Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Internet Exposure Analysis est une fonctionnalité clé qui aide les organisations à identifier les ressources cloud exposées à l’Internet public, intentionnellement ou involontairement, et à hiérarchiser la correction en fonction du risque et de l’étendue de cette exposition.
Defender pour le Cloud utilise l’exposition sur Internet pour déterminer le niveau de risque de vos configurations incorrectes, ce qui permet d’obtenir des insights de posture de haute qualité sur les chemins d’attaque, des évaluations de posture basées sur les risques et de hiérarchiser les signaux au sein de la posture de Defender pour le Cloud.
Comment Defender for Cloud détecte l’exposition à Internet
Defender pour Cloud détermine si une ressource est exposée à Internet en analysant les deux :
- Configuration du plan de contrôle (p. ex., adresses IP publiques, équilibreurs de charge)
- Accessibilité du chemin d’accès réseau (analyse du routage, de la sécurité et des règles de pare-feu)
La détection de l’exposition à Internet peut être aussi simple que de vérifier si une machine virtuelle a une adresse IP publique. Toutefois, le processus peut être plus complexe. Defender for Cloud tente de localiser des ressources exposées sur Internet dans des architectures multiclouds complexes. Par exemple, une machine virtuelle peut ne pas être directement exposée à Internet, mais elle peut se trouver derrière un équilibreur de charge, qui distribue le trafic réseau sur plusieurs serveurs pour s’assurer qu’aucun serveur unique n’est submergé.
Le tableau suivant répertorie les ressources évaluées par Defender for Cloud pour l’exposition à Internet :
| Category | Services/Ressources |
|---|---|
| Machines virtuelles | Machine virtuelle Azure Amazon Web Service (AWS) EC2 Instance de calcul Google Cloud Platform (GCP) |
| Clusters de machines virtuelles | Groupe de machines virtuelles identiques Azure Groupes d’instances GCP |
| Bases de données (DB) | Azure SQL Azure PostgreSQL Azure MySQL Azure SQL Managed Instance Azure MariaDB Azure Cosmos DB Azure Synapse Service de base de données relationnelle (RDS) AWS Instance d’administration SQL GCP |
| Stockage | Stockage Azure Compartiments AWS S3 Compartiments de stockage GCP |
| AI | Azure OpenAI Service Azure AI Services Recherche cognitive Azure |
| Conteneurs | Azure Kubernetes Service (AKS) EKS AWS GCP GKE |
| API | Opérations de gestion des API Azure |
Le tableau suivant répertorie les composants réseau dont Defender for Cloud évalue l’exposition à Internet :
| Category | Services/Ressources |
|---|---|
| Azure | passerelle d’application Équilibreur de charge Pare-feu Azure Groupes de sécurité réseau réseaux virtuels/sous-réseaux |
| AWS | Équilibreur de charge élastique |
| GCP | Équilibrage de charge |
Exposition de confiance (version préliminaire)
Note
L'exposition fiable prend actuellement en charge uniquement les machines virtuelles multicloud, y compris les machines virtuelles et VMSS Azure, AWS EC2, et les instances de calcul GCP.
L’exposition approuvée, désormais disponible en préversion, permet aux organisations de définir des CIDR (plages/blocs IP) et des adresses IP individuelles connues et approuvées. Si une ressource est exposée uniquement à ces adresses IP approuvées, elle n’est pas considérée comme accessible sur Internet. Dans Defender CSPM, ces ressources sont traitées comme n’ayant aucun risque d’exposition à Internet, ce qui équivaut aux ressources cloud internes uniquement.
Lorsque des adresses IP approuvées sont configurées, Defender pour Cloud effectue les opérations suivantes :
- Supprimez les chemins d’accès d’attaque provenant de machines qui sont exposées uniquement aux adresses IP approuvées (par exemple, les scanneurs internes, les VPN, les adresses IP répertoriées par l’autorisation)
- La priorité des recommandations de sécurité exclut désormais toutes les sources approuvées qui contribuent à réduire le bruit.
