Che cos'è la protezione serverless?

Microsoft Defender per il cloud, come piattaforma di protezione delle applicazioni nativa del cloud (CNAPP), offre visibilità, sicurezza e gestione del comportamento per carichi di lavoro serverless in ambienti multicloud. Estende la copertura ad Azure App Web, Funzioni di Azure e Amazon Web Services (AWS) Lambda.

La protezione serverless individua e archivia automaticamente App Web, Funzioni di Azure e funzioni lambda AWS nell'ambiente in uso. Dopo l'individuazione, Defender per il cloud identifica errori di configurazione, vulnerabilità e dipendenze non sicure. Fornisce quindi indicazioni per la correzione e la valutazione continua del comportamento per aiutare le organizzazioni a ridurre i rischi nelle architetture serverless dinamiche.

Altre informazioni sulla disponibilità del cloud per questa funzionalità.

Requisiti e disponibilità della protezione serverless

La protezione serverless è disponibile nell'ambito del piano Defender cloud security posture management (Defender CSPM).

Per abilitare la protezione serverless, è necessario abilitare il piano di Defender CSPM nella sottoscrizione e abilitare il componente protezione serverless del piano.

Attualmente, le funzionalità disponibili variano in base al portale. La tabella seguente illustra le funzionalità disponibili in ogni portale:

Caratteristica / Funzionalità Portale di Defender per il cloud Portale di Defender
Onboarding tramite il piano CSPM di Defender
Esaminare le raccomandazioni di misconfigurazione
Crea query con Cloud Security Explorer
Esplorare i carichi di lavoro nell'inventario cloud
Analizzare i percorsi di attacco
Valutazione della vulnerabilità -

Per visualizzare la disponibilità, vedere Supporto cloud.

Consulta limitazioni delle risorse serverless.

Vantaggi della protezione serverless

Defender per il cloud estende le funzionalità CSPM ai carichi di lavoro serverless offrendo visibilità e valutazione dei rischi continui con le funzionalità seguenti:

  • Individuazione automatica delle risorse: rileva tutte le risorse serverless (Funzioni di Azure, App Web, AWS Lambda) e le elenca in un inventario unificato.

  • Valutazione continua del comportamento: valuta le configurazioni per rischi come endpoint pubblici, autenticazione debole e crittografia mancante.

  • Rilevamento della configurazione errata: evidenzia i rischi in:

    • Controllo di accesso: limita l'esposizione della rete e applica l'autenticazione.
    • Identità e autorizzazioni: consente di evitare lo spostamento laterale, l'esfiltrazione dei dati e l'abuso dei privilegi.
    • Integrità del codice: consente di proteggersi da modifiche al codice non autorizzate, ad esempio rischi di bypass della firma del codice lambda AWS.
  • Valutazione della vulnerabilità: analizza i pacchetti di funzioni per individuare le dipendenze vulnerabili e fornisce indicazioni sulla correzione.

  • Analisi del percorso di attacco: esegue il mapping di potenziali catene di attacco che coinvolgono risorse serverless, in modo da poter classificare in ordine di priorità i problemi ad alto rischio.

Defender per il cloud usa queste funzionalità per aiutare le organizzazioni a proteggere i carichi di lavoro serverless in ambienti cloud dinamici.

Oltre a questi vantaggi principali, la sicurezza serverless in Defender per il cloud si allinea alla visione CNAPP più ampia per proteggere le applicazioni durante il ciclo di vita.

La protezione serverless è integrata anche nel portale di Defender. Questa integrazione offre visibilità per il rilevamento della configurazione errata, l'analisi del percorso di attacco e la valutazione della vulnerabilità in un'unica interfaccia.

Visualizzare le raccomandazioni di sicurezza per la protezione serverless.

Come funziona la protezione serverless

La protezione serverless in Defender per il cloud funziona tramite una combinazione di individuazione automatizzata, monitoraggio continuo e valutazione dei rischi. Quando si abilita il piano di Defender CSPM e si attiva il componente protezione serverless, Defender per il cloud analizza l'ambiente cloud per identificare tutte le risorse serverless, incluse le funzioni Azure App Web, Funzioni di Azure e AWS Lambda.

Dopo che Defender per il cloud individua le risorse, monitora continuamente le configurazioni e gli ambienti di runtime. Valuta queste risorse rispetto a un set di procedure consigliate per la sicurezza e standard di conformità per identificare errori di configurazione, vulnerabilità e dipendenze non sicure. Quando rileva un rischio, Defender per il cloud genera raccomandazioni sulla sicurezza con procedure di correzione dettagliate per risolvere i problemi.

Inventory

Defender per il cloud fornisce un inventario unificato di tutte le risorse serverless individuate, in modo da poterle visualizzare e gestire facilmente. La pagina di inventario include dettagli, ad esempio nomi di risorse, tipi, posizioni e risultati di sicurezza associati. È sufficiente filtrare i risultati in base al tipo di risorsa per concentrarsi sulle funzioni App Web, Funzioni di Azure o AWS Lambda.

Pagina dell'inventario cloud filtrata per le risorse serverless, che mostra le voci Azure App Web, Funzioni di Azure e AWS Lambda.

Dopo aver filtrato i risultati, selezionare una risorsa per visualizzare i dettagli sul comportamento di sicurezza, incluse le raccomandazioni di sicurezza attive e i relativi livelli di gravità.

Pagina dei dettagli delle risorse per un carico di lavoro serverless che mostra l'integrità della sicurezza, le raccomandazioni attive e le informazioni sulla gravità.

È anche possibile esaminare le raccomandazioni di sicurezza associate a ogni risorsa per classificare in ordine di priorità la correzione in base alla gravità della ricerca.

Informazioni su come correggere le raccomandazioni sulla sicurezza.

Cloud Security Explorer

Cloud Security Explorer di Defender per il cloud offre funzionalità avanzate di filtro e query, in modo da poter analizzare il comportamento di sicurezza delle risorse serverless. È possibile creare query personalizzate per identificare configurazioni o vulnerabilità specifiche nei carichi di lavoro serverless.

Screenshot della pagina Cloud Security Explorer con una query specifica inserita per la protezione serverless.

Scopri come creare query con Cloud Security Explorer.

Limitations

Le risorse serverless non idonee per la valutazione della vulnerabilità includono:

  • App Web e le app per le funzioni che non hanno uno stato di alimentazione in esecuzione.
  • Web App e app per funzioni che non hanno accesso a Internet.
  • Le Web App e le app per funzioni con i seguenti valori di tipo:
    • app,migration
    • functionapp,botapp
    • app,linux,aspiredashboard
    • app,container,xenon
    • app,botapp
    • app,linux,Kubernetes
    • app,functionapp,windows
    • functionapp,linux,container,Kubernetes
    • app,linux,container,Kubernetes
    • app,xenon
    • functionapp,linux,Kubernetes
    • app,functionapp