Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die Internet-Expositions-Analyse ist eine entscheidende Funktion, die Organisationen dabei hilft, zu erkennen, welche Cloud-Ressourcen absichtlich oder unbeabsichtigt dem öffentlichen Internet ausgesetzt sind und die Behebung basierend auf dem Risiko und dem Zusammenhang dieser Exposition zu priorisieren.
Defender for Cloud verwendet die Internetexposition, um die Risikostufe Ihrer Fehlkonfigurationen zu bestimmen und hochwertige Statuseinblicke in Angriffspfade, risikobasierte Statusbewertungen und Signalpriorisierungen im Defender for Cloud-Status zu ermöglichen.
So erkennt Defender for Cloud internetexposition
Defender für Cloud ermittelt, ob eine Ressource im Internet verfügbar gemacht wird, indem beide analysiert werden:
- Steuerungsebenenkonfiguration (z. B. öffentliche IPs, Lastenausgleichsgeräte)
- Netzwerkpfad-Reichweite (Analysieren von Routing-, Sicherheits- und Firewallregeln)
Das Erkennen der Internetexposition kann so einfach sein, wie zu überprüfen, ob ein virtueller Computer (VM) eine öffentliche IP-Adresse hat. Der Prozess kann jedoch auch komplexer sein. Defender for Cloud versucht, in komplexen Multicloudarchitekturen nach Ressourcen zu suchen, die im Internet verfügbar gemacht werden. Ein virtueller Computer kann beispielsweise nicht direkt im Internet verfügbar gemacht werden, sondern hinter einem Lastenausgleichsmodul stehen, das den Netzwerkdatenverkehr über mehrere Server verteilt, um sicherzustellen, dass einzelne Server nicht überfordert werden.
In der folgenden Tabelle sind die Ressourcen aufgeführt, deren Internetexposition Defender for Cloud bewertet:
| Category | Dienste/Ressourcen |
|---|---|
| Virtuelle Computer | Azure-VM Amazon Web Service (AWS) EC2 Google Cloud Platform (GCP) Compute-Instanz |
| VM-Cluster | Azure-VM-Skalierungsgruppe GCP-Instanzengruppen |
| Datenbanken (DB) | Azure SQL Azure PostgreSQL Azure MySQL Verwaltete Azure SQL-Instanz Azure MariaDB Azure Cosmos DB Azure Synapse AWS Relational Database Service (RDS) DB GCP SQL-Administratorinstanz |
| Storage | Azure Storage AWS S3-Buckets GCP-Speicherbuckets |
| KI | Azure OpenAI-Dienst Azure-KI-Dienste Azure Cognitive Search |
| Container | Azure Kubernetes Service (AKS) AWS EKS GCP GKE |
| API | Azure API Management-Vorgänge |
In der folgenden Tabelle sind die Netzwerkkomponenten aufgeführt, deren Internetexposition Defender for Cloud bewertet:
| Category | Dienste/Ressourcen |
|---|---|
| Azure | Anwendungsgateway Load-Balancer Azure Firewall Netzwerksicherheitsgruppen vNet/Subnets |
| AWS | Elastic Load Balancer |
| GKP | Load Balancer |
Vertraute Exposition (Vorschau)
Hinweis
Trusted Exposure unterstützt derzeit ausschließlich virtuelle Multicloud-Maschinen, einschließlich Azure VMs/VMSS, AWS EC2 und GCP Compute-Instanz.
Vertrauenswürdige Exponierung, jetzt im Preview verfügbar, ermöglicht es Organisationen, CIDRs (IP-Bereiche/Blöcke) und einzelne IP-Adressen zu definieren, die bekannt und vertrauenswürdig sind. Wenn eine Ressource nur für diese vertrauenswürdigen IPs verfügbar gemacht wird, wird sie nicht als internetgeschützt betrachtet. In Defender CSPM werden solche Ressourcen behandelt, da sie kein Risiko für die Internetexposition haben, was internen Cloudressourcen entspricht.
Wenn vertrauenswürdige IPs konfiguriert sind, verwendet Defender für Cloud Folgendes:
- Angriffspfade unterdrücken, die von Maschinen stammen, die nur vertrauenswürdigen IPs zugänglich sind (z. B. interne Scanner, VPNs, freigegebene IPs)
- Die Priorität von Sicherheitsempfehlungen schließt jetzt alle vertrauenswürdigen Quellen aus, die dazu beitragen, Rauschen zu reduzieren.
Funktionsweise
Definieren und Anwenden von IP-Adressen, die mit Azure Policy als vertrauenswürdig eingestuft wurden und auf Ihren Mandantenbereich angewendet werden.
