Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
O Microsoft Defender para a Cloud, enquanto Plataforma de Proteção de Aplicações Nativas da Nuvem (CNAPP), oferece visibilidade, segurança e gestão abrangente de postura para cargas de trabalho sem servidor (serverless) em ambientes multicloud. Estende a cobertura à Azure Aplicações Web, Funções do Azure e Amazon Web Service (AWS) Lambda, garantindo que estes recursos estão totalmente protegidos.
A proteção serverless descobre e inventaria automaticamente todas as funções Aplicações Web, Funções do Azure e AWS Lambda no seu ambiente. Depois de identificar estes recursos, o Defender para a Cloud identifica configurações erradas, vulnerabilidades e dependências inseguras. O Defender para a Cloud oferece então orientações de remediação e avaliação contínua da postura, ajudando as organizações a manter uma gestão forte da postura e a reduzir riscos em arquiteturas dinâmicas e serverless.
Saiba mais sobre a disponibilidade na cloud desta funcionalidade.
Requisitos e disponibilidade de proteção serverless
A proteção sem servidor está disponível no âmbito do plano Defender Cloud Security Posture Management (CSPM).
Para ativar a proteção serverless, deve ativar o plano GPSC do Defender na sua subscrição e ativar o componente de proteção serverless do plano GPSC do Defender.
Atualmente, as funcionalidades disponíveis variam consoante o portal. A tabela seguinte mostra quais as funcionalidades disponíveis em cada portal:
| Feature | Portal do Defender para a Cloud | Portal Defender |
|---|---|---|
| Integração através do plano GPSC do Defender | 
|
|
| Revise as recomendações de configuração incorreta |
|
|
| Construir consultas com o explorador de segurança na cloud |
|
|
| Explore cargas de trabalho no Cloud Inventory |
|
|
| Investigar caminhos de ataque |
|
|
| Avaliação de vulnerabilidades | - |
|
Para ver a disponibilidade, consulte suporte na cloud.
Consulte limitações para recursos sem servidor.
Benefícios da proteção serverless
O Defender para a Cloud estende as suas capacidades CSPM a cargas de trabalho serverless, fornecendo visibilidade contínua e avaliação de risco com as seguintes funcionalidades:
Descoberta automática de recursos: Deteta todos os recursos serverless (Funções do Azure, Aplicações Web, AWS Lambda) e lista-os num inventário unificado.
Avaliação contínua da postura: Avalia configurações quanto a riscos como endpoints públicos, autenticação fraca e encriptação em falta.
Deteção de configuração incorreta: Inclui:
- Controlo de Acesso: Restringir a exposição da rede, impor autenticação.
- Identidade e Permissões: Prevenir movimentos laterais, exfiltração de dados e abuso de privilégios.
- Integridade do Código: Proteger contra alterações não autorizadas de código [como assinatura de código AWS Lambda].
Avaliação de vulnerabilidades: Analisa pacotes funcionais à procura de dependências vulneráveis e fornece orientações para remediação.
Análise do Caminho de Ataque: Mapeia potenciais cadeias de ataque envolvendo recursos serverless para mitigação proativa de riscos.
O Defender para a Cloud utiliza estas funcionalidades para ajudar as organizações a proteger as suas cargas de trabalho serverless, garantindo uma gestão robusta da postura de segurança em ambientes cloud dinâmicos.
Para além destes benefícios fundamentais, a segurança serverless no Defender para a Cloud está alinhada com a visão mais ampla da CNAPP, que visa proteger as aplicações ao longo de todo o seu ciclo de vida.
A proteção serverless está também integrada no portal do Defender. Esta integração proporciona visibilidade para a deteção de má configuração, análise do caminho de ataque e avaliação de vulnerabilidades numa única interface.
Consulte as recomendações de segurança para proteção serverless.
Como funciona a proteção serverless
A proteção serverless no Defender para a Cloud funciona através de uma combinação de descoberta automatizada, monitorização contínua e avaliação de riscos. Quando ativa o plano de GPSC do Defender e ativa o componente de proteção serverless, Defender para a Cloud analisa o seu ambiente cloud para identificar todos os recursos serverless, incluindo Azure Aplicações Web, Funções do Azure e funções AWS Lambda.
Depois de o Defender para a Cloud descobrir os recursos, monitoriza continuamente as suas configurações e ambientes de execução. Avalia estes recursos com base num conjunto de melhores práticas de segurança e normas de conformidade para identificar configurações incorretas, vulnerabilidades e dependências inseguras. Quando deteta um risco, o Defender para a Cloud gera recomendações de segurança com passos detalhados de remediação para o ajudar a resolver os problemas.
Inventário
O Defender para a Cloud fornece um inventário unificado de todos os recursos serverless descobertos, para que possa visualizá-los e gerir facilmente. A página de inventário inclui detalhes como nomes