Fonctionnement
Définissez et appliquez des adresses IP approuvées avec Azure Policy appliquées à travers la portée de votre client.
La nouvelle stratégie crée un groupe IP qui contient les adresses CIDR/IP.
Defender pour Cloud lit la stratégie et l’applique aux types de ressources pris en charge (actuellement : machines virtuelles multiclouds).
Les chemins d’accès aux attaques ne seront pas créés pour les expositions provenant de machines virtuelles exposées uniquement aux adresses IP « Approuvées ».
Les recommandations de sécurité sont déprioritisées si une ressource est exposée uniquement aux adresses IP approuvées.
Une nouvelle vue « Exposition de confiance » est disponible dans l'explorateur de sécurité cloud, ce qui permet aux utilisateurs d’interroger toutes les ressources prises en charge étiquetées comme de confiance.
Largeur de l’exposition à Internet
Note
La largeur de l’exposition à Internet, y compris les facteurs de risque, est appliquée uniquement aux instances de calcul multicloud qui incluent : machines virtuelles/VMSS Azure, AWS EC2 et instance de calcul GCP.
La largeur de l’exposition à Internet représente les risques en fonction de la façon dont une ressource (par exemple, une machine virtuelle) est exposée à l’Internet public. Il joue un rôle essentiel en aidant les équipes de sécurité à comprendre non seulement si une ressource est exposée à Internet, mais aussi dans quelle mesure cette exposition est large ou restreinte, et influence la criticité et la priorité des analyses de sécurité présentées dans les chemins d'attaque et les recommandations de sécurité.
Fonctionnement
Defender pour cloud analyse automatiquement vos ressources accessibles sur Internet et les étiquette comme une exposition étendue ou une exposition étroite en fonction des règles de mise en réseau. La sortie est étiquetée soit comme une grande exposition ou
- Les chemins d’attaque qui impliquent des ressources largement exposées indiquent désormais clairement cela dans le titre, comme « Les machines virtuelles largement exposées sur Internet disposent d’autorisations élevées pour le compte de stockage ».
- La largeur d’exposition calculée est ensuite utilisée pour déterminer la génération du chemin d’attaque et la recommandation basée sur les risques qui vous aident à hiérarchiser correctement la gravité des résultats en ajoutant des étiquettes spécifiques aux expériences suivantes.
- Un nouvel insight « Largeur de l’exposition » est disponible sur Cloud Security Explorer, ce qui permet aux utilisateurs d’interroger toutes les ressources prises en charge qui sont largement exposées.
Comment afficher les ressources exposées sur Internet
Defender pour Cloud offre plusieurs façons d’afficher les ressources accessibles sur Internet.
Cloud Security Explorer : Cloud Security Explorer vous permet d’exécuter des requêtes basées sur des graphiques. Dans la page Cloud Security Explorer, vous pouvez exécuter une requête pour identifier les ressources exposées à Internet. La requête retourne toutes les ressources jointes avec exposition sur Internet et fournit leurs détails associés pour révision.
Analyse du chemin d’attaque : la page Analyse du chemin d’attaque vous permet d’afficher les chemins d’attaque qu’un attaquant peut prendre pour atteindre une ressource spécifique. Avec l’analyse du chemin d’attaque, vous pouvez afficher une représentation visuelle du chemin d’attaque et voir quelles ressources sont exposées à Internet. L’exposition à Internet sert souvent de point d’entrée pour les chemins d’attaque, en particulier lorsque la ressource présente des vulnérabilités. Les ressources accessibles sur Internet mènent souvent à des cibles avec des données sensibles.
Recommandations : Defender for Cloud hiérarchise les recommandations en fonction de leur exposition à Internet.
Intégration de Defender External Attack Surface Management
Defender for Cloud s’intègre également à Defender External Attack Surface Management pour évaluer les ressources d’exposition à Internet en essayant de les contacter à partir d’une source externe et de voir s’ils répondent.
Découvrez-en davantage sur l’intégration de Defender External Attack Surface Management.