Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Análisis de exposición a Internet es una funcionalidad clave que ayuda a las organizaciones a identificar qué recursos en la nube se exponen a la red pública de Internet, tanto intencionada o involuntariamente, como a priorizar la corrección en función del riesgo y el ámbito de esa exposición.
Defender for Cloud usa la exposición a Internet para determinar el nivel de riesgo de las configuraciones incorrectas, lo que permite obtener información de posición de alta calidad en rutas de acceso de ataque, evaluaciones de posición basadas en riesgos y priorización de señales en la posición de Defender for Cloud.
Cómo Defender for Cloud detecta la exposición a Internet
Defender for Cloud determina si un recurso se expone a Internet mediante el análisis de ambos:
- Configuración del plano de control (por ejemplo, direcciones IP públicas, equilibradores de carga)
- Capacidad de acceso de red (análisis de enrutamiento, seguridad y reglas de firewall)
La detección de la exposición a Internet puede ser tan sencilla como comprobar si una máquina virtual tiene una dirección IP pública. Sin embargo, el proceso puede ser más complejo. Defender for Cloud intenta localizar recursos expuestos a Internet en arquitecturas complejas multinube. Por ejemplo, es posible que una máquina virtual no se exponga directamente a Internet, pero podría estar detrás de un equilibrador de carga, que distribuye el tráfico de red entre varios servidores para asegurarse de que no se sobrecarga ningún servidor único.
En la tabla siguiente se enumeran los recursos que Defender for Cloud evalúa para la exposición a Internet:
| Category | Servicios y recursos |
|---|---|
| Máquinas virtuales | Máquina virtual de Azure Amazon Web Service (AWS) EC2 Instancia de proceso de Google Cloud Platform (GCP) |
| Clústeres de máquinas virtuales | Conjunto de escalado de máquinas virtuales de Azure Grupos de instancias de GCP |
| Bases de datos (DB) | Azure SQL Azure PostgreSQL Azure MySQL Instancia administrada de Azure SQL Azure MariaDB Azure Cosmos DB Azure Synapse Base de datos de AWS Relational Database Service (RDS) Instancia de administrador de SQL de GCP |
| Storage | Azure Storage Cubos de AWS S3 Buckets de almacenamiento de GCP |
| AI | Servicio Azure OpenAI Servicios de inteligencia artificial de Azure Azure Cognitive Search |
| Containers | Azure Kubernetes Service (AKS) AWS EKS GCP GKE |
| API | Operaciones de API Management de Azure |
En la tabla siguiente se enumeran los componentes de red que Defender for Cloud evalúa para la exposición a Internet:
| Category | Servicios y recursos |
|---|---|
| Azure | puerta de enlace de aplicaciones Equilibrador de carga Azure Firewall Grupos de seguridad de red VNet/Subredes |
| AWS | Equilibrador de carga elástico |
| GCP | Equilibrador de carga |
Exposición segura (versión preliminar)
Nota:
Actualmente, la exposición de confianza solo admite máquinas virtuales multinube, incluidas las máquinas virtuales y VMSS de Azure, EC2 de AWS y las instancia de proceso de GCP.
La exposición de confianza, ahora disponible en versión preliminar, permite a las organizaciones definir CIDR (intervalos o bloques IP) y direcciones IP individuales conocidas y de confianza. Si un recurso solo se expone a estas direcciones IP de confianza, no se considera accesible desde Internet. En CSPM de Defender, estos recursos se tratan como sin riesgo de exposición a Internet, equivalente a los recursos en la nube solo internos.
Cuando se configuran direcciones IP de confianza, Defender for Cloud hará lo siguiente:
- Suprimir rutas de acceso de ataque procedentes de máquinas que solo se exponen a direcciones IP de confianza (por ejemplo, escáneres internos, VPNs, IPs permitidas)
- Ahora, la prioridad de las recomendaciones de seguridad excluirá todos los orígenes de confianza que ayudan a reducir el ruido.
