Wenn du deine Server vor Cyber-Bedrohungen schützen willst, so setzt du möglicherweise auf Defender for Servers von Microsoft, ein Leader im Gartner Magic Quadrant. Microsoft hat nun das direkte Onboarding von Defender for Servers ohne Azure Arc angekündigt und ist inzwischen offiziell verfügbar. Das direkte Onboarding ist eine neue Funktion, die es dir ermöglicht, die zu schützenden Server in Defender for Servers einzubinden, ohne Azure Arc for Servers zu benötigen. In diesem Blogbeitrag erkläre ich, was dies bedeutet, welche Vorteile diese Option bietet und wer davon profitieren kann. Ausserdem werde ich die neue Option mit Azure Arc for Servers vergleichen.
Defender for Servers
Defender for Servers ist ein Cloud-basierter Dienst, der Funktionen zur Erkennung von und Reaktion auf Bedrohungen für Windows- und Linux-Server bietet. Defender for Servers hilft dir, deine Server auf bösartige Aktivitäten zu überwachen, Angriffe zu erkennen und zu blockieren, Vorfälle zu untersuchen und auf Warnungen zu reagieren – egal ob Windows oder Linux. Defender for Servers ist Teil von Microsoft Defender for Cloud (ehem. Azure Security Center), zu dem beispielsweise auch Defender for Kubernetes, Defender for SQL und Defender for IoT gehören.
Um Defender for Servers nutzen zu können, müssen die zu schützenden Server in den Defender for Cloud miteingebunden werden. Das bedeutet, dass ein Agent auf den Servern zu installieren ist um diese mit dem Defender for Cloud zu verbinden. Zuvor war dafür Azure Arc for Servers erforderlich, ein Dienst, der als verlängerten Arm des Azure Resource Managers (ARM) die Azure-Verwaltung und -Sicherheit auf jeden beliebigen Server ausweitet. Mit Azure Arc for Servers kannst du deine Server so verwalten, als wären sie Azure-Ressourcen, unabhängig von Standort oder Plattform.
Einige Kunden möchten aber Azure Arc for Servers nicht für ihr Servermanagement verwenden. Das kann diverse Gründe haben, beispielsweise weil sie bereits andere Tools oder Prozesse im Einsatz haben, die sie nicht ablösen möchten. Oder sie haben Compliance- oder regulatorische Anforderungen, die sie daran hindern, Azure Arc for Servers zu verwenden. Mit der neuesten Ankündigung hat Microsoft auf das vielseitige Feedback der Kunden gehört und reagiert. Für die Kunden, welche nicht Azure Arc einsetzen möchten, hat Microsoft eine neue Option eingeführt: Defender for Servers direct Onboarding. Mit dieser Option können On-Premises oder Multi-Cloud Server direkt eingebunden werden, ohne Azure Arc for Servers zu benötigen. Die bisher bestandene, bedingungslose Abhängigkeit von Azure Arc wurde dadurch aufgehoben. Doch was sind eigentlich die effektiven Vorteile aus dieser neuen Option?
Vorteile von direct onboarding ohne Azure Arc
Der Hauptvorteil dieser Option liegt wohl auf der Hand. Er besteht darin, dass der Onboarding-Prozess vereinfacht und die Abhängigkeiten und Voraussetzungen reduziert sind. Du brauchst den Agenten von Azure Arc for Servers nicht auf den Servern zu installieren und konfigurieren, wodurch du Zeit und Ressourcen sparen kannst. Du brauchst daher auch keine Azure-Ressourcengruppen oder Tags für deine Server zu erstellen und zu verwalten. Im Allgemeinen musst du dich nicht oder weniger mit deiner Azure Covernance auseinandersetzen und entsprechend weniger an Strukturen für das erfolgreiche Onboarding vorbereiten.
Ein weiterer Vorteil des direct onboarding ist, dass du mehr Flexibilität und Wahlmöglichkeiten hast, wie du deine Server verwalten und sichern möchtest. Denn du kannst Defender for Servers mit direct onboarding zusammen mit anderen Tools oder Diensten von Microsoft oder Drittanbietern nutzen. Beispielsweise kannst du weiterhin System Center Configuration Manager (SCCM) oder Windows Server Update Services (WSUS) für das Patchen der Server verwenden, während Defender for Servers für den Schutz vor Bedrohungen zuständig ist. Das Onboarding über Azure Arc hat diese Flexibilität zwar ebenfalls erlaubt, doch musste das Tool bedingungslos als Basis für das Onboarding zum Defender for Servers konfiguriert werden. Hier ist also wieder auf den ersten, den Hauptvorteil zu verweisen.