Die neue Richtlinie erstellt eine IP-Gruppe, die die CIDR/IP-Adressen enthält.
Defender für Cloud liest die Richtlinie und wendet sie auf unterstützte Ressourcentypen an (derzeit: virtuelle Multicloud-Computer).
Angriffspfade werden nicht für Schwachstellen erstellt, die von virtuellen Computern stammen, die nur auf als „vertrauenswürdig“ eingestufte IP-Adressen beschränkt sind.
Sicherheitsempfehlungen werden entprioritisiert, wenn eine Ressource nur für vertrauenswürdige IPs verfügbar gemacht wird.
Im Cloud Security Explorer ist eine neue "Trusted Exposure" Einsicht verfügbar, sodass Benutzer alle unterstützten Ressourcen abfragen können, die als vertrauenswürdig gekennzeichnet sind.
Internet-Belichtungsbreite
Hinweis
Internet Exposure Width einschließlich der Risikofaktoren werden nur auf Multicloud-Computeinstanzen angewendet, die Azure VMs/VMSS, AWS EC2 und GCP-Computeinstanz enthalten.
Internet Exposure Width stellt die Risiken dar, die darauf basieren, wie breit eine Ressource (z. B. virtueller Computer) dem öffentlichen Internet ausgesetzt ist. Es spielt eine entscheidende Rolle bei der Unterstützung von Sicherheitsteams, nicht nur zu verstehen, ob eine Ressource dem Internet ausgesetzt ist, sondern auch den Umfang oder die Begrenztheit der Exposition. Dies beeinflusst die Kritikalität und Priorisierung der Sicherheitserkenntnisse, die in Angriffspfaden und Sicherheitsempfehlungen dargestellt werden.
Funktionsweise
Defender für Cloud analysiert Automatisch Ihre mit dem Internet verbundenen Ressourcen und markiert sie entsprechend den Netzwerkregeln als breite Belichtung oder schmale Belichtung . Die Ausgabe wird entweder als hohe Sichtbarkeit gekennzeichnet und
- Angriffspfade, die Ressourcen umfassen, die weitreichend dem Internet ausgesetzt sind, weisen nun eindeutig darauf hin, z. B. "Virtuelle Maschinen, die weitreichend dem Internet ausgesetzt sind, haben hohe Berechtigungen für Speicherkonten".
- Die berechnete Expositionsbreite wird dann verwendet, um die Erstellung der Angriffspfade und die risikobasierte Empfehlung zu bestimmen. Diese hilft Ihnen, den Schweregrad der Befunde richtig zu priorisieren, indem spezifische Bezeichnungen für die nachfolgenden Erlebnisse hinzugefügt werden.
- Im Cloud Security Explorer ist ein neuer Einblick in die Belichtungsbreite verfügbar, sodass Benutzer alle unterstützten Ressourcen abfragen können, die weit verbreitet sind.
Anzeigen von Ressourcen, die im Internet verfügbar gemacht werden
Defender für Cloud bietet verschiedene Möglichkeiten zum Anzeigen von internetexponierten Ressourcen.
Cloud Security Explorer – Mit dem Cloud Security Explorer können Sie graphbasierte Abfragen ausführen. Auf der Seite "Cloud Security Explorer" können Sie eine Abfrage ausführen, um Ressourcen zu identifizieren, die für das Internet verfügbar gemacht werden. Die Abfrage gibt alle angefügten Ressourcen mit Internetexposition zurück und stellt die zugehörigen Details zur Überprüfung bereit.
Angriffspfadanalyse: Auf der Seite „Angriffspfadanalyse” können Sie Angriffspfade anzeigen, die ein Angreifer nutzen kann, um eine bestimmte Ressource zu erreichen. Mit der Angriffspfadanalyse können Sie eine visuelle Darstellung des Angriffspfads anzeigen und sehen, welche Ressourcen im Internet verfügbar gemacht werden. Internetexposition dient häufig als Einstiegspunkt für Angriffspfade, insbesondere, wenn die Ressource Sicherheitsrisiken aufweist. Im Internet zugängliche Ressourcen führen häufig zu Zielen mit vertraulichen Daten.
Empfehlungen: Defender for Cloud priorisiert Empfehlungen basierend auf ihrer Exposition im Internet.
Integration von Defender for External Attack Surface Management
Defender for Cloud ist auch in Defender External Attack Surface Management integriert, die Internetexposition von Ressourcen zu bewerten, indem versucht wird, sie von einer externen Quelle zu kontaktieren und festzustellen, ob sie antworten.
Erfahren Sie mehr über die Integration von Defender External Attack Surface Management.