Udostępnij przez

Ochrona bezserwerowa

Usługa Microsoft Defender for Cloud jako platforma ochrony aplikacji Cloud-Native (CNAPP) zapewnia kompleksowe zarządzanie widocznością, zabezpieczeniami i stanem dla obciążeń bezserwerowych w środowiskach wielochmurowych. Rozszerza zakres usług Azure Web Apps, Azure Functions i Amazon Web Service (AWS) Lambda, zapewniając, że te zasoby są w pełni chronione.

Ochrona bezserwerowa automatycznie odnajduje i inwentaryzuje wszystkie funkcje Web Apps, Azure Functions i AWS Lambda w danym środowisku. Po odnalezieniu tych zasobów usługa Defender for Cloud identyfikuje błędy konfiguracji, luki w zabezpieczeniach i niezabezpieczone zależności. Usługa Defender for Cloud oferuje wskazówki dotyczące korygowania i ciągłą ocenę stanu, pomagając organizacjom zachować silne zarządzanie stanem i zmniejszyć ryzyko w dynamicznych architekturach bezserwerowych.

Wymagania dotyczące ochrony bezserwerowej

Ochrona bezserwerowa jest dostępna w ramach planu zarządzania stanem zabezpieczeń w chmurze w usłudze Defender (CSPM).

Aby włączyć ochronę bezserwerową, należy włączyć plan usługi Defender CSPM w ramach subskrypcji i włączyć składnik ochrony bezserwerowej planu usługi Defender CSPM.

Zalety ochrony bezserwerowej

Usługa Defender for Cloud rozszerza możliwości CSPM na obciążenia bezserwerowe, zapewniając ciągłą widoczność i ocenę ryzyka przy użyciu następujących funkcji:

  • Automatyczne odnajdywanie zasobów: wykrywa wszystkie zasoby bezserwerowe (Azure Functions, Web Apps, AWS Lambda) i wyświetla je w ujednoliconym spisie.

  • Ciągła ocena stanu: ocenia konfiguracje pod kątem zagrożeń, takich jak publiczne punkty końcowe, słabe uwierzytelnianie i brakujące szyfrowanie.

  • Wykrywanie błędów konfiguracji: obejmuje:

    • Kontrola dostępu: ograniczanie narażenia sieci, wymuszanie uwierzytelniania.
    • Tożsamość i uprawnienia: zapobieganie ruchowi lateralnemu, eksfiltracji danych i nadużyciom przywilejów.
    • Integralność kodu: ochrona przed nieautoryzowanymi zmianami kodu [takimi jak podpisywanie kodu lambda platformy AWS].

  • Ocena luk w zabezpieczeniach: skanuje pakiety funkcji pod kątem zależności podatnych na zagrożenia i udostępnia wskazówki dotyczące korygowania.

  • Analiza ścieżki ataku: mapuje potencjalne łańcuchy ataków obejmujące zasoby bezserwerowe w celu proaktywnego ograniczania ryzyka.

Usługa Defender for Cloud używa tych funkcji, aby pomóc organizacjom w zabezpieczaniu obciążeń bezserwerowych, zapewniając niezawodne zarządzanie stanem zabezpieczeń w dynamicznych środowiskach chmury.

Poza tymi podstawowymi korzyściami zabezpieczenia bezserwerowe w usłudze Defender for Cloud są zgodne z szerszą wizją aplikacji CNAPP, która ma na celu zabezpieczenie aplikacji w całym cyklu życia.

Ochrona bezserwerowa jest również zintegrowana z portalem usługi Defender. Ta integracja zapewnia widoczność wykrywania błędów konfiguracji, analizy ścieżki ataku oraz oceny luk w zabezpieczeniach w jednym interfejsie.

Wyświetl zalecenia dotyczące zabezpieczeń ochrony bezserwerowej.

Jak działa ochrona bezserwerowa

Ochrona bezserwerowa w usłudze Defender for Cloud działa dzięki połączeniu zautomatyzowanego odnajdywania, ciągłego monitorowania i oceny ryzyka. Po włączeniu planu programu Defender CSPM i aktywowaniu składnika ochrony bezserwerowej usługa Defender for Cloud skanuje środowisko chmury w celu zidentyfikowania wszystkich zasobów bezserwerowych, w tym usług Azure Web Apps, Azure Functions i AWS Lambda.

Po odnalezieniu zasobów Defender for Cloud stale monitoruje ich konfiguracje i środowiska uruchomieniowe. Ocenia te zasoby pod kątem zestawu najlepszych rozwiązań w zakresie zabezpieczeń i standardów zgodności w celu identyfikowania błędów konfiguracji, luk w zabezpieczeniach i niezabezpieczonych zależności. Po wykryciu ryzyka usługa Defender for Cloud generuje zalecenia dotyczące zabezpieczeń ze szczegółowymi krokami korygowania, które pomogą Ci rozwiązać problemy.

Stan zapasów

Usługa Defender for Cloud udostępnia ujednolicony spis wszystkich odnalezionych zasobów bezserwerowych, dzięki czemu można je łatwo wyświetlać i zarządzać nimi. Strona spisu zawiera szczegółowe informacje, takie jak nazwy zasobów, typy, lokalizacje i skojarzone ustalenia zabezpieczeń. Po prostu przefiltruj wyniki na podstawie typu zasobu, aby skoncentrować się na funkcjach Web Apps, Azure Functions lub AWS Lambda.

Zrzut ekranu przedstawiający stronę spisu przefiltrowaną według zasobów.

Po przefiltraniu wyników wybierz dowolny z zasobów, aby wyświetlić więcej szczegółów na temat stanu zabezpieczeń, w tym wszelkich aktywnych zaleceń dotyczących zabezpieczeń i ich poziomów ważności.

Zrzut ekranu przedstawiający kondycję wybranych zasobów.

Możesz również przejrzeć zalecenia dotyczące zabezpieczeń skojarzone z poszczególnymi zasobami, aby ustalić priorytety działań korygcyjnych na podstawie ważności wyników i skorygować je.

Dowiedz się, jak korygować zalecenia dotyczące zabezpieczeń.

Eksplorator bezpieczeństwa w chmurze

Usługa Defender for Cloud Security Explorer udostępnia zaawansowane funkcje filtrowania i wykonywania zapytań, które umożliwiają analizowanie stanu zabezpieczeń zasobów bezserwerowych. Zapytania niestandardowe można tworzyć, aby zidentyfikować określone błędy konfiguracji lub luki w zabezpieczeniach w obciążeniach bezserwerowych.

Zrzut ekranu przedstawiający stronę Eksploratora zabezpieczeń w chmurze z wprowadzonym zapytaniem specyficznym dla ochrony bezserwerowej.

Dowiedz się, jak tworzyć zapytania za pomocą eksploratora zabezpieczeń w chmurze.

Treści powiązane

  • Last updated on