この記事では、サーバーレス保護のために Microsoft Defender for Cloud プラン - Defender Cloud Security Posture Management (CSPM) によって発行される可能性があるすべてのセキュリティに関する推奨事項を示します。
環境に表示される推奨事項は、保護するリソースとカスタマイズした構成に基づいています。 リソースに適用ポータルで推奨事項を確認できます。
これらの推奨事項に応じて実行できるアクションについては、「Defender for Cloud で推奨事項を 修復するを参照してください。
ヒント
推奨事項の説明に [関連ポリシーなし] と表示されている場合、通常は、その推奨事項が別の推奨事項 とその ポリシーに依存しているためです。
たとえば、 Endpoint Protection の正常性エラーを修復する必要がある 推奨事項は、エンドポイント保護ソリューションがインストールされているかどうかを確認する推奨事項に依存します (Endpoint Protection ソリューションをインストールする必要があります)。 基になる推奨事項にはポリシーが存在します。 ポリシーを基本的な推奨事項のみに制限すると、ポリシー管理が簡略化されます。
サーバーレス保護に関する推奨事項
(プレビュー)Azure Functions で認証を有効にする必要がある
説明: Defender for Cloud は、Azure Functions アプリに対して認証が有効ではなく、少なくとも 1 つの HTTP によってトリガーされる関数が "匿名" に設定されていることを確認しました。 この認証は、関数への不正アクセスのリスクを伴います。 関数アプリの ID プロバイダーを追加するか、このリスクを防ぐために関数自体の認証の種類を変更します。 (関連ポリシーはありません)
重大度: 高
(プレビュー)ラムダ関数の URL で認証を有効にする必要がある
説明: Defender for Cloud は、1 つ以上の Lambda 関数 URL に対して認証が有効になっていないことを確認しました。 認証なしでパブリックにアクセス可能なラムダ関数 URL は、不正アクセスや悪用の可能性があるリスクを引き起こす可能性があります。 ラムダ関数 URL に AWS IAM 認証を適用すると、これらのリスクを軽減できます。 (関連ポリシーはありません)
重大度: 高
(プレビュー)Lambda でコード署名を有効にする必要がある
説明: Defender for Cloud は、Lambda でコード署名が有効になっていないことを確認しました。これは、Lambda 関数コードに未承認の変更が加わるリスクがあります。 コード署名を有効にすると、コードの整合性と信頼性が確保され、このような変更は防止されます。 (関連ポリシーはありません)
重大度: 高
(プレビュー)ラムダ関数は、ランタイムバージョンの自動更新を使用して構成する必要があります
説明: Defender for Cloud では、Lambda 関数がランタイムバージョンの自動更新を使用していないことを確認しました。 これにより、脆弱性を持つ古いランタイム バージョンが公開されるリスクが発生します。 自動更新を使用すると、ランタイムが最新の状態に保たれ、関数が最新のセキュリティ パッチと機能強化の恩恵を受けることができます。 (関連ポリシーはありません)
重大度: 中
(プレビュー)ラムダ関数は、リソースの枯渇を防ぐために予約されたコンカレンシーを実装する必要があります
説明: Defender for Cloud は、Lambda 関数が古いレイヤー バージョンを使用していることを確認しました。 これにより、既知の脆弱性にさらされるリスクが発生します。 レイヤーを最新の状態に保つことで、関数は最新のセキュリティ パッチと機能強化の恩恵を受けることができます。 (関連ポリシーはありません)
重大度: 中
(プレビュー)関数アプリ、Web アプリ、またはロジック アプリでは、過度に制限されたアクセス許可を構成しないでください
説明: Defender for Cloud は、関数アプリ、Web アプリ、またはロジック アプリ ID のアクセス許可が過度に制限されていることを確認しました。 アクセス許可を制限することで、必要なアクセスのみが許可されるようにし、承認されていないアクセスや潜在的なセキュリティ侵害のリスクを軽減できます。 (関連ポリシーはありません)
重大度: 高
(プレビュー)制限付きネットワーク アクセスは、インターネットに公開されている関数アプリで構成する必要があります
説明: Defender for Cloud は、Function App が制限なしでインターネットに公開されていることを確認しました。 ネットワーク アクセスを制限することで、許可されたネットワークのみが Functionapp にアクセスできることを確認できます。 この関数でパブリック ネットワーク アクセスが必要ない場合は、[パブリック ネットワーク アクセス] 設定を [無効] または [選択した仮想ネットワークと IP アドレスから有効] に設定します。 このアクションにより、ネットワーク アクセスが制限され、承認されていないアクセスにさらされる可能性が軽減され、潜在的な脅威からアプリケーションが保護されます。 (関連ポリシーはありません)
重大度: 高
(プレビュー)ラムダ関数 API ゲートウェイでセキュリティ メカニズムを使用する必要がある
説明: Defender for Cloud は、ラムダ関数 API ゲートウェイに対して認証が有効になっていないことを確認しました。 これにより、不正アクセスや関数エンドポイントの悪用の可能性があるリスクが生じます。 認証の適用は、これらのリスクを軽減するのに役立ちます。 (関連ポリシーはありません)
重大度: 高