網際網路暴露分析是一項關鍵功能,可協助組織識別哪些雲端資源有意或無意地暴露在公用網際網路上,並根據該暴露的風險和範圍來排定補救的優先順序。
適用於雲端的 Defender使用網際網路暴露風險來判斷設定錯誤的風險層級,進而提供跨攻擊路徑的高品質態勢深入解析、以風險為基礎的態勢評量,以及適用於雲端的 Defender 態勢中的訊號優先順序。
適用於雲端的 Defender 偵測網際網路暴露風險
適用於雲端的 Defender 會分析以下兩者,以判斷資源是否公開給因特網:
- 控制平面設定 (例如公用 IP、負載平衡器)
- 網路路徑可達性 (分析路由、安全性和防火牆規則)
偵測網路暴露就像檢查虛擬機器 (VM) 是否具有公共 IP 位址一樣簡單。 不過,這個程序可能更複雜。 適用於雲端的 Defender 會嘗試在複雜的多雲端架構中找出暴露於網際網路的資源。 例如,VM 可能並未直接暴露於網際網路,但可能位於負載平衡器之後,由負載平衡器將網路流量分散到多部伺服器,以確保不會有單一伺服器負荷過重。
下表列出適用於雲端的 Defender 會評量網際網路暴露風險的資源:
| 類別 | 服務/資源 |
|---|---|
| 虛擬機器 | Azure 虛擬機器 亞馬遜網路服務 (AWS) EC2 Google Cloud Platform (GCP) 計算執行個體 |
| 虛擬機器叢集 | Azure 虛擬機器擴展集 GCP 執行個體群組 |
| 資料庫 (DB) | Azure SQL Azure PostgreSQL Azure MySQL Azure SQL 受控執行個體 Azure MariaDB Azure Cosmos DB Azure Synapse AWS 關聯式資料庫服務 (RDS) 資料庫 GCP SQL 系統管理執行個體 |
| 儲存體 | Azure 儲存體 AWS S3 貯體 GCP 儲存體貯體 |
| AI | Azure OpenAI 服務 Azure AI 服務 Azure 認知搜尋 |
| 容器 | Azure Kubernetes 服務 (AKS) AWS EKS GCP GKE |
| API | Azure API 管理作業 |
下表列出適用於雲端的 Defender 會評量網際網路曝險的網路元件:
| 類別 | 服務/資源 |
|---|---|
| Azure | 應用程式閘道 負載平衡器 Azure 防火牆 網路安全性群組 vNet/子網路 |
| AWS | 彈性負載平衡器 |
| GCP | 負載平衡器 |
受信任暴露風險 (預覽)
備註
Trusted Exposure 目前僅支援多雲端虛擬機器,包括 Azure VM/VMSS、AWS EC2 和 GCP 運算執行個體。
Trusted Exposure 現已提供預覽版,可讓組織定義已知且受信任的 CIDR (IP 範圍/區塊) 和個別 IP 位址。 如果資源只公開給這些受信任的 IP,則不會將其視為網際網路對向。 在 Defender CSPM 中,這類資源會被視為沒有因特網暴露風險,相當於僅限內部的雲端資源。
設定受信任的 IP 時,適用於雲端的 Defender 會:
- 抑制攻擊路徑來源自僅暴露於受信任 IP 的機器 (例如內部掃描器、VPN、允許清單 IP)
- 安全建議的優先順序 現在將排除所有有助於減少噪音的受信任來源。
運作方式
使用套用跨租用戶範圍的 Azure 原則 ,定義並套用受信任的 IP 位址。
新政策會建立包含 CIDR/IP 位址的 IP 群組。
適用於雲端的 Defender 會讀取原則,並將它套用至支援的資源類型 (目前:多雲端虛擬機器)。
不會針對源自僅公開給「受信任」 IP 位址的虛擬機器的暴露建立攻擊路徑。
如果資源只公開給受信任的 IP,則安全性建議的優先順序會降低。
雲端安全探索器上提供新的「受信任曝光」洞察,允許用戶查詢所有被標記為受信任的受支援資源。
互聯網曝光寬度
備註
包括風險因素的網際網路曝光範圍只會套用至多雲端服務計算實例,其中包括 Azure VM/VMSS、AWS EC2 和 GCP 計算實例。
網際網路暴露寬度代表風險,取決於資源 (例如虛擬機器) 暴露給公用網際網路的廣度。 它不僅在幫助安全團隊了解資源是否暴露於互聯網方面發揮關鍵作用,還了解該暴露的廣度或狹窄性,從而影響攻擊路徑和安全建議中呈現的安全見解的重要性和優先級。
運作方式
適用於雲端的 Defender 會自動分析您網際網路對向的資源,並根據網路規則將其標記為 廣泛暴露 或 狹窄暴露 。 輸出會標記為廣泛暴露風險,以及
- 涉及廣泛公開資源的攻擊路徑現在會在標題中清楚指出這一點,例如「廣泛公開的因特網虛擬機器具有儲存體帳戶的高許可權」。
- 然後,計算的暴露寬度會用來判斷攻擊路徑產生和風險型建議,藉由將特定標籤新增至下列體驗,協助您正確排定發現項目的嚴重性優先順序。
- 雲端安全總管上提供了新的「暴露寬度」見解,允許用戶查詢廣泛暴露的所有受支持資源。
如何檢視暴露於網際網路的資源
適用於雲端的 Defender 提供數種不同的方式來檢視網際網路對向資源。
雲端安全總管 - 雲端安全總管可讓您執行以圖形為基礎的查詢。 從 Cloud Security Explorer 頁面中,您可以執行查詢來識別公開給網際網路的資源。 查詢會傳回所有具有網際網路暴露的附加資源,並提供其相關聯的詳細資料以供檢閱。
攻擊路徑分析 - 攻擊路徑分析頁面可讓您檢視攻擊者可能用來接觸特定資源的攻擊路徑。 使用攻擊路徑分析,您可以檢視攻擊路徑的視覺效果呈現,並了解哪些資源已暴露至網際網路。 網際網路暴露風險經常成為攻擊路徑的進入點,特別是在資源具有弱點的情況下。 面向網際網路的資源往往可能會成為存有敏感數據的目標。
建議 - 適用於雲端的 Defender 會依據其的網際網路暴露風險來決定建議的優先順序。
Defender 外部受攻擊面管理整合
適用於雲端的 Defender 也會與 Defender 外部受攻擊面管理整合,透過藉由嘗試從外部來源連絡資源並檢查其是否回應,以評量資源的網際網路暴露風險。
深入了解 Defender 外部受攻擊面管理整合。