Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
A Análise de Exposição à Internet é um recurso fundamental que ajuda as organizações a identificar quais recursos de nuvem estão expostos à Internet pública, intencionalmente ou não, e priorizar a correção com base no risco e no escopo dessa exposição.
O Defender for Cloud usa a exposição à Internet para determinar o nível de risco de suas configurações incorretas, permitindo insights de postura de alta qualidade em caminhos de ataque, avaliações de postura baseadas em risco e priorização de sinal na postura do Defender for Cloud.
Como o Defender for Cloud deteta a exposição à Internet
O Defender for Cloud determina se um recurso está exposto à Internet analisando ambos:
- Configuração do plano de controle (por exemplo, IPs públicos, balanceadores de carga)
- Acessibilidade de caminho de rede (análise de regras de roteamento, segurança e firewall)
Detetar a exposição à Internet pode ser tão simples quanto verificar se uma máquina virtual (VM) tem um endereço IP público. No entanto, o processo pode ser mais complexo. O Defender for Cloud tenta localizar recursos expostos à Internet em arquiteturas multicloud complexas. Por exemplo, uma VM pode não estar diretamente exposta à Internet, mas pode estar atrás de um balanceador de carga, que distribui o tráfego de rede entre vários servidores para garantir que nenhum servidor fique sobrecarregado.
A tabela a seguir lista os recursos que o Defender for Cloud avalia quanto à exposição na Internet:
| Categoria | Serviços/Recursos |
|---|---|
| Máquinas virtuais | Azure VM Amazon Web Service (AWS) EC2 Instância de computação do Google Cloud Platform (GCP) |
| Clusters de máquinas virtuais | Conjunto de Dimensionamento de Máquina Virtual do Azure Grupos de instâncias do GCP |
| Bases de dados (DB) | Azure SQL Azure PostgreSQL Azure MySQL Instância Gerenciada SQL do Azure Azure MariaDB Azure Cosmos DB Sinapse do Azure Banco de dados do AWS Relational Database Service (RDS) Instância de administração do GCP SQL |
| Armazenamento | Armazenamento do Azure Buckets do AWS S3 Buckets de armazenamento GCP |
| IA | Azure OpenAI Service Serviços de IA do Azure Azure Cognitive Search |
| Contentores | Serviço Kubernetes do Azure (AKS) AWS EKS GCP GKE |
| API | Operações de Gerenciamento de API do Azure |
A tabela a seguir lista os componentes de rede que o Defender for Cloud avalia quanto à exposição na Internet:
| Categoria | Serviços/Recursos |
|---|---|
| Azure | Gateway de aplicativo Balanceador de carga Azure Firewall Grupos de segurança de rede vNet/Sub-redes |
| AWS | Balanceador de carga elástico |
| GCP | Balanceador de carga |
Exposição confiável (Pré-visualização)
Observação
Atualmente, o Trusted Exposure oferece suporte a máquinas virtuais multicloud, incluindo VMs/VMSS do Azure, AWS EC2 e instância de computação GCP.
A Exposição Confiável, agora disponível em Pré-visualização, permite que as organizações definam CIDRs (intervalos e blocos de endereços IP) e endereços IP individuais conhecidos e confiáveis. Se um recurso for exposto apenas a esses IPs confiáveis, ele não será considerado voltado para a Internet. No Defender CSPM, esses recursos são tratados como não tendo risco de exposição à Internet, equivalente a recursos de nuvem apenas internos.
Quando IPs confiáveis são configurados, o Defender for Cloud irá:
- Suprimir caminhos de ataque originários de máquinas que estão expostas apenas a IPs confiáveis (por exemplo, scanners internos, VPNs, IPs permitidos)
- A prioridade das recomendações de segurança agora excluirá todas as fontes confiáveis que ajudam a reduzir o ruído.
Como funciona
Defina e aplique endereços IP de confiança usando Política do Azure aplicada em toda a abrangência de locatário.
A nova política cria um grupo IP que contém os endereços CIDR/IP.
O Defender for Cloud lê a política e aplica-a aos tipos de recursos suportados (atualmente: máquinas virtuais multicloud).
Os Caminhos de Ataque não serão criados para exposições originadas de máquinas virtuais expostas apenas a endereços IP "Confiáveis".
As recomendações de segurança são despriorizadas se um recurso for exposto apenas a IPs confiáveis.
Uma nova visão de "Exposição confiável" está disponível no Cloud Security Explorer, permitindo que os usuários consultem todos os recursos suportados sinalizados como confiáveis.
Largura de exposição à Internet
Observação
A largura da exposição à Internet, incluindo os fatores de risco, é aplicada apenas a instâncias de computação multicloud que incluem - VMs/VMSS do Azure, AWS EC2 e instância de computação GCP.
A Largura da Exposição à Internet representa os riscos com base na amplitude com que um recurso (por exemplo, máquina virtual) está exposto à Internet pública. Ele desempenha um papel crítico em ajudar as equipes de segurança a entender não apenas se um recurso está exposto à Internet, mas quão ampla ou estreita é essa exposição, influenciando a criticidade e a priorização das perceções de segurança apresentadas em caminhos de ataque e recomendações de segurança.
Como funciona
O Defender for cloud analisa automaticamente seus recursos voltados para a Internet e os marca como ampla exposição ou exposição estreita de acordo com as regras de rede. A saída é marcada como ampla exposição e
- Os caminhos de ataque que envolvem recursos amplamente expostos agora indicam claramente isso no título, como "Máquinas virtuais amplamente expostas à Internet têm altas permissões para a conta de armazenamento".
- A largura de exposição calculada é então usada para determinar a geração do caminho de ataque e a recomendação baseada em risco que ajuda você a priorizar corretamente a gravidade das descobertas, adicionando rótulos específicos às experiências a seguir.
- Uma nova visão de "Largura da exposição" está disponível no Cloud Security Explorer, permitindo que os usuários consultem todos os recursos suportados que estão amplamente expostos.
Como visualizar recursos expostos na Internet
O Defender for Cloud oferece algumas maneiras diferentes de visualizar os recursos voltados para a Internet.
Cloud Security Explorer - O Cloud Security Explorer permite executar consultas baseadas em gráficos. Na página Cloud Security Explorer, você pode executar uma consulta para identificar recursos expostos à Internet. A consulta retorna todos os recursos anexados com exposição na Internet e fornece seus detalhes associados para revisão.
Análise de Trajetória de Ataque - A página Análise de Trajetória de Ataque permite visualizar os caminhos de ataque que um invasor pode seguir para alcançar um recurso específico. Com a Análise de Caminho de Ataque, você pode visualizar uma representação visual do caminho de ataque e ver quais recursos estão expostos à Internet. A exposição à Internet geralmente serve como um ponto de entrada para caminhos de ataque, especialmente quando o recurso tem vulnerabilidades. Os recursos voltados para a Internet muitas vezes levam a alvos com dados confidenciais.
Recomendações - O Defender for Cloud prioriza as recomendações com base na sua exposição à internet.
Integração do Defender External Attack Surface Management
O Defender for Cloud também se integra ao Defender External Attack Surface Management para avaliar recursos para exposição na Internet, tentando contatá-los de uma fonte externa e ver se eles respondem.
Saiba mais sobre a integração do Defender External Attack Surface Management.