Microsoft Defender for Cloud 作為 Cloud-Native 應用保護平台(CNAPP),為跨多雲環境的無伺服器工作負載提供全面的可視化、安全性與態勢管理。 它將覆蓋範圍擴展至 Azure Web Apps、Azure Functions 及 Amazon Web Service (AWS) Lambda,確保這些資源獲得全面保護。
無伺服器保護會自動發現並盤點您環境中所有的網頁應用程式、Azure 函式與 AWS Lambda 函式。 一旦發現這些資源,Defender for Cloud 會識別錯誤設定、漏洞及不安全的依賴。 Defender for Cloud 隨後提供修復指導與持續態勢評估,協助組織維持強健態勢管理,並在動態無伺服器架構中降低風險。
無伺服器保護要求
無伺服器保護是 Defender 雲端安全態勢管理(CSPM)計畫的一部分。
要啟用無伺服器保護,您必須在您的訂閱中 啟用 Defender CSPM 計畫 ,並啟用 Defender CSPM 計畫中的 無伺服器保護元件 。
無伺服器保護的好處
Defender for Cloud 透過提供持續可視化與風險評估,將 CSPM 能力擴展至無伺服器工作負載,具備以下功能:
自動資源發現:偵測所有無伺服器資源(Azure Functions、Web Apps、AWS Lambda),並將其列入統一清單。
持續態勢評估:評估配置中的風險,如公開端點、認證薄弱及加密缺失。
錯誤配置偵測:包括:
- 存取控制:限制網路暴露,強制驗證。
- 身份與權限:防止橫向移動、資料外洩及特權濫用。
- 程式碼完整性:防止未經授權的程式碼變更(如 AWS Lambda 程式碼簽署)。
漏洞評估:掃描軟體套件中的脆弱依賴並提供修復指導。
攻擊路徑分析:繪製涉及無伺服器資源的潛在攻擊鏈,以主動降低風險。
Defender for Cloud 利用這些功能協助組織保護無伺服器工作負載,確保動態雲端環境中穩健的安全態勢管理。
除了這些核心優勢外,Defender for Cloud 的無伺服器安全與 CNAPP 的宏觀願景相符,CNAPP 致力於保護應用程式整個生命週期的安全。
無伺服器保護也整合進 Defender 入口網站。 此整合提供錯誤配置偵測、攻擊路徑分析及漏洞評估的可視性,集中於單一介面中。
無伺服器保護的運作方式
Defender for Cloud 的無伺服器保護結合自動化發現、持續監控與風險評估。 當你啟用 Defender CSPM 計畫並啟用無伺服器保護元件時,Defender for Cloud 會掃描你的雲端環境,以識別所有無伺服器資源,包括 Azure Web Apps、Azure Functions 和 AWS Lambda 函式。
當 Defender for Cloud 發現這些資源後,會持續監控其設定與執行環境。 它會根據一套安全最佳實務與合規標準評估這些資源,以識別錯誤配置、漏洞及不安全的依賴。 當偵測到風險時,Defender for Cloud 會產生包含詳細修復步驟的安全建議,協助你解決問題。
庫存
Defender for Cloud 提供統一的庫存,包含所有已發現的無伺服器資源,讓您能輕鬆查看和管理。 庫存頁面包含資源名稱、類型、位置及相關安全發現等細節。 只需依資源類型篩選結果,聚焦於網頁應用、Azure 函式或 AWS Lambda 函式即可。
篩選結果後,選擇任一資源以查看其安全狀態的更多細節,包括任何有效的安全建議及其嚴重程度等級。
您也可以檢視每個資源相關的安全建議,並依據結果的嚴重程度排定補救工作的優先順序加以補救。
學習如何 修復安全建議。
雲端安全性總管
Defender for Cloud 的 Cloud Security Explorer 提供先進的過濾與查詢功能,讓您能分析無伺服器資源的安全狀態。 你可以建立自訂查詢,找出無伺服器工作負載中的特定錯誤設定或漏洞。
學習如何 用雲端安全總管建立查詢。