Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule wymieniono wszystkie zalecenia dotyczące zabezpieczeń, które mogą zostać wydane przez plan usługi Microsoft Defender for Cloud — Defender Cloud Security Posture Management (CSPM) na potrzeby ochrony bezserwerowej.
Zalecenia wyświetlane w twoim środowisku są oparte na zasobach, które chronisz i na dostosowanej konfiguracji. Zalecenia można zobaczyć w portalu , które mają zastosowanie do zasobów.
Aby dowiedzieć się więcej o akcjach, które można wykonać w odpowiedzi na te zalecenia, zobacz Korygowanie zaleceń w Defender dla Chmury.
Wskazówka
Jeśli opis zalecenia zawiera tekst Brak powiązanych zasad, zwykle jest to spowodowane tym, że zalecenie jest zależne od innego zalecenia i jego zasad.
Na przykład zalecenie Niepowodzenia kondycji programu Endpoint Protection należy skorygować , opiera się na rekomendacji sprawdzającej, czy rozwiązanie ochrony punktu końcowego jest nawet zainstalowane (należy zainstalować rozwiązanie Endpoint Protection). Rekomendacja bazowa ma zasady. Ograniczenie zasad tylko do podstawowych zaleceń upraszcza zarządzanie zasadami.
Zalecenia dotyczące ochrony bezserwerowej
(Wersja zapoznawcza) Uwierzytelnianie powinno być włączone w usłudze Azure Functions
Opis: usługa Defender for Cloud zidentyfikowała, że uwierzytelnianie nie jest włączone dla aplikacji usługi Azure Functions, a co najmniej jedna funkcja wyzwalana przez protokół HTTP jest ustawiona na "anonimowe". To uwierzytelnianie stanowi ryzyko nieautoryzowanego dostępu do funkcji. Dodaj dostawcę tożsamości dla aplikacji funkcji lub zmień typ uwierzytelniania samej funkcji, aby zapobiec temu ryzyku. (Brak powiązanych zasad)
Ważność: Wysoka
(Wersja zapoznawcza) Uwierzytelnianie powinno być włączone na adresach URL funkcji lambda
Opis: usługa Defender for Cloud zidentyfikowała, że uwierzytelnianie nie jest włączone dla co najmniej jednego adresu URL funkcji lambda. Publicznie dostępne adresy URL funkcji lambda bez uwierzytelniania stanowią ryzyko nieautoryzowanego dostępu i potencjalnego nadużycia. Wymuszanie uwierzytelniania IAM platformy AWS na adresach URL funkcji lambda pomaga ograniczyć te zagrożenia. (Brak powiązanych zasad)
Ważność: Wysoka
(Wersja zapoznawcza) Podpisywanie kodu powinno być włączone w usłudze Lambda
Opis: Usługa Defender for Cloud zidentyfikowała, że podpisywanie kodu nie jest włączone w usłudze Lambda, co stanowi ryzyko nieautoryzowanych modyfikacji kodu funkcji Lambda. Włączenie podpisywania kodu zapewnia integralność i autentyczność kodu, uniemożliwiając takie modyfikacje. (Brak powiązanych zasad)
Ważność: Wysoka
(Wersja zapoznawcza) Należy skonfigurować funkcję lambda z automatycznymi aktualizacjami wersji środowiska uruchomieniowego
Opis: usługa Defender for Cloud zidentyfikowała, że funkcja Lambda nie korzysta z automatycznej aktualizacji wersji środowiska uruchomieniowego. Stwarza to ryzyko narażenia na nieaktualne wersje środowiska uruchomieniowego z lukami w zabezpieczeniach. Korzystanie z automatycznych aktualizacji, które zapewniają aktualną wersję środowiska uruchomieniowego i zapewnia, że funkcja korzysta z najnowszych poprawek zabezpieczeń i ulepszeń. (Brak powiązanych zasad)
Ważność: średni rozmiar
(Wersja zapoznawcza) Funkcja Lambda powinna implementować współbieżność zarezerwowaną, aby zapobiec wyczerpaniu zasobów
Opis: usługa Defender for Cloud zidentyfikowała, że funkcja Lambda używa nieaktualnej wersji warstwy. Stwarza to ryzyko narażenia na znane luki w zabezpieczeniach. Zapewnienie aktualności warstw zapewnia, że funkcja korzysta z najnowszych poprawek zabezpieczeń i ulepszeń. (Brak powiązanych zasad)
Ważność: średni rozmiar
(Wersja zapoznawcza) Nadmierne uprawnienia nie powinny być konfigurowane w aplikacji funkcji, aplikacji internetowej lub aplikacji logiki
Opis: usługa Defender for Cloud zidentyfikowała, że tożsamość aplikacji funkcji, aplikacji internetowej lub aplikacji logiki ma nadmierne uprawnienia. Ograniczając uprawnienia, można zagwarantować, że udzielono tylko niezbędnego dostępu, co zmniejsza ryzyko nieautoryzowanego dostępu i potencjalnych naruszeń zabezpieczeń. (Brak powiązanych zasad)
Ważność: Wysoka
(Wersja zapoznawcza) Dostęp do sieci z ograniczeniami należy skonfigurować w aplikacji funkcji uwidocznionej w Internecie
Opis: Usługa Defender for Cloud zidentyfikowała, że aplikacja funkcji jest uwidoczniona w Internecie bez żadnych ograniczeń. Ograniczając dostęp do sieci, możesz mieć pewność, że tylko dozwolone sieci będą mogły uzyskiwać dostęp do aplikacji funkcji. Jeśli funkcja nie wymaga dostępu do sieci publicznej, ustaw ustawienie "Dostęp do sieci publicznej" na wartość "wyłączone" lub "Włączone z wybranych sieci wirtualnych i adresów IP". Ta akcja ogranicza dostęp do sieci, zmniejszając narażenie na nieautoryzowany dostęp i chroniąc aplikację przed potencjalnymi zagrożeniami. (Brak powiązanych zasad)
Ważność: Wysoka
(Wersja zapoznawcza) Mechanizm zabezpieczeń powinien być używany w bramie interfejsu API funkcji lambda
Opis: usługa Defender for Cloud zidentyfikowała, że uwierzytelnianie nie jest włączone dla bramy interfejsu API funkcji lambda. Stwarza to ryzyko nieautoryzowanego dostępu i potencjalnego nadużycia punktów końcowych funkcji. Wymuszanie uwierzytelniania może pomóc w ograniczeniu tych zagrożeń. (Brak powiązanych zasad)
Ważność: Wysoka