Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Analiza ekspozycji internetowej to kluczowa funkcja, która pomaga organizacjom zidentyfikować, które zasoby w chmurze są narażone na publiczny Internet, zarówno celowo, jak i przypadkowo, i priorytetowe korygowanie na podstawie ryzyka i zakresu tej ekspozycji.
Usługa Defender for Cloud wykorzystuje analizę ekspozycji internetowej do określenia poziomu ryzyka dla błędów konfiguracji, co umożliwia uzyskanie wysokiej jakości wglądu w stan bezpieczeństwa w ramach ścieżek ataku, oceny stanu na podstawie ryzyka oraz priorytetyzacji sygnałów w ramach usługi Defender for Cloud.
Jak Defender dla Chmury wykrywa narażenie na internet
Usługa Defender for Cloud określa, czy zasób jest uwidoczniony w Internecie, analizując oba:
- Konfiguracja płaszczyzny sterowania (np. publiczne adresy IP, moduły równoważenia obciążenia)
- Dostępność ścieżki sieciowej (analizowanie routingu, zabezpieczeń i reguł zapory)
Wykrywanie narażenia na Internet może być tak proste, jak sprawdzenie, czy maszyna wirtualna ma publiczny adres IP. Jednak proces może być bardziej złożony. Defender dla Chmury próbuje zlokalizować zasoby uwidocznione w Internecie w złożonych architekturach wielochmurowych. Na przykład maszyna wirtualna może nie być bezpośrednio uwidoczniona w Internecie, ale może znajdować się za modułem równoważenia obciążenia, który dystrybuuje ruch sieciowy między wieloma serwerami, aby upewnić się, że żaden pojedynczy serwer nie zostanie przeciążony.
W poniższej tabeli wymieniono zasoby, które Defender dla Chmury oceniają narażenie na internet:
| Kategoria | Usługi/zasoby |
|---|---|
| Maszyny wirtualne | Maszyna wirtualna platformy Azure Amazon Web Service (AWS) EC2 Wystąpienie obliczeniowe platformy Google Cloud Platform (GCP) |
| Klastry maszyn wirtualnych | Zestaw skalowania maszyn wirtualnych platformy Azure Grupy wystąpień GCP |
| Bazy danych (DB) | Azure SQL Azure PostgreSQL Azure MySQL Azure SQL Managed Instance (Zarządzana instancja SQL na platformie Azure) Azure MariaDB Azure Cosmos DB Azure Synapse Baza danych usługi relacyjnej bazy danych (RDS) platformy AWS Wystąpienie administratora języka GCP SQL |
| Magazyn | Azure Storage Zasobniki usługi AWS S3 Zasobniki magazynu GCP |
| AI | Azure OpenAI Service Usługi Azure AI Azure Cognitive Search |
| Containers | Azure Kubernetes Service (AKS) AWS EKS GCP GKE |
| API | Operacje usługi Azure API Management |
W poniższej tabeli wymieniono składniki sieciowe, które Defender dla Chmury oceniają narażenie na internet:
| Kategoria | Usługi/zasoby |
|---|---|
| Azure | Application Gateway Moduł równoważenia obciążenia Azure Firewall Sieciowe grupy zabezpieczeń Sieć wirtualna/podsieci |
| AWS | Elastyczny moduł równoważenia obciążenia |
| GCP | Moduł równoważenia obciążenia |
Zaufana ekspozycja (wersja zapoznawcza)
Uwaga / Notatka
Trusted Exposure obecnie obsługuje maszyny wirtualne w środowiskach multicloud, w tym maszyny wirtualne platformy Azure, AWS EC2 i instancje obliczeniowe GCP.
Zaufana ekspozycja, teraz dostępna w wersji zapoznawczej, umożliwia organizacjom definiowanie reguł CIDR (zakresy/bloki adresów IP) i poszczególnych adresów IP, które są znane i zaufane. Jeśli zasób jest udostępniony tylko dla tych zaufanych adresów IP, nie jest uważany za dostępny z poziomu Internetu. W usłudze Defender CSPM takie zasoby są traktowane jako bez ryzyka narażenia na Internet, co odpowiada zasobom chmury tylko wewnętrznym.
Po skonfigurowaniu zaufanych adresów IP usługa Defender for Cloud będzie:
- Eliminowanie ścieżek ataków pochodzących z maszyn, które są widoczne tylko dla zaufanych adresów IP (np. skanerów wewnętrznych, sieci VPN, dozwolonych adresów IP)
- Priorytet zaleceń dotyczących zabezpieczeń będzie teraz wykluczać wszystkie zaufane źródła pomagające zmniejszyć szum.
Jak to działa
Zdefiniuj i zastosuj zaufane adresy IP przy użyciu Azure Policy zastosowanej w całym zakresie dzierżawy.
