Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Microsoft Defender para Nuvem, como uma plataforma de proteção de aplicações nativas da nuvem (CNAPP), oferece visibilidade abrangente, segurança e gerenciamento de postura para workloads sem servidor em ambientes multinuvem. Ele estende a cobertura para Azure Aplicativos Web, Azure Functions e Lambda do Amazon Web Service (AWS), garantindo que esses recursos estejam totalmente protegidos.
A proteção sem servidor descobre e inventaria automaticamente todos os Aplicativos Web, Azure Functions e funções Lambda da AWS em seu ambiente. Depois de descobrir esses recursos, Defender para Nuvem identificará configurações incorretas, vulnerabilidades e dependências inseguras. Defender para Nuvem oferece diretrizes de correção e avaliação de postura contínua, ajudando as organizações a manter um forte gerenciamento de postura e reduzir o risco em arquiteturas dinâmicas e sem servidor.
Saiba mais sobre a disponibilidade da nuvem para esse recurso.
Disponibilidade e requisitos de proteção sem servidor
A proteção sem servidor está disponível como parte do plano Defender CSPM (Cloud Security Posture Management).
Para habilitar a proteção sem servidor, você deve Enável o plano GPSN do Defender em sua assinatura e enable o componente de proteção sem servidor do plano GPSN do Defender.
Atualmente, os recursos disponíveis variam de acordo com o portal. A tabela a seguir mostra quais recursos estão disponíveis em cada portal:
| Característica | portal Defender para Nuvem | portal Defender |
|---|---|---|
| Integração por meio do plano de GPSN do Defender | 
|
|
| Examinar recomendações de configuração incorreta |
|
|
| Criar consultas com o gerenciador de segurança de nuvem |
|
|
| Explorar cargas de trabalho no Inventário de Nuvem |
|
|
| Investigar caminhos de ataque |
|
|
| Avaliação de Vulnerabilidade | - |
|
Para exibir a disponibilidade, consulte o suporte à nuvem.
Consulte as limitações para recursos sem servidor.
Benefícios da proteção sem servidor
Defender para Nuvem estende seus recursos do CSPM para cargas de trabalho sem servidor, fornecendo visibilidade contínua e avaliação de risco com os seguintes recursos:
A descoberta de recursosautomáticos: detecta todos os recursos sem servidor (Azure Functions, Aplicativos Web, AWS Lambda) e os lista em um inventário unificado.
Avaliação de postura contínua: Avalia as configurações para riscos como pontos finais públicos, autenticação fraca e criptografia ausente.
Detecção de configuração incorreta: inclui:
- Controle de Acesso: restringir a exposição à rede, impor a autenticação.
- Identidade & Permissões: prevenir movimentação lateral, exfiltração de dados e abuso de privilégios.
- Integridade do código: proteger contra alterações de código não autorizadas [como assinatura de código Lambda do AWS].
Avaliação de vulnerabilidade: verifica os pacotes de funções em busca de dependências vulneráveis e fornece diretrizes de correção.
Análise de caminho de ataque: mapeia cadeias de ataque potenciais que envolvem recursos sem servidor para mitigação proativa de risco.
Defender para Nuvem usa esses recursos para ajudar as organizações a proteger suas cargas de trabalho sem servidor, garantindo um gerenciamento robusto da postura de segurança em ambientes dinâmicos de nuvem.
Além desses principais benefícios, a segurança sem servidor em Defender para Nuvem se alinha à visão mais ampla do CNAPP, que visa proteger aplicativos durante todo o ciclo de vida.
A proteção sem servidor também é integrada ao portal Defender. Essa integração fornece visibilidade para detecção de configuração incorreta, análise de caminho de ataque e avaliação de vulnerabilidade em uma única interface.
Exiba as recomendações de segurança de proteção sem servidor.
Como funciona a proteção sem servidor
A proteção sem servidor em Defender para Nuvem funciona por meio de uma combinação de descoberta automatizada, monitoramento contínuo e avaliação de risco. Quando você habilita o plano GPSN do Defender e ativa o componente de proteção sem servidor, Defender para Nuvem verifica seu ambiente de nuvem para identificar todos os recursos sem servidor, incluindo funções lambda Azure Aplicativos Web, Azure Functions e AWS.
Depois que Defender para Nuvem descobre os recursos, ele monitora continuamente suas configurações e ambientes de runtime. Ele avalia esses recursos em relação a um conjunto de práticas recomendadas de segurança e padrões de conformidade para identificar configurações incorretas, vulnerabilidades e dependências inseguras. Quando detecta um risco, Defender para Nuvem gera recomendações de segurança com etapas de correção detalhadas para ajudá-lo a resolver os problemas.
Inventário
Defender para Nuvem fornece um inventário unificado de todos os recursos sem servidor descobertos, para que você possa exibi-los e gerenciá-los facilmente. A página de inventário inclui detalhes como nomes de recursos, tipos, locais e descobertas de segurança associadas. Basta filtrar os resultados com base no tipo de recurso para focar em Aplicativos Web, Azure Functions ou funções AWS Lambda.
Depois de filtrar seus resultados, selecione qualquer um dos recursos para exibir mais detalhes sobre sua postura de segurança, incluindo quaisquer recomendações de segurança ativas e seus níveis de gravidade.
Você também pode examinar as recomendações de segurança associadas a cada recurso para priorizar os esforços de correção com base na gravidade das descobertas e corrigi-las.
Saiba como corrigir recomendações de segurança.
Cloud Security Explorer
O Gerenciador de Segurança na Nuvem do Defender para Nuvem fornece recursos avançados de filtragem e consulta que permitem analisar a postura de segurança dos recursos sem servidor. Você pode criar consultas personalizadas para identificar configurações incorretas ou vulnerabilidades específicas em suas cargas de trabalho sem servidor.
Saiba como criar consultas com o Gerenciador de Segurança de Nuvem.
Limitações
Os recursos sem servidor que não estão qualificados para avaliação de vulnerabilidade são os seguintes:
- Aplicativos Web e aplicativos de função que não têm um estado de energia "Em Execução"
- Aplicativos Web e Aplicativos de Funções que não têm acesso à Internet
- Aplicativos Web e de Função com os seguintes valores de "tipo" não são verificados:
- app,migration; functionapp,botapp; app,linux,aspiredashboard; app,container,xenon; app,botapp; app,linux,Kubernetes; app,functionapp,windows; functionapp,linux,container,Kubernetes; app,linux,container,Kubernetes; app,xenon; functionapp,linux,Kubernetes; app,functionapp