Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Cloud Security Posture Management (CSPM) es una característica principal de Microsoft Defender for Cloud. CSPM proporciona visibilidad continua sobre el estado de seguridad de los recursos y cargas de trabajo en la nube, ofreciendo instrucciones accionables para mejorar la posición de seguridad en Azure, AWS y GCP.
Defender for Cloud evalúa continuamente la infraestructura en la nube con respecto a los estándares de seguridad definidos para las suscripciones de Azure, las cuentas de Amazon Web Service (AWS) y los proyectos de Google Cloud Platform (GCP). Defender for Cloud emite recomendaciones de seguridad para ayudarle a identificar y reducir errores de configuración y riesgos de seguridad en la nube.
De forma predeterminada, al habilitar Defender for Cloud en una suscripción de Azure, el estándar Microsoft Cloud Security Benchmark (MCSB) está habilitado y proporciona recomendaciones para proteger el entorno multinube. La puntuación segura basada en algunas de las recomendaciones de MCSB le ayuda a supervisar el cumplimiento de la nube. Una puntuación más alta indica un nivel de riesgo identificado menor.
Planes de CSPM
Defender for Cloud ofrece dos planes CSPM:
- CSPM básico (gratis): habilitado de forma predeterminada para todas las suscripciones y cuentas incorporadas.
- CSPM de Defender (de pago): proporciona funcionalidades adicionales más allá del plan fundamental de CSPM, incluidas las herramientas avanzadas de CSPM para la visibilidad de la nube y la supervisión del cumplimiento. Esta versión del plan ofrece características más avanzadas de configuración de seguridad, como la configuración de seguridad de IA, el análisis de rutas de ataque, la priorización de riesgos y más.
Disponibilidad del plan
CSPM de Defender está disponible en varios modelos de implementación y entornos en la nube:
- Nubes comerciales: disponibles en todas las regiones comerciales de Azure
- Nubes gubernamentales: disponibles en Azure Government y Azure Government Secret
- Nube múltiple: compatibilidad con entornos de Azure, AWS y GCP
- Híbrido: recursos locales a través de Azure Arc
- DevOps: integración de GitHub y Azure DevOps
Para obtener información específica sobre la disponibilidad regional y la compatibilidad con la nube gubernamental, consulte la matriz de compatibilidad para entornos en la nube.
| Característica | CSPM básica | CSPM de Defender | Disponibilidad en la nube |
|---|---|---|---|
| Inventario de recursos | 
|
|
Azure, AWS, GCP, local, Docker Hub, JFrog Artifactory |
| Exportación de datos |
|
|
Azure, AWS, GCP, local |
| Visualización de datos e informes con Libros de Azure |
|
|
Azure, AWS, GCP, local |
| Banco de pruebas de Microsoft Cloud Security |
|
|
Azure, AWS, GCP |
| Puntuación segura |
|
|
Azure, AWS, GCP, local, Docker Hub, JFrog Artifactory |
| Recomendaciones de seguridad |
|
|
Azure, AWS, GCP, local, Docker Hub, JFrog Artifactory |
| Herramientas para corrección |
|
|
Azure, AWS, GCP, local, Docker Hub, JFrog Artifactory |
| Automatización de flujos de trabajo |
|
|
Azure, AWS, GCP, local |
| Evaluación de vulnerabilidades de contenedores de código a nube sin agente | - |
|
Azure, AWS, GCP, Docker Hub, JFrog Artifactory |
| Detección sin agente para Kubernetes | - |
|
Azure, AWS, GCP |
| Análisis de secretos de máquina virtual sin agente | - |
|
Azure, AWS, GCP |
| Examen de vulnerabilidades de máquina virtual sin agente | - |
|
Azure, AWS, GCP |
| Administración de la posición de seguridad de IA | - |
|
Azure, AWS |
| Administración de la posición de seguridad de API | - |
|
Azur |
| Análisis de rutas de acceso de ataque | - |
|
Azure, AWS, GCP, Docker Hub, JFrog Artifactory |
| Panel de seguridad de Azure Kubernetes Service (versión preliminar) | - |
|
Azur |
| Asignación de código a nube para contenedores | - |
|
GitHub, Azure DevOps2 , Docker Hub, JFrog Artifactory |
| Asignación de código a nube para IaC | - |
|
Azure DevOps2, , Docker Hub, JFrog Artifactory |
| Protección de recursos críticos | - |
|
Azure, AWS, GCP |
| Recomendaciones personalizadas | - |
|
Azure, AWS, GCP, Docker Hub, JFrog Artifactory |
| Administración de la posición de seguridad de datos (DSPM), examen de datos confidenciales | - |
|
Azure, AWS, GCP1 |
| Administración de la superficie expuesta a ataques externos | - |
|
Azure, AWS, GCP, Docker Hub, JFrog Artifactory |
| Gobernanza para impulsar la corrección a escala | - |
|
Azure, AWS, GCP , Docker Hub, JFrog Artifactory |
| Análisis de exposición a Internet | - |
|
Azure, AWS, GCP, Docker Hub, JFrog Artifactory |
| Anotaciones de PR | - |
|
GitHub, Azure DevOps2 |
| Evaluación del cumplimiento normativo | - |
|
Azure, AWS, GCP, , Docker Hub, JFrog Artifactory |
| Búsqueda de riesgos con el explorador de seguridad | - |
|
Azure, AWS, GCP , Docker Hub, JFrog Artifactory |
| Priorización de riesgos | - |
|
Azure, AWS, GCP , Docker Hub, JFrog Artifactory |
| Protección sin servidor | - |
|
Azure, AWS |
| Integración de ServiceNow | - |
|
Azure, AWS, GCP |
1: la detección de datos confidenciales de GCP solo admite almacenamiento en la nube. 2: las funcionalidades de seguridad de DevOps, como la contextualización de código a nube que potencia el explorador de seguridad, las rutas de acceso a ataques y anotaciones de solicitudes de cambios para los resultados de seguridad de infraestructura como código solo están disponibles cuando habilita el plan de Defender CSPM de pago. Obtenga más información sobre la compatibilidad y los requisitos previos de seguridad de DevOps.
