Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
A Análise de Exposição à Internet é um recurso fundamental que ajuda as organizações a identificar quais recursos de nuvem são expostos à Internet pública, intencionalmente ou não, e priorizar a correção com base no risco e no escopo dessa exposição.
O Defender para Nuvem usa a exposição à internet para determinar o nível de risco das suas configurações incorretas, permitindo insights de postura de alta qualidade em caminhos de ataque, avaliações de postura baseadas em risco e priorização de sinais na postura do Defender para Nuvem.
Como o Defender para Nuvem detecta a exposição à Internet
O Defender para Nuvem determina se um recurso é exposto à Internet analisando ambos:
- Configuração do plano de controle (por exemplo, IPs públicos, balanceadores de carga)
- Acessibilidade de caminho de rede (analisando regras de roteamento, segurança e firewall)
Detectar a exposição à Internet pode ser tão simples quanto verificar se uma VM (máquina virtual) tem um endereço IP público. No entanto, o processo pode ser mais complexo. O Defender para Nuvem tenta localizar recursos expostos pela Internet em arquiteturas complexas de várias nuvens. Por exemplo, uma VM pode não ser exposta diretamente à Internet, mas pode estar atrás de um balanceador de carga, que distribui o tráfego de rede entre vários servidores para garantir que nenhum servidor único fique sobrecarregado.
A tabela a seguir lista os recursos que o Defender para Nuvem avalia para exposição à Internet:
| Categoria | Serviços/recursos |
|---|---|
| Máquinas virtuais | VM do Azure Amazon Web Service (AWS) EC2 Instância de computação do GCP (Google Cloud Platform) |
| Clusters de máquinas virtuais | Conjunto de dimensionamento de máquinas virtuais do Azure Grupos de instâncias GCP |
| Bancos de dados (BD) | SQL do Azure Azure PostgreSQL MySQL do Azure Instância Gerenciada do Azure SQL Azure MariaDB Azure Cosmos DB Azure Synapse Banco de Dados Relacional do AWS (RDS) DB Instância de administrador do SQL do GCP |
| Armazenamento | Armazenamento do Azure Buckets do AWS S3 buckets de armazenamento do GCP |
| IA | Serviço OpenAI do Azure Serviços de IA do Azure Azure Cognitive Search |
| Contêineres | AKS (Serviço de Kubernetes do Azure) AWS EKS GCP (Google Cloud Platform) GKE (Google Kubernetes Engine) |
| API | Operações de Gerenciamento de API do Azure |
A tabela a seguir lista os componentes de rede que o Defender para Nuvem avalia para exposição à Internet:
| Categoria | Serviços/recursos |
|---|---|
| Azure | Gateway de Aplicativo Balanceador de carga Firewall do Azure Grupos de Segurança de Rede vNet/Sub-redes |
| AWS | Balanceador de carga elástico |
| GCP | Balanceador de carga |
Exposição Confiável (Prévia)
Observação
A Exposição Confiável dá suporte atualmente apenas a máquinas virtuais multinuvem, incluindo VMs/VMSS do Azure, AWS EC2 e instância de computação do GCP.
A Exposição Confiável, agora disponível na Versão Prévia, permite que as organizações definam CIDRs (intervalos de IP/blocos) e endereços IP individuais conhecidos e confiáveis. Se um recurso for exposto apenas a esses IPs confiáveis, ele não será considerado voltado para a Internet. No Defender CSPM, esses recursos são tratados como sem risco de exposição à Internet, equivalente a recursos de nuvem somente internos.
Quando os IPs confiáveis estiverem configurados, o Defender para Nuvem:
- Suprimir caminhos de ataque originados de computadores que são expostos apenas a IPs confiáveis (por exemplo, scanners internos, VPNs, IPs listados por permissão)
- A prioridade das recomendações de segurança agora excluirá todas as fontes confiáveis que ajudam a reduzir o ruído.
Como funciona
Defina e aplique endereços IP confiáveis usando o Azure Policy aplicado em seu escopo de locatário.
A nova política cria um grupo de IP que contém os endereços CIDR/IP.
O Defender para Nuvem lê a política e a aplica entre tipos de recursos com suporte (atualmente: máquinas virtuais multinuvem).
Caminhos de ataque não serão criados para exposições originadas de máquinas virtuais expostas apenas a endereços IP que são "Confiáveis".
As recomendações de segurança serão despriorizadas se um recurso for exposto apenas a IPs confiáveis.
Uma nova visão de "Exposição Confiável" está disponível no Cloud Security Explorer, permitindo que os usuários consultem todos os recursos com suporte sinalizados como Confiáveis.
Largura da Exposição à Internet
Observação
A Largura de Exposição à Internet, incluindo os fatores de risco, é aplicada apenas a instâncias de computação multinuvem que incluem : VMs/VMSS do Azure, AWS EC2 e instância de computação GCP.
A Largura de Exposição à Internet representa os riscos com base em quão amplamente um recurso (por exemplo, máquina virtual) é exposto à Internet pública. Ele desempenha um papel fundamental para ajudar as equipes de segurança a entender não apenas se um recurso é exposto pela Internet, mas o quão ampla ou estreita é essa exposição, influenciando a criticidade e a priorização dos insights de segurança apresentados em caminhos de ataque e recomendações de segurança.
Como Funciona
O Defender para nuvem analisa automaticamente seus recursos voltados para a Internet e os marca como exposição ampla ou exposição estreita de acordo com as regras de rede. A saída é marcada como ampla exposição e
- Os caminhos de ataque que envolvem recursos amplamente expostos agora indicam claramente isso no título, como "Máquinas virtuais amplamente expostas à Internet têm altas permissões para a conta de armazenamento".
- A largura de exposição calculada é então usada para determinar a geração de trajetórias de ataque e oferecer recomendações baseadas em risco que auxiliam na correta priorização da gravidade dos achados, adicionando rótulos específicos aos resultados seguintes.
- Um novo insight sobre "Superfície de exposição" está disponível no Cloud Security Explorer, permitindo que os usuários consultem todos os recursos suportados que são amplamente expostos a riscos.
Como exibir recursos expostos pela Internet
O Defender para Nuvem oferece algumas maneiras diferentes de exibir recursos voltados para a Internet.
Gerenciador de Segurança de Nuvem – O Gerenciador de Segurança na Nuvem permite que você execute consultas baseadas em grafo. Na página do Cloud Security Explorer, você pode executar uma consulta para identificar os recursos expostos à Internet. A consulta retorna todos os recursos anexados com exposição à Internet e fornece seus detalhes associados para revisão.
Análise de Caminho de Ataque – A página Análise de Caminho de Ataque permite exibir caminhos de ataque que um invasor pode usar para alcançar um recurso específico. Com a Análise de Caminho de Ataque, você pode exibir uma representação visual do caminho de ataque e ver quais recursos são expostos à Internet. A exposição à Internet geralmente serve como um ponto de entrada para caminhos de ataque, especialmente quando o recurso tem vulnerabilidades. Os recursos voltados para a Internet geralmente levam a destinos com dados confidenciais.
Recomendações – O Defender para Nuvem prioriza recomendações com base em sua exposição à Internet.
Integração do Gerenciamento do Surface de Ataque Externo do Defender
O Defender para Nuvem também se integra ao Gerenciamento de Superfície de Ataque Externo do Defender para avaliar os recursos de exposição à Internet, tentando contatá-los de uma fonte externa e ver se eles respondem.
Saiba mais sobre a integração do Gerenciamento de Superfície de Ataque Externo do Defender.