Funcionamiento
Defina y aplique direcciones IP de confianza mediante Azure Policy aplicadas en el ámbito del inquilino.
La nueva directiva crea un grupo ip que contiene las direcciones CIDR/IP.
Defender for Cloud lee la directiva y la aplica en los tipos de recursos admitidos (actualmente: máquinas virtuales multinube).
Las rutas de acceso a ataques no se crearán para exposiciones que se originen en máquinas virtuales expuestas solo a direcciones IP que sean de "confianza".
Las recomendaciones de seguridad se desprioritizan si un recurso solo se expone a direcciones IP de confianza.
Hay disponible una nueva información de "Exposición segura" en Cloud Security Explorer, lo que permite a los usuarios consultar todos los recursos admitidos marcados como De confianza.
Ancho de exposición a Internet
Nota:
Ancho de exposición a Internet, incluidos los factores de riesgo, se aplican solo a instancias de proceso multinube que incluyen: máquinas virtuales o VMSS de Azure, AWS EC2 y instancia de proceso de GCP.
Ancho de exposición a Internet representa los riesgos en función de la amplitud de un recurso (por ejemplo, una máquina virtual) que se expone a la red pública de Internet. Desempeña un papel fundamental para ayudar a los equipos de seguridad a comprender no solo si un recurso está expuesto a Internet, sino la amplitud o restricción de esa exposición, lo que influye en la importancia y priorización de la información de seguridad presentada en las rutas de acceso a ataques y las recomendaciones de seguridad.
Cómo funciona
Defender para la nube analiza automáticamente los recursos accesibles desde Internet y los etiqueta como una exposición amplia o una exposición estrecha según las reglas de red. La salida se etiqueta como exposición amplia y
- Las rutas de acceso a ataques que implican recursos ampliamente expuestos ahora indican claramente esto en el título, como "Las máquinas virtuales ampliamente expuestas a Internet tienen permisos elevados para la cuenta de almacenamiento".
- A continuación, se usa el ancho de exposición calculado para determinar la generación de rutas de acceso de ataque y la recomendación basada en riesgos que le ayuda a priorizar correctamente la gravedad de los hallazgos agregando etiquetas específicas a las siguientes experiencias.
- Hay disponible una nueva información de "Ancho de exposición" en Cloud Security Explorer, lo que permite a los usuarios consultar todos los recursos admitidos que están ampliamente expuestos.
Cómo visualizar recursos expuestos a Internet
Defender for Cloud ofrece varias maneras diferentes de ver los recursos accesibles desde Internet.
Cloud Security Explorer: Cloud Security Explorer permite ejecutar consultas basadas en grafos. En la página Cloud Security Explorer, puede ejecutar una consulta para identificar los recursos expuestos a Internet. La consulta devuelve todos los recursos adjuntos con exposición a Internet y proporciona sus detalles asociados para su revisión.
Análisis de rutas de acceso a ataques: la página Análisis de rutas de acceso de ataque le permite ver las rutas de acceso de ataque que un atacante podría tomar para llegar a un recurso específico. Con análisis de rutas de acceso a ataques, puede ver una representación visual de la ruta de acceso de ataque y ver qué recursos se exponen a Internet. La exposición a Internet suele servir como punto de entrada para las rutas de acceso a ataques, especialmente cuando el recurso tiene vulnerabilidades. Los recursos accesibles desde Internet suelen conducir a destinos con datos confidenciales.
Recomendaciones : Defender for Cloud prioriza las recomendaciones en función de su exposición a Internet.
Integración de la Administración de superficie expuesta a ataques externos de Defender
Defender for Cloud también se integra con La administración de superficies expuestas a ataques externos de Defender para evaluar los recursos de exposición a Internet intentando ponerse en contacto con ellos desde un origen externo y ver si responden.
Obtenga más información sobre la integración de la Administración de superficie expuesta a ataques externos de Defender.