Nowe zasady tworzą grupę adresów IP zawierającą adresy CIDR/IP.
Usługa Defender for Cloud odczytuje zasady i stosuje je w obsługiwanych typach zasobów (obecnie: maszyny wirtualne z wieloma chmurami).
Ścieżki ataków nie zostaną utworzone dla ekspozycji pochodzących z maszyn wirtualnych uwidocznionych tylko na adresy IP, które są "zaufane".
Zalecenia dotyczące zabezpieczeń są depriorytetyzowane, jeśli zasób jest wystawiony tylko zaufanym adresom IP.
W Eksploratorze zabezpieczeń w chmurze jest dostępna nowa analiza "Zaufane ujawnienie" umożliwiająca użytkownikom wykonywanie zapytań dotyczących wszystkich obsługiwanych zasobów oflagowanych jako zaufane.
Szerokość ekspozycji internetowej
Uwaga / Notatka
Szerokość ekspozycji internetowej, w tym czynniki ryzyka, są stosowane tylko do instancji obliczeniowych w środowisku wielochmurowym, które obejmują maszyny wirtualne platformy Azure/VMSS, usługi AWS EC2 i wystąpienia obliczeniowe GCP.
Szerokość ekspozycji internetowej reprezentuje zagrożenia w zależności od tego, jak szeroko zasób (np. maszyna wirtualna) jest narażony na publiczny Internet. Odgrywa on kluczową rolę w pomaganiu zespołom ds. zabezpieczeń nie tylko w zrozumieniu, czy zasób jest narażony na Internet, ale także o tym, jak szerokie lub wąskie jest narażenie na zagrożenia, wpływając na krytyczne znaczenie i priorytetyzacja szczegółowych informacji o zabezpieczeniach przedstawionych w ścieżkach ataków i zaleceniach dotyczących zabezpieczeń.
Jak to działa
Usługa Defender for Cloud automatycznie analizuje zasoby dostępne z Internetu i taguje je jako szerokie narażenie lub wąskie narażenie zgodnie z regułami sieci. Dane wyjściowe są oznaczane jako szerokie narażenie i
- Ścieżki ataków, które obejmują zasoby szeroko wystawione w Internecie, teraz wyraźnie wskazują to w tytule, na przykład "Powszechnie wystawione w Internecie maszyny wirtualne mają wysokie uprawnienia do konta magazynowego".
- Obliczona szerokość ekspozycji jest następnie używana do określania generowania ścieżki ataku i zaleceń opartych na analizie ryzyka, które pomagają odpowiednio ustalać priorytety dla ważności ustaleń przez dodanie określonych etykiet do następujących doświadczeń.
- W Eksploratorze zabezpieczeń w chmurze dostępny jest nowy wgląd "Szerokość ekspozycji", umożliwiając użytkownikom wykonywanie zapytań dotyczących wszystkich obsługiwanych zasobów, które są szeroko ujawnione.
Jak wyświetlić zasoby uwidocznione w Internecie
Usługa Defender for Cloud oferuje kilka różnych sposobów wyświetlania zasobów internetowych.
Cloud Security Explorer — Eksplorator zabezpieczeń w chmurze umożliwia uruchamianie zapytań opartych na grafach. Na stronie Cloud Security Explorer możesz uruchomić zapytanie, aby zidentyfikować zasoby uwidocznione w Internecie. Zapytanie zwraca wszystkie dołączone zasoby z ekspozycją internetową i udostępnia powiązane ze nimi szczegóły do przeglądu.
Analiza ścieżki ataku — strona Analiza ścieżki ataku umożliwia wyświetlenie ścieżek ataków, które może wykonać osoba atakująca, aby uzyskać dostęp do określonego zasobu. Dzięki analizie ścieżki ataku można wyświetlić wizualną reprezentację ścieżki ataku i zobaczyć, które zasoby są uwidocznione w Internecie. Narażenie na internet często służy jako punkt wejścia dla ścieżek ataków, zwłaszcza gdy zasób ma luki w zabezpieczeniach. Zasoby połączone z Internetem często prowadzą do obiektów docelowych z poufnymi danymi.
Zalecenia — Defender dla Chmury określa priorytety zaleceń w oparciu o ich ekspozycję na Internet.
Integracja zarządzania urządzeniami do ataków zewnętrznych w usłudze Defender
Defender dla Chmury również integruje się z usługą Defender External Attack Surface Management, aby ocenić zasoby pod kątem narażenia na Internet, próbując skontaktować się z nimi ze źródła zewnętrznego i sprawdzić, czy reagują.
Dowiedz się więcej o integracji z usługą Defender External Attack Surface Management.