prisma Agentless-Scan. Beachten Sie, dass Kunden in einem realen Szenario möglicherweise über die benutzerdefinierte Sicherheitsgruppe und Subnetz-ID in verschiedenen Ressourcengruppen verfügen.
- Azure-Subnetz-ID, die für Agentless verwendet werden soll:
- Die Azure-Sicherheitsgruppe, die für Agentless verwendet werden soll, lautet:
Prisma-Konfiguration:
- Konfigurieren Sie Azure Agentless Scan in Prisma im Abschnitt "Netzwerkressourcen" unter Verwendung der bereitgestellten Subnetz-ID und Sicherheitsgruppe.
- Scan-Modi:
- Gleiches Konto: Für jedes Konto ist eine Netzwerkinfrastruktur erforderlich. Wenn Sie benutzerdefinierte Netzwerkressourcen verwenden, müssen Sie die Netzwerkinfrastruktur in jeder Region und in jedem Konto erstellen
- Hub-Konto : Die Netzwerkinfrastruktur ist nur für das Hub-Konto erforderlich. Wenn Sie benutzerdefinierte Netzwerkressourcen verwenden, müssen Sie nur die Netzwerkinfrastruktur in allen Regionen des Hubkontos erstellen.
Agentenlose Scan-Ausführung:
- Sobald der agentenlose Scaninitiiert wurde, erstellt Prisma alle Ressourcen unter der Ressourcengruppe mit dem Namen "PCCAgentlessScanResourceGroup"
- Bei der Überwachung dieser Azure-Ressourcengruppe werden alle Ressourcen, die für Agentless in Azure erstellt wurden, und ihre jeweiligen Status angezeigt.
- Trotz des Erstellens benutzerdefinierter Ressourcen in Azure generiert Prisma neue Ressourcen für Netzwerksicherheitsgruppen und virtuelle Netzwerke, anstatt vorhandene Ressourcen direkt zu verwenden, wie in der Prisma-Benutzeroberfläche für die Überprüfung ohne Agent konfiguriert. Ressourcen, die mit dem Namen "prismacloud-scan-XXXXXXXXXXX" erstellt wurden, richten die Konfiguration jedoch anhand der Einstellungen des konfigurierten benutzerdefinierten Subnetzes/SG ein.
Von Prisma Agentless erstellte Ressourcen:
- Das virtuelle Netzwerk (mit dem Namen prismacloud-scan-XXXXXXXXXXX) verfügt über die gleiche Konfiguration wie das benutzerdefinierte virtuelle Netzwerk mit dem Subnetz 10.0.0.0/24:
- Das Subnetz 10.0.0.0/24 der benutzerdefinierten Subnetz-ID wird unter den Prisma Agentless-Ressourcen zum Scannen verwendet.
- Die Netzwerksicherheitsgruppe, die für Agentless erstellt wurde, hat die gleiche Konfiguration wie die benutzerdefinierte Sicherheitsgruppe: