本文列出了你可能會看到的 Microsoft Defender 雲端方案——Defender 雲端安全態勢管理(CSPM)針對無伺服器保護所發布的所有安全建議。
您環境中顯示的建議是以您要保護的資源和自訂設定為基礎。 您可以在 入口網站中看到 適用於您資源的建議。
若要瞭解您可以採取以回應這些建議的動作,請參閱補救 適用於雲端的 Defender 中的建議。
小提示
如果推薦說明寫著 「無相關政策」,通常是因為該推薦依賴於另一項 建議及其政策 。
例如,建議「 端點保護健康失效應修復 」即依賴於檢查端點保護解決方案是否已安裝的建議(端點保護解決方案應安裝)。 基礎建議 確實 有原則。 將政策限制於基礎建議,簡化了政策管理。
無伺服器保護建議
(預告)認證應該在 Azure Functions 中啟用
說明:Defender for Cloud 發現你的 Azure Functions 應用程式未啟用認證,且至少有一個 HTTP 觸發函式被設定為「匿名」。 此認證存在未經授權存取函式的風險。 為 Function 應用程式新增身份提供者,或更改函式本身的認證類型,以避免此風險。 (無相關政策)
嚴重性:高
(預告)Lambda 函數的 URL 應啟用認證
說明:Defender for Cloud 發現一個或多個 Lambda Function URL 未啟用認證。 未經驗證的公開 Lambda 函數網址存在未經授權存取及潛在濫用的風險。 強制執行 AWS IAM 認證於 Lambda Function URL 有助於降低這些風險。 (無相關政策)
嚴重性:高
(預告)Lambda 上應啟用程式碼簽署功能
說明:Defender for Cloud 已發現 Lambda 未啟用程式碼簽署功能,這可能導致未經授權修改 Lambda 函式程式碼。 啟用程式碼簽名能確保程式碼的完整性與真實性,防止此類修改。 (無相關政策)
嚴重性:高
(預告)Lambda 函式應設定為自動執行時版本更新
說明:Defender for Cloud 發現 Lambda 函式並未使用自動執行時版本更新。 這也帶來暴露於帶有漏洞的過時執行版本的風險。 使用自動更新,保持執行時間的更新,並確保函式能從最新的安全修補程式與改進中受益。 (無相關政策)
嚴重性:中
(預告)Lambda 函式應實作保留並行,以防止資源耗盡
說明:Defender for Cloud 發現 Lambda 函式使用的是過時的層級版本。 這會帶來暴露於已知漏洞的風險。 保持層級更新,確保該部門能從最新的安全修補程式與改進中受益。 (無相關政策)
嚴重性:中
(預告)過度寬鬆的權限不應該在功能應用程式、網頁應用程式或邏輯應用程式上設定
說明:Defender for Cloud 發現 Function App、Web App 或 Logic App Identity 擁有過於寬鬆的權限。 透過限制權限,您可以確保只有必要的存取權限被授予,降低未經授權存取及潛在安全漏洞的風險。 (無相關政策)
嚴重性:高
(預告)限制網路存取應在暴露於網路的 Function 應用程式中設定
說明:Defender for Cloud 發現 Function 應用程式是無限制地暴露於網路的。 透過限制網路存取,你可以確保只有被允許的網路才能存取 Functionapp。 如果這個功能不需要公共網路存取,請將「公共網路存取」設定設為「停用」或「從選取的虛擬網路和 IP 位址啟用」。 此舉限制網路存取,降低未授權存取的風險,並保護您的應用程式免受潛在威脅。 (無相關政策)
嚴重性:高
(預告)安全機制應用於 lambda 函數 API 閘道
說明:Defender for Cloud 發現 lambda 函式 API Gateway 未啟用認證。 這帶來未經授權存取及功能端點可能被濫用的風險。 強制認證有助於降低這些風險。 (無相關政策)
嚴重性:高