Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article répertorie toutes les recommandations de sécurité que vous pouvez voir émises par le plan Microsoft Defender pour cloud - Defender Cloud Security Posture Management (CSPM) pour la protection serverless.
Les recommandations qui apparaissent dans votre environnement sont basées sur les ressources que vous protégez et sur votre configuration personnalisée. Vous pouvez voir les recommandations dans le portail qui s’appliquent à vos ressources.
Pour en savoir plus sur les actions que vous pouvez effectuer en réponse à ces recommandations, consultez Correction des recommandations dans Defender pour le cloud.
Conseil / Astuce
Si la description d’une recommandation indique Aucune stratégie associée, il s’agit généralement du fait que cette recommandation dépend d’une recommandation différente et de sa stratégie.
Par exemple, les échecs d’intégrité Endpoint Protection doivent être corrigés en fonction de la recommandation qui vérifie si une solution endpoint protection est même installée (la solution Endpoint Protection doit être installée). La recommandation sous-jacente est associée à une stratégie. La limitation des stratégies à la recommandation fondamentale simplifie la gestion des stratégies.
Recommandations en matière de protection serverless
(Préversion) L’authentification doit être activée sur Azure Functions
Description : Defender pour Cloud a identifié que l’authentification n’est pas activée pour votre application Azure Functions et qu’au moins une fonction déclenchée par HTTP est définie sur « anonyme ». Cette authentification pose un risque d’accès non autorisé à une fonction. Ajoutez un fournisseur d’identité pour l’application de fonction ou modifiez le type d’authentification de la fonction elle-même pour éviter ce risque. (Aucune stratégie associée)
Gravité : élevée
(Préversion) L’authentification doit être activée sur les URL de fonction lambda
Description : Defender pour Cloud a identifié que l’authentification n’est pas activée pour une ou plusieurs URL de fonction lambda. Les URL de fonction lambda accessibles publiquement sans authentification posent un risque d’accès non autorisé et d’abus potentiel. L’application de l’authentification AWS IAM sur les URL de fonction lambda permet d’atténuer ces risques. (Aucune stratégie associée)
Gravité : élevée
(Préversion) La signature de code doit être activée sur Lambda
Description : Defender pour Cloud a identifié que la signature de code n’est pas activée sur Lambda, ce qui pose un risque de modification non autorisée du code de fonction Lambda. L’activation de la signature de code garantit l’intégrité et l’authenticité du code, ce qui empêche ces modifications. (Aucune stratégie associée)
Gravité : élevée
(Préversion) La fonction lambda doit être configurée avec les mises à jour automatiques de version du runtime
Description : Defender pour Cloud a identifié que la fonction Lambda n’utilise pas de mise à jour automatique de version du runtime. Cela pose un risque d’exposition aux versions obsolètes du runtime avec des vulnérabilités. L’utilisation des mises à jour automatiques maintient le runtime à jour et garantit que la fonction bénéficie des derniers correctifs et améliorations de sécurité. (Aucune stratégie associée)
Gravité : moyenne
(Préversion) La fonction lambda doit implémenter l’accès concurrentiel réservé pour empêcher l’épuisement des ressources
Description : Defender pour Cloud a identifié que la fonction Lambda utilise une version de couche obsolète. Cela pose un risque d’exposition aux vulnérabilités connues. Maintenir les couches à jour garantit que la fonction bénéficie des derniers correctifs de sécurité et améliorations. (Aucune stratégie associée)
Gravité : moyenne
(Préversion) Les autorisations trop permissives ne doivent pas être configurées sur l’application de fonction, l’application web ou l’application logique
Description : Defender pour Cloud a identifié que l’application de fonction, l’application web ou l’identité d’application logique dispose d’autorisations trop permissives. En limitant les autorisations, vous pouvez vous assurer que seul l’accès nécessaire est accordé, ce qui réduit le risque d’accès non autorisé et de violations de sécurité potentielles. (Aucune stratégie associée)
Gravité : élevée
(Préversion) L’accès réseau restreint doit être configuré sur l’application de fonction exposée sur Internet
Description : Defender pour Cloud a identifié que l’application de fonction est exposée à Internet sans aucune restriction. En limitant l’accès réseau, vous pouvez vous assurer que seuls les réseaux autorisés peuvent accéder à Functionapp. Si la fonction ne nécessite pas d’accès réseau public, définissez le paramètre « Accès réseau public » sur « désactivé » ou « Activé à partir de réseaux virtuels et d’adresses IP sélectionnés ». Cette action limite l’accès réseau, ce qui réduit l’exposition à un accès non autorisé et protège votre application contre les menaces potentielles. (Aucune stratégie associée)
Gravité : élevée
(Préversion) Le mécanisme de sécurité doit être utilisé sur la passerelle API de fonction lambda
Description : Defender pour Cloud a identifié que l’authentification n’est pas activée pour la passerelle API de fonction lambda. Cela pose un risque d’accès non autorisé et d’abus potentiel des points de terminaison de fonction. L’application de l’authentification peut aider à atténuer ces risques. (Aucune stratégie associée)
Gravité : élevée