Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cloud Security Posture Management (CSPM) est une fonctionnalité essentielle de Microsoft Defender pour Cloud. CSPM offre une visibilité continue de l’état de sécurité de vos ressources et charges de travail cloud, offrant des conseils exploitables pour améliorer votre posture de sécurité dans Azure, AWS et GCP.
Defender pour Cloud évalue continuellement votre infrastructure cloud par rapport aux normes de sécurité définies pour vos abonnements Azure, vos comptes Amazon Web Service (AWS) et les projets Google Cloud Platform (GCP). Defender pour le cloud émet des recommandations de sécurité pour vous aider à identifier et à réduire les erreurs de configuration et les risques de sécurité du cloud.
Par défaut, lorsque vous activez Defender pour Cloud sur un abonnement Azure, la norme Microsoft Cloud Security Benchmark (MCSB) est activée et fournit des recommandations pour sécuriser votre environnement multicloud. Le score de sécurisation basé sur certaines des recommandations MCSB vous aide à surveiller la conformité du cloud. Un score plus élevé indique un niveau de risque identifié inférieur.
Plans CSPM
Defender pour Cloud propose deux plans CSPM :
- CspM de base (gratuit) : activé par défaut pour tous les abonnements et comptes intégrés.
- CspM Defender (payant) : offre des fonctionnalités supplémentaires au-delà du plan CSPM de base, y compris les outils CSPM avancés pour la visibilité cloud et la surveillance de la conformité. Cette version du plan offre des fonctionnalités de posture de sécurité plus avancées, comme la posture de sécurité IA, l’analyse du chemin d’attaque, la hiérarchisation des risques, etc.
Disponibilité du plan
Defender CSPM est disponible dans plusieurs modèles de déploiement et environnements cloud :
- Clouds commerciaux : disponible dans toutes les régions commerciales Azure
- Clouds gouvernementaux : disponible dans Azure Government et Azure Government Secret
- Multicloud : prise en charge des environnements Azure, AWS et GCP
- Hybride : ressources locales via Azure Arc
- DevOps : Intégration de GitHub et d’Azure DevOps
Pour plus d’informations sur la disponibilité régionale et la prise en charge du cloud gouvernemental, consultez la matrice de prise en charge des environnements cloud.
| Fonctionnalité | CSPM de base | CSPM Defender | Disponibilité dans le cloud |
|---|---|---|---|
| Inventaire des ressources | 
|
|
Azure, AWS, GCP, sur site, Docker Hub, JFrog Artifactory |
| Exportation de données |
|
|
Azure, AWS, GCP, environnement local |
| Visualisation des données et création de rapports avec les classeurs Azure |
|
|
Azure, AWS, GCP, environnement local |
| Benchmark de sécurité du Cloud Microsoft |
|
|
Azure, AWS, GCP |
| Degré de sécurisation |
|
|
Azure, AWS, GCP, local, Docker Hub, JFrog Artifactory |
| Recommandations de sécurité |
|
|
Azure, AWS, GCP, local, Docker Hub, JFrog Artifactory |
| Outils de correction |
|
|
Azure, AWS, GCP, sur site, Docker Hub, JFrog Artifactory |
| Automatisation de workflow |
|
|
Azure, AWS, GCP, environnement local |
| Évaluation des vulnérabilités des conteneurs du code au cloud sans agent | - |
|
Azure, AWS, GCP, Docker Hub, JFrog Artifactory |
| Découverte sans agent pour Kubernetes | - |
|
Azure, AWS, GCP |
| Analyse des secrets de machine virtuelle sans agent | - |
|
Azure, AWS, GCP |
| Analyse des vulnérabilités des machines virtuelles sans agent | - |
|
Azure, AWS, GCP |
| Gestion de la posture de sécurité de l’IA | - |
|
Azure, AWS |
| Gestion de la posture de sécurité des API | - |
|
Azur |
| Analyse du chemin d’attaque | - |
|
Azure, AWS, GCP, Docker Hub, JFrog Artifactory |
| Tableau de bord de la sécurité Azure Kubernetes Service (préversion) | - |
|
Azur |
| Mappage du code au cloud pour les conteneurs | - |
|
GitHub, Azure DevOps2 , Docker Hub, JFrog Artifactory |
| Mappage du code au cloud pour IaC | - |
|
Azure DevOps2, , Docker Hub, JFrog Artifactory |
| Protection des ressources critiques | - |
|
Azure, AWS, GCP |
| Recommandations personnalisées | - |
|
Azure, AWS, GCP, Docker Hub, JFrog Artifactory |
| gestion de la posture de sécurité des données (DSPM), analyse des données sensibles | - |
|
Azure, AWS, GCP1 |
| Gestion de la surface d’attaque externe | - |
|
Azure, AWS, GCP, Docker Hub, JFrog Artifactory |
| Gouvernance pour favoriser la correction à grande échelle | - |
