Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Microsoft Defender for Cloud, en tant que Cloud-Native Application Protection Platform (CNAPP), offre une visibilité, une sécurité et une gestion de posture complètes pour les charges de travail serverless dans les environnements multiclouds. Il étend la couverture à Azure Web Apps, Azure Functions et Amazon Web Service (AWS) Lambda, ce qui garantit que ces ressources sont entièrement protégées.
La protection serverless découvre et inventorie automatiquement toutes les fonctions Web Apps, Azure Functions et AWS Lambda dans votre environnement. Une fois ces ressources découvertes, Defender for Cloud identifie les configurations incorrectes, les vulnérabilités et les dépendances non sécurisées. Defender for Cloud propose ensuite des conseils de correction et une évaluation continue de la posture, aidant les organisations à maintenir une gestion forte de la posture et à réduire les risques dans les architectures dynamiques et serverless.
En savoir plus sur la disponibilité cloud pour cette fonctionnalité.
Exigences en matière de protection et de disponibilité en mode sans serveur
La protection serverless est disponible dans le cadre du plan Defender Cloud Security Posture Management (CSPM).
Pour activer la protection serverless, vous devez activer le plan CSPM Defender sur votre abonnement et activer le composant de protection serverless du plan CSPM Defender.
Actuellement, les fonctionnalités disponibles varient selon le portail. Le tableau suivant indique les fonctionnalités disponibles dans chaque portail :
| Fonctionnalité | portail de Defender for Cloud | portail Defender |
|---|---|---|
| Intégration via le plan de CSPM Defender | 
|
|
| Examiner les recommandations en cas de mauvaise configuration |
|
|
| Créer des requêtes avec l’Explorateur de sécurité cloud |
|
|
| Explorer les charges de travail dans l’inventaire cloud |
|
|
| Examiner les chemins d’attaque |
|
|
| Évaluation des vulnérabilités | - |
|
Pour afficher la disponibilité, consultez le support Cloud.
Consultez les limitations pour les ressources serverless.
Avantages de la protection sans serveur
Defender for Cloud étend ses fonctionnalités CSPM aux charges de travail serverless en fournissant une visibilité continue et une évaluation des risques avec les fonctionnalités suivantes :
Découverte automatique de ressources : détecte toutes les ressources serverless (Azure Functions, Web Apps, AWS Lambda) et les répertorie dans un inventaire unifié.
Évaluation continue de la posture : évalue les configurations pour les risques tels que les points de terminaison publics, l’authentification faible et le chiffrement manquant.
Détection de la configuration incorrecte : inclut :
- Access Control : restreindre l’exposition du réseau, appliquer l’authentification.
- Identité & Autorisations : Empêcher le déplacement latéral, l’exfiltration des données et l’abus de privilèges.
- Intégrité du code : protégez-vous contre les modifications de code non autorisées [comme la signature de code AWS Lambda].
Évaluation des vulnérabilités : analyse les packages de fonctions pour les dépendances vulnérables et fournit des conseils de correction.
Analyse du chemin d’attaque : mappe les chaînes d’attaque potentielles impliquant des ressources serverless pour une atténuation proactive des risques.
Defender for Cloud utilise ces fonctionnalités pour aider les organisations à sécuriser leurs charges de travail serverless, en garantissant une gestion robuste de la posture de sécurité dans les environnements cloud dynamiques.
Au-delà de ces principaux avantages, la sécurité serverless dans Defender for Cloud s’aligne sur la vision plus large du CNAPP, qui vise à sécuriser les applications tout au long de leur cycle de vie.
La protection serverless est également intégrée au portail Defender. Cette intégration offre une visibilité pour la détection d’erreurs de configuration, l’analyse du chemin d’attaque et l’évaluation des vulnérabilités dans une seule interface.
Affichez les recommandations de sécurité sans serveur pour la protection.
Fonctionnement de la protection sans serveur
La protection serverless dans Defender for Cloud fonctionne à l’aide d’une combinaison de découverte automatisée, de surveillance continue et d’évaluation des risques. Lorsque vous activez le plan de CSPM Defender et activez le composant de protection serverless, Defender for Cloud analyse votre environnement cloud pour identifier toutes les ressources serverless, notamment les fonctions Azure Web Apps, Azure Functions et AWS Lambda.
Après Defender for Cloud découvre les ressources, elle surveille en permanence leurs configurations et environnements d’exécution. Il évalue ces ressources par rapport à un ensemble de bonnes pratiques de sécurité et de normes de conformité pour identifier les configurations incorrectes, les vulnérabilités et les dépendances non sécurisées. Lorsqu’il détecte un risque, Defender for Cloud génère des recommandations de sécurité avec des étapes de correction détaillées pour vous aider à résoudre les problèmes.
Inventaire
Defender for Cloud fournit un inventaire unifié de toutes les ressources serverless découvertes, ce qui vous permet de les afficher et de les gérer facilement. La page d’inventaire inclut des détails tels que les noms de ressources, les types, les emplacements et les résultats de sécurité associés. Filtrez simplement les résultats en fonction du type de ressource pour vous concentrer sur les fonctions Web Apps, Azure Functions ou AWS Lambda.
Après avoir filtré vos résultats, sélectionnez l’une des ressources pour afficher plus de détails sur sa posture de sécurité, y compris les recommandations de sécurité actives et leurs niveaux de gravité.
Vous pouvez également examiner les recommandations de sécurité associées à chaque ressource pour hiérarchiser les efforts de correction en fonction de la gravité des résultats et les corriger.
Découvrez comment corriger les recommandations de sécurité.
Cloud Security Explorer
Defender for Cloud Cloud Security Explorer fournit des fonctionnalités avancées de filtrage et d'interrogation qui vous permettent d'analyser la posture de sécurité de vos ressources serverless. Vous pouvez créer des requêtes personnalisées pour identifier des configurations incorrectes ou des vulnérabilités spécifiques sur vos charges de travail serverless.
Découvrez comment créer des requêtes avec Cloud Security Explorer.
Limites
Les ressources serverless qui ne sont pas éligibles pour l’évaluation des vulnérabilités sont les suivantes :
- Les Web Apps et les applications de fonction qui n’ont pas un statut de fonctionnement « En cours d’exécution »
- Web Apps et les applications de fonction qui n’ont pas accès à Internet
- WebApps et Function Apps avec les valeurs « kind » suivantes ne sont pas analysées :
- application, migration ; functionapp,botapp ; app, linux, aspiredashboard ; app,conteneur,xenon ; app,botapp ; app,linux,Kubernetes ; app,functionapp,windows ; functionapp,linux,conteneur,Kubernetes ; app,linux,conteneur,Kubernetes ; app,xenon ; functionapp,linux,Kubernetes ; app,functionapp