Para obtener información específica sobre la disponibilidad regional y la compatibilidad con la nube gubernamental, consulte la matriz de compatibilidad para entornos en la nube.
Precios de los planes
- Consulte Precios de Defender for Cloud y use la calculadora de costos para calcular los costos.
- Las características avanzadas de la posición de seguridad de DevOps (anotaciones de solicitud de incorporación de cambios, asignación de código a nube, análisis de ruta de acceso de ataque, explorador de seguridad) requieren el plan de CSPM de Defender de pago/. El plan gratuito proporciona recomendaciones básicas de Azure DevOps. Consulte Características de seguridad de DevOps.
- La facturación de CSPM de Defender se basa en recursos específicos. Consulte la página de precios para más información sobre los recursos facturables para Azure, AWS y GCP.
Integraciones
Defender for Cloud admite integraciones con sistemas de socios para la gestión de incidentes y emisión de tickets. Actualmente, la integración de ServiceNow está disponible (versión preliminar). Para la instalación, consulte Integración de ServiceNow con Microsoft Defender for Cloud.
Nubes compatibles y recursos
Las funcionalidades de posición de seguridad de DevOps, como las anotaciones de solicitud de cambios, la asignación de código a la nube, el análisis de rutas de acceso a ataques y el explorador de seguridad en la nube solo están disponibles a través del plan Defender CSPM de pago. El plan gratuito de administración de la posición de seguridad básica proporciona recomendaciones de Azure DevOps. Obtenga más información sobre las características proporcionadas por las características de seguridad de Azure DevOps.
CSPM de Defender protege todas las cargas de trabajo multinube, pero la facturación solo se aplica a recursos específicos. En las tablas siguientes se enumeran los recursos facturables al habilitar CSPM de Defender en suscripciones de Azure, cuentas de AWS o proyectos de GCP.
Azur
| Service | Tipos de recursos | Exclusiones |
|---|---|---|
| Proceso | Máquinas virtuales, conjuntos de escalado de máquinas virtuales, máquinas virtuales clásicas | Máquinas virtuales desasignadas, máquinas virtuales de Databricks |
| Almacenamiento | Cuentas de almacenamiento | Cuentas sin contenedores de blobs o comparticiones de archivos |
| Databases | Servidores SQL Server, servidores PostgreSQL/MySQL/MariaDB, áreas de trabajo de Synapse | – |
AWS
| Service | Tipos de recursos | Exclusiones |
|---|---|---|
| Proceso | Instancias de EC2 | Máquinas virtuales desasignadas |
| Almacenamiento | Cubos de S3 | – |
| Databases | Instancias de RDS | – |
GCP
| Service | Tipos de recursos | Exclusiones |
|---|---|---|
| Proceso | Instancias de cómputo, Grupos de instancias | Instancias que no están en ejecución |
| Almacenamiento | Cubos de almacenamiento | Clases "nearline", "coldline" y "archive", regiones no compatibles |
| Databases | Instancias de SQL en la nube | – |
Soporte técnico en la nube de Azure
Para obtener cobertura de la nube comercial y nacional, consulte la Matriz de compatibilidad del entorno de la nube de Azure.
Pasos siguientes
- Vea Gestión de la postura de seguridad en la nube con Microsoft Defender
- Más información sobre las recomendaciones y estándares de seguridad
- Más información sobre la puntuación de seguridad