Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Microsoft Defender for Cloud bietet als cloudeigene Anwendungsschutzplattform (CNAPP) Sichtbarkeit, Sicherheit und Haltungsverwaltung für serverlose Workloads in multicloud-Umgebungen. Es erweitert die Abdeckung auf Azure Web-Apps, Azure Functions und Amazon Web Services (AWS) Lambda.
Serverloser Schutz erkennt und inventariert automatisch Web-Apps, Azure Functions und AWS Lambda-Funktionen in Ihrer Umgebung. Nach der Ermittlung identifiziert Defender for Cloud Fehlkonfigurationen, Sicherheitsrisiken und unsichere Abhängigkeiten. Anschließend bietet sie Anleitungen zur Behebung und kontinuierliche Haltungsbewertung, um Organisationen bei der Verringerung des Risikos in dynamischen serverlosen Architekturen zu unterstützen.
Erfahren Sie mehr über die Cloudverfügbarkeit für dieses Feature.
Serverlose Schutzanforderungen und Verfügbarkeit
Serverloser Schutz ist im Rahmen des Defender Cloud Security Posture Management -Plans (Defender CSPM) verfügbar.
Um den serverlosen Schutz zu aktivieren, müssen Sie in Ihrem Abonnement den Defender CSPM-Plan aktivieren und die Komponente „Serverless-Schutz“ dieses Plans aktivieren.
Derzeit variieren die verfügbaren Features je nach Portal. Die folgende Tabelle zeigt, welche Features in den einzelnen Portalen verfügbar sind:
| Merkmal | Defender für Cloud-Portal | Defender-Portal |
|---|---|---|
| Einführung mit dem Defender CSPM-Plan | ||
| Empfehlungen zur Fehlkonfiguration überprüfen | ||
| Erstellen von Abfragen mit Cloud Security Explorer | ||
| Erkunden von Arbeitslasten in Cloudinventar | ||
| Untersuchen von Angriffspfaden | ||
| Sicherheitsrisikobewertung | - |
Informationen zum Anzeigen der Verfügbarkeit finden Sie unter Cloudsupport.
Siehe Einschränkungen für serverlose Ressourcen.
Vorteile des serverlosen Schutzes
Defender for Cloud erweitert seine CSPM-Funktionen auf serverlose Workloads, indem kontinuierliche Sichtbarkeit und Risikobewertung mit den folgenden Features bereitgestellt werden:
Automatische Ressourcenermittlung: Erkennt alle serverlosen Ressourcen (Azure Functions, Web-Apps, AWS Lambda) und listet sie in einem einheitlichen Bestand auf.
Kontinuierliche Haltungsbewertung: Wertet Konfigurationen für Risiken wie öffentliche Endpunkte, schwache Authentifizierung und fehlende Verschlüsselung aus.
Fehlkonfigurationserkennung: Weist auf Risiken hin in:
- Zugriffssteuerung: Schränkt die Netzwerkexposition ein und erzwingt die Authentifizierung.
- Identität und Berechtigungen: Verhindert Lateral Movement, Datenexfiltration und Berechtigungsmissbrauch.
- Codeintegrität: Schützt vor nicht autorisierten Codeänderungen wie AWS Lambda-Codesignaturumgehungsrisiken.
Sicherheitsrisikobewertung: Überprüft Funktionspakete auf anfällige Abhängigkeiten und bietet Anleitungen zur Behebung.
Analyse des Angriffspfads: Ordnet potenzielle Angriffsketten zu, die serverlose Ressourcen umfassen, damit Sie Probleme mit hohem Risiko priorisieren können.
Defender for Cloud verwendet diese Features, um Organisationen bei der Sicherung serverloser Workloads in dynamischen Cloudumgebungen zu unterstützen.
Über diese Kernvorteile hinaus richtet sich die serverlose Sicherheit in Defender for Cloud an die breitere CNAPP-Vision, um Anwendungen während ihres gesamten Lebenszyklus zu sichern.
Der Serverlose Schutz ist auch in das Defender-Portal integriert. Diese Integration bietet Sichtbarkeit für fehlkonfigurierte Erkennung, Angriffspfadanalyse und Sicherheitsrisikobewertung in einer einzigen Schnittstelle.
Sehen Sie sich die Serverlosen Schutzsicherheitsempfehlungen an.
Funktionsweise des serverlosen Schutzes
Der serverlose Schutz in Defender for Cloud funktioniert durch eine Kombination aus automatisierter Ermittlung, kontinuierlicher Überwachung und Risikobewertung. Wenn Sie den Defender CSPM Plan aktivieren und die serverlose Schutzkomponente aktivieren, überprüft Defender for Cloud Ihre Cloudumgebung, um alle serverlosen Ressourcen zu identifizieren, einschließlich Azure Web-Apps, Azure Functions und AWS Lambda-Funktionen.
Nachdem Defender for Cloud die Ressourcen ermittelt hat, überwacht sie kontinuierlich ihre Konfigurationen und Laufzeitumgebungen. Sie wertet diese Ressourcen anhand einer Reihe bewährter Sicherheitsmethoden und Compliancestandards aus, um Fehlkonfigurationen, Sicherheitsrisiken und unsichere Abhängigkeiten zu identifizieren. Wenn ein Risiko erkannt wird, generiert Defender for Cloud Sicherheitsempfehlungen mit detaillierten Korrekturschritten, die Ihnen bei der Behebung der Probleme helfen.
Inventory
Defender for Cloud bietet einen einheitlichen Bestand aller ermittelten serverlosen Ressourcen, sodass Sie sie ganz einfach anzeigen und verwalten können. Die Bestandsseite enthält Details wie Ressourcennamen, Typen, Standorte und zugehörige Sicherheitsergebnisse. Filtern Sie einfach die Ergebnisse basierend auf dem Ressourcentyp, um sich auf Web-Apps, Azure Functions oder AWS Lambda-Funktionen zu konzentrieren.
Nachdem Sie Ihre Ergebnisse gefiltert haben, wählen Sie eine Ressource aus, um Details zum Sicherheitsstatus anzuzeigen, einschließlich aktiver Sicherheitsempfehlungen und deren Schweregrad.
Sie können auch die Sicherheitsempfehlungen überprüfen, die den einzelnen Ressourcen zugeordnet sind, um die Korrektur basierend auf dem Schweregrad zu priorisieren.
Erfahren Sie, wie Sie Sicherheitsempfehlungen beheben.
Cloud-Sicherheits-Explorer
Defender for Cloud Cloud Security Explorer bietet erweiterte Filter- und Abfragefunktionen, sodass Sie den Sicherheitsstatus Ihrer serverlosen Ressourcen analysieren können. Sie können benutzerdefinierte Abfragen erstellen, um bestimmte Fehlkonfigurationen oder Sicherheitsrisiken in Ihren serverlosen Workloads zu identifizieren.
Erfahren Sie, wie Sie Abfragen mit Cloud Security Explorer erstellen.
Einschränkungen
Serverlose Ressourcen, die nicht zur Bewertung von Sicherheitsrisiken berechtigt sind, umfassen:
- Web-Apps und Funktions-Apps, die keinen Betriebsleistungszustand aufweisen.
- Web-Apps und Funktions-Apps, die keinen Internetzugang haben.
- Web-Apps- und Funktions-Apps mit den folgenden Typwerten:
app,migrationfunctionapp,botappapp,linux,aspiredashboardapp,container,xenonapp,botappapp,linux,Kubernetesapp,functionapp,windowsfunctionapp,linux,container,Kubernetesapp,linux,container,Kubernetesapp,xenonfunctionapp,linux,Kubernetesapp,functionapp