Prisma Cloud Compute : analyse sans agent dans Azure avec des ressources réseau personnalisées (ID de sous-réseau personnalisé et groupe de sécurité)
7475
Created On 11/13/23 08:21 AM - Last Modified 12/19/23 05:19 AM
Objective
- Cet article décrit l’analyse sans agent dans Azure avec des ressources réseau personnalisées (ID de sous-réseau personnalisé et groupe de sécurité) et les autorisations requises.
Environment
- Prisma Cloud Compute Edition
- Saas
- Auto-hébergé
- Azure
Procedure
Lors de la configuration de l’analyse sans agent pour Azure dans Prisma, des sous-réseaux ou des groupes de sécurité (SG) spécifiques peuvent être désignés pour le processus d’analyse. Les analyseurs adoptent les paramètres de configuration du sous-réseau/SG spécifié. Cependant, il est identifié par la ressource nommée « prismacloud-scan-XXXXXXXXXXX ».
Processus de configuration :
- Dans l’environnement Azure, les ressources réseau personnalisées fournies ne sont pas directement utilisées pour l’analyse sans agent.
- Cela est dû à la limitation actuelle de la prise en charge d’un seul identificateur pour le sous-réseau/groupe de sécurité, et Azure interdit d’avoir des noms de sous-réseau/groupe de sécurité identiques au sein du même groupe de ressources.
- Par conséquent, on ne peut pas supposer que le sous-réseau/groupe de sécurité spécifié existera dans toutes les régions.
- Pour résoudre ce problème, les ressources réseau sont créées avec la même configuration que les ressources fournies dans le groupe de ressources Prisma Agentless et identifiées comme « prismacloud-scan-XXXXXXXXXX ».
Création de ressources réseau :
- Prisma prend l’initiative de créer de nouveaux sous-réseaux et groupes de sécurité, même en optant pour une configuration réseau personnalisée via l’interface utilisateur de Prisma.
- Cette approche permet d’assurer la cohérence et le respect de la configuration souhaitée.
- Les ressources réseau nouvellement créées reflètent les ressources fournies avec l’identifiant Prisma Cloud Agentless « prismacloud-scan-XXXXXXXXXX ».
Exigences en matière d’autorisations :
- Malgré la sélection de ressources réseau personnalisées via l’interface utilisateur de Prisma, il est important de noter que les autorisations non obligatoires décrites dans la documentation sur les autorisations sans agent Azure sont toujours nécessaires pour l’exécution réussie des analyses sans agent dans Azure avec des ressources réseau personnalisées.
|
Autorisations
|
But
|
| Microsoft.Network/networkInterfaces/write | Créer l’interface réseau de l’instance de l’analyseur |
| Microsoft.Network/networkInterfaces/delete | Supprimer l’interface réseau de l’instance de l’analyseur |
| Microsoft. Network/Networksecuritygroupes/Write | Créer le groupe de sécurité d’instance de l’analyseur |
| Microsoft.Network/networkSecurityGroups/delete | Supprimer le groupe de sécurité d’instance de l’analyseur |
| Microsoft.Network/virtualNetworks/write | Créer le réseau d’instances de l’analyseur |
| Microsoft.Network/virtualNetworks/delete | Supprimer le réseau d’instances de l’analyseur |
Additional Information
Voici l’exemple d’analyse sans agent Azure avec un groupe de sécurité personnalisé et un ID de sous-réseau.Configuration Azure :Here is the example of Azure Agentless Scan with Custom Security Group and Subnet
ID.Azure Configuration :
- Pour illustrer le processus d'une analyse sans agent Azure avec un groupe de sécurité et un ID de sous-réseau personnalisés pour Azure, nous allons utiliser un groupe de sécurité et un ID de sous-réseau personnalisés dans PCCAgentlessScanResourceGroup. Il s’agit du groupe de ressources par défaut pour l’analyse sans agent Prisma. Notez que dans un scénario réel, les clients peuvent disposer du groupe de sécurité et de l’ID de sous-réseau personnalisés dans différents groupes de ressources.
- Azure Subnet ID to be used for Agentless:
- Le groupe de sécurité Azure à utiliser pour Agentless est le suivant :
Configuration de Prisma :
- Configurez l’analyse sans agent Azure dans Prisma à l’aide de la section « Ressources réseau » à l’aide de l’ID de sous-réseau et du groupe de sécurité fournis.
- Modes de balayage :
- Même compte : une infrastructure réseau est requise sur chaque compte. Si vous utilisez des ressources réseau personnalisées, vous devez créer l’infrastructure réseau dans chaque région et dans chaque compte
- Compte Hub : l’infrastructure réseau n’est requise que sur le compte Hub. Si vous utilisez des ressources réseau personnalisées, il vous suffit de créer l’infrastructure réseau dans toutes les régions du compte hub.
Exécution de l’analyse sans agent :
- Une fois l’analyse sans agentlancée, Prisma crée toutes les ressources sous le groupe de ressources nommé « PCCAgentlessScanResourceGroup »
- La surveillance de ce groupe de ressources Azure révèle toutes les ressources créées pour Agentless sur Azure et leurs états respectifs.
- Malgré la création de ressources personnalisées dans Azure, Prisma génère de nouvelles ressources pour les groupes de sécurité réseau et les réseaux virtuels au lieu d’utiliser directement les ressources existantes, comme configuré dans l’interface utilisateur de Prisma pour l’analyse sans agent. Toutefois, les ressources créées avec le nom « prismacloud-scan-XXXXXXXXXXX » établissent la configuration à l’aide des paramètres du sous-réseau/SG personnalisé configuré.
Ressources créées par Prisma Agentless :
- Le réseau virtuel (nommé prismacloud-scan-XXXXXXXXXXX) a la même configuration que le réseau virtuel personnalisé avec le sous-réseau 10.0.0.0/24 :
- Le sous-réseau 10.0.0.0/24 de l’ID de sous-réseau personnalisé est utilisé sous les ressources Prisma Agentless pour l’analyse.
- Le groupe de sécurité réseau créé pour Agentless a la même configuration que le groupe de sécurité personnalisé :