Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Microsoft Defender voor Cloud, als een Cloud-Native Application Protection Platform (CNAPP), biedt uitgebreide zichtbaarheid, beveiliging en houdingsbeheer voor serverloze workloads in omgevingen met meerdere clouds. Het breidt de dekking uit naar Azure Web Apps, Azure Functions en Amazon Web Service (AWS) Lambda, zodat deze resources volledig worden beveiligd.
Serverloze beveiliging detecteert en inventariseert automatisch alle functies Web Apps, Azure Functions en AWS Lambda in uw omgeving. Zodra deze resources zijn gedetecteerd, identificeert Defender voor Cloud onjuiste configuraties, beveiligingsproblemen en onveilige afhankelijkheden. Defender voor Cloud biedt vervolgens herstelrichtlijnen en doorlopende houdingsevaluatie, waardoor organisaties sterk houdingbeheer kunnen onderhouden en risico's in dynamische, serverloze architecturen verminderen.
Meer informatie over de beschikbaarheid van de cloud voor deze functie.
Vereisten voor serverloze beveiliging en beschikbaarheid
Serverloze beveiliging is beschikbaar als onderdeel van het Defender CSPM-plan (Cloud Security Posture Management.
Als u serverloze beveiliging wilt inschakelen, moet u het Defender CSPM-plan inschakelen voor uw abonnement en de Serverloze Beveiligingscomponent van het Defender CSPM-plan inschakelen.
De beschikbare functies variëren momenteel per portal. In de volgende tabel ziet u welke functies beschikbaar zijn in elke portal:
| Feature | Defender voor Cloud-portaal | Defender-portaal |
|---|---|---|
| Onboarding via het Defender CSPM-plan | 
|
|
| Aanbevelingen voor onjuiste configuratie bekijken |
|
|
| Query's bouwen met Cloud Security Explorer |
|
|
| Workloads verkennen in Cloud-inventaris |
|
|
| Aanvalspaden onderzoeken |
|
|
| Evaluatie van beveiligingsproblemen | - |
|
Als u de beschikbaarheid wilt bekijken, raadpleegt u cloudondersteuning.
Zie beperkingen voor serverloze resources.
Voordelen van serverloze beveiliging
Defender voor Cloud breidt de CSPM-mogelijkheden uit naar serverloze workloads door continue zichtbaarheid en risicoanalyse te bieden met de volgende functies:
Automatische resourcedetectie: detecteert alle serverloze resources (Azure Functions, Web Apps, AWS Lambda) en vermeldt deze in een uniforme inventaris.
Doorlopende houdingsevaluatie: evalueert configuraties op risico's zoals openbare eindpunten, zwakke verificatie en ontbrekende versleuteling.
Detectie van onjuiste configuratie: bevat:
- Access Control: Netwerkblootstelling beperken, verificatie afdwingen.
- Identiteit en machtigingen: laterale verplaatsing, gegevensexfiltratie en misbruik van bevoegdheden voorkomen.
- Code-integriteit: bescherm tegen niet-geautoriseerde codewijzigingen [zoals AWS Lambda-codeondertekening].
Evaluatie van beveiligingsproblemen: scant functiepakketten op kwetsbare afhankelijkheden en biedt herstelrichtlijnen.
Analyse van aanvalspad: wijst potentiële aanvalsketens toe die betrekking hebben op serverloze resources voor proactieve risicobeperking.
Defender voor Cloud deze functies gebruikt om organisaties te helpen hun serverloze workloads te beveiligen, waardoor een robuust beveiligingspostuurbeheer in dynamische cloudomgevingen wordt gegarandeerd.
Naast deze belangrijkste voordelen is serverloze beveiliging in Defender voor Cloud afgestemd op de bredere visie van CNAPP, die erop gericht is toepassingen gedurende hun levenscyclus te beveiligen.
Serverloze beveiliging is ook geïntegreerd in de Defender-portal. Deze integratie biedt zichtbaarheid voor foutconfiguratiedetectie, analyse van aanvalspaden en evaluatie van beveiligingsproblemen in één interface.
Bekijk de aanbevelingen voor beveiliging zonder serverbeveiliging.
Hoe serverloze beveiliging werkt
Serverloze beveiliging in Defender voor Cloud werkt via een combinatie van geautomatiseerde detectie, continue bewaking en risicoanalyse. Wanneer u het Defender CSPM-plan inschakelt en de serverloze beveiligingscomponent activeert, scant Defender voor Cloud uw cloudomgeving om alle serverloze resources, waaronder Azure Web Apps, Azure Functions en AWS Lambda-functies, te identificeren.
Nadat Defender voor Cloud de resources heeft gedetecteerd, worden hun configuraties en runtime-omgevingen continu bewaakt. Deze resources worden geëvalueerd op basis van een set aanbevolen beveiligingsprocedures en nalevingsstandaarden om onjuiste configuraties, beveiligingsproblemen en onveilige afhankelijkheden te identificeren. Wanneer er een risico wordt gedetecteerd, genereert Defender voor Cloud beveiligingsaanbevelingen met gedetailleerde herstelstappen om u te helpen de problemen op te lossen.
Voorraad
Defender voor Cloud biedt een uniforme inventaris van alle gedetecteerde serverloze resources, zodat u ze eenvoudig kunt bekijken en beheren. De inventarispagina bevat details zoals resourcenamen, typen, locaties en bijbehorende beveiligingsresultaten. Filter de resultaten op basis van het resourcetype om u te richten op Web Apps-, Azure Functions- of AWS Lambda-functies.
Nadat u de resultaten hebt gefilterd, selecteert u een van de resources om meer informatie over het beveiligingspostuur te bekijken, inclusief eventuele actieve beveiligingsaanbevelingen en hun ernstniveaus.
U kunt ook de beveiligingsaanbevelingen bekijken die aan elke resource zijn gekoppeld om prioriteit te geven aan herstelinspanningen op basis van de ernst van de bevindingen en deze te herstellen.
Leer hoe u beveiligingsaanbevelingen kunt verhelpen.
Cloud Security Explorer
Defender voor Cloud Cloud Security Explorer biedt geavanceerde filter- en querymogelijkheden waarmee u de beveiligingspostuur van uw serverloze resources kunt analyseren. U kunt aangepaste query's maken om specifieke onjuiste configuraties of beveiligingsproblemen in uw serverloze workloads te identificeren.
Meer informatie over het bouwen van query's met Cloud Security Explorer.
Beperkingen
Serverloze resources die niet in aanmerking komen voor evaluatie van beveiligingsproblemen zijn als volgt:
- Web Apps en functie-apps die geen "Running" status hebben
- Web Apps en functie-apps die geen toegang hebben tot internet
- WebApps en Functie-apps met de volgende 'soort' waarden worden niet gescand:
- app,migratie; functionapp,botapp; app,linux,aspiredashboard; app,container,xenon; app,botapp; app,linux,Kubernetes; app,functionapp,windows; functionapp,linux,container,Kubernetes; app,linux,container,Kubernetes; app,xenon; functionapp,linux,Kubernetes; app,functionapp