|
Azure, AWS, GCP, Docker Hub, JFrog Artifactory |
| Analyse de l’exposition à Internet | - |
|
Azure, AWS, GCP, Docker Hub, JFrog Artifactory |
| Annotations PR | - |
|
GitHub, Azure DevOps2 |
| Évaluation de la conformité réglementaire | - |
|
Azure, AWS, GCP, Docker Hub, JFrog Artifactory |
| Chasse aux risques avec l’Explorateur de sécurité | - |
|
Azure, AWS, GCP, Docker Hub, JFrog Artifactory |
| Hiérarchisation des risques | - |
|
Azure, AWS, GCP, Docker Hub, JFrog Artifactory |
| Protection sans serveur | - |
|
Azure, AWS |
| Intégration de ServiceNow | - |
|
Azure, AWS, GCP |
1: la découverte de données sensibles GCP prend uniquement en charge le stockage cloud. 2 : Les fonctionnalités de sécurité DevOps, telles que la contextualisation du code vers le cloud, l’Explorateur de sécurité, les chemins d’accès aux attaques et les annotations de demande de tirage (pull request) pour les résultats de sécurité Infrastructure-as-Code, ne sont disponibles que lorsque vous activez le plan CSPM Defender payant. En savoir plus sur la prise en charge et les prérequis de la sécurité DevOps.
Pour plus d’informations sur la disponibilité régionale et la prise en charge du cloud gouvernemental, consultez la matrice de prise en charge des environnements cloud.
Tarification du plan
- Consultez la tarification de Defender pour cloud et utilisez la calculatrice de coûts pour estimer les coûts.
- Les fonctionnalités avancées de posture de sécurité DevOps (annotations de demandes d’extraction, mappage du code au cloud, analyse du chemin d’attaque, explorateur de sécurité) nécessitent le plan CSPM Defender payant. Le plan gratuit fournit des recommandations Azure DevOps de base. Consultez les fonctionnalités de sécurité DevOps.
- La facturation CSPM Defender est basée sur des ressources spécifiques. Consultez la page de tarification pour plus d’informations sur les ressources facturables pour Azure, AWS et GCP.
Intégrations
Defender pour Cloud prend en charge les intégrations avec les systèmes partenaires pour la gestion des incidents et la gestion des tickets. Actuellement, l’intégration de ServiceNow est disponible (préversion). Pour la configuration, consultez Intégrer ServiceNow à Microsoft Defender pour cloud.
Clouds et ressources pris en charge
Les fonctionnalités de posture de sécurité DevOps, telles que les annotations de demandes de tirage (pull request), le mappage du code vers le cloud, l'analyse du chemin d'attaque et l'exploration de la sécurité cloud, ne sont disponibles que via le plan payant de Defender CSPM. Le plan gratuit de gestion de la posture de sécurité fondamentale fournit des recommandations Azure DevOps. En savoir plus sur les fonctionnalités fournies par les fonctionnalités de sécurité Azure DevOps.
Defender CSPM protège toutes les charges de travail multiclouds, mais la facturation s’applique uniquement aux ressources spécifiques. Les tableaux suivants répertorient les ressources facturables lorsque vous activez Defender CSPM sur les abonnements Azure, les comptes AWS ou les projets GCP.
Azur
| Service | Types de ressources | Exclusions |
|---|---|---|
| Calcul | Machines virtuelles, ensembles de machines virtuelles identiques, machines virtuelles classiques | Machines virtuelles désallouées, machines virtuelles Databricks |
| Stockage | Comptes de stockage | Comptes sans conteneurs blob ou partages de fichiers |
| Databases | Serveurs SQL, serveurs PostgreSQL/MySQL/MariaDB, espaces de travail Synapse | – |
AWS
| Service | Types de ressources | Exclusions |
|---|---|---|
| Calcul | Instances EC2 | Machines virtuelles désallouées |
| Stockage | Compartiments S3 | – |
| Databases | Instances RDS | – |
GCP
| Service | Types de ressources | Exclusions |
|---|---|---|
| Calcul | Instances de calcul, groupes d’instances | Instances non en cours d'exécution |
| Stockage | Compartiments de stockage | Classes nearline/coldline/archive, régions non compatibles |
| Databases | Instances Cloud SQL | – |
Prise en charge du cloud Azure
Pour obtenir une couverture cloud commerciale et nationale, consultez la matrice de prise en charge de l’environnement cloud Azure.
Étapes suivantes
- Surveiller la gestion de la posture de sécurité cloud avec Microsoft Defender
- En savoir plus sur les normes de sécurité et les recommandations
- En savoir plus sur le score de sécurisation