Das offizielle Announcement von Microsoft findest du unter diesem Link.
Doch wie ist nun das direkte Onboarding von Defender for Servers ohne Azure Arc im Vergleich zu Azure Arc for Servers?
Vergleich zum Onboarding mit Azure Arc
Zwar ist direct Onboarding von Defender for Servers ohne Azure Arc eine bequeme und flexible Option, doch bietet sie klar nicht die gleichen Verwaltungs- und Sicherheitsfunktionen, wie Azure Arc for Servers das tut. Mit Azure Arc for Servers können nämlich durch die im Azure Portal vorhandene Azure Arc Ressource (Server) Cloud-native Tools und Verwaltungsfunktionen eingesetzt werden. Darunter fallen beispielsweise Funktionen wie Update-Management, Inventarisierung, Konfigurationsabweichungen und Azure Policies zur Sicherstellung der Compliance-Vorschriften. Mit diesen Funktionen kannst du entsprechend sicherstellen, dass die Server korrekt konfiguriert sind, regelmässig gepatcht werden und mit den von der Unternehmung vorgegebenen Richtlinien und Standards übereinstimmen. Ebenfalls helfen dir die Cloud-native Tools deine Kosten und Risiken zu reduzieren, indem du die Serverleistung und Sicherheitslage optimierst und möglichst automatisierst.
Darüber hinaus kannst du mit Azure Arc for Servers Azure-Dienste nutzen, die eine Azure-Ressourcenidentität und -Metadaten erfordern. So kannst du beispielsweise Metriken und Protokolle von deinen Servern analysieren und mit Azure Monitor überwachen. Der Defender for Cloud liefert dir dann zudem Vorschläge zur Verbesserung der Systemsicherheit, sowie Warnungen zu Fehlkonfigurationen. Mit Azure Backup schützt du zudem ganz einfach deine Server und Daten, und automatisierst Verwaltungsaufgaben mit Azure Automation, Logic Apps & Azure Functions. All diese Funktionen bleiben dir mit dem direct onboarding vorenthalten, aufgrund der fehlenden Azure Ressource.
Das Onboarding über Azure Arc ist somit für mich weiterhin die zu bevorzugende Variante, da sie viele Vorteile und Möglichkeiten mit sich bringt. Ich bevorzuge diese Variante, selbst wenn diese Vorteile von einer Organisation noch nicht genutzt werden möchten. Doch über das Arc Onboarding ist die Basis dafür bereits geschaffen.
Für wen also ist das direct Onboarding von Defender for Servers ohne Azure Arc geeignet?
Szenarien für direct Onboarding ohne Azure Arc
Die Option des direct Onboarding ohne Azure Arc kann für Organisationen von Vorteil sein, die sich in einem der folgenden Punkte wiederfinden:
- Die Organisation hat nur eine kleine Anzahl von Servern, die mit Defender for Servers geschützt werden sollen, nicht aber von weiteren Cloud-native Services profitieren möchte.
- Die Organisation hat bereits bestehende Tools und entsprechende Prozesse für die Verwaltung der Server. Diese Tools und Prozesse sind von strategischer Relevanz und sollen auch in Zukunft nicht abgelöst werden.
- Die Organisation hat Compliance-Anforderungen oder gesetzliche Vorschriften, mit welchen Azure Arc for Servers nicht konform ist und der Einsatz somit verhindert wird.
- Die Organisation möchte Defender for Servers ausprobieren und testen, sich aber noch nicht mit Azure Arc for Servers auseinandersetzen.
- Die Organisation hat sich strategisch dagegen entschieden, Cloud Plattformen zu verwenden wie Azure, möchte aber trotzdem Defender for Server zum Schutz der Server einsetzen.
Schlussfolgerung
Defender for Servers direct Onboarding ohne Azure Arc ist eine neue Funktion von Microsoft, mit der du deine Server in Defender for Servers einbinden kannst, ohne Azure Arc for Servers einzusetzen. Diese Option vereinfacht den Onboarding-Prozess und gibt dir mehr Flexibilität und Wahlmöglichkeiten, wie du deine Server verwalten und sichern kannst. Die von Microsoft neu veröffentlichte Option bietet jedoch nicht das gleiche Mass an Verwaltungs- und Sicherheitsfunktionen wie Azure Arc for Servers, das nach meinem Ermessen nach wie vor die empfohlene Methode für die Verwaltung und Sicherung deiner Hybrid- und Multi-Cloud-Server ist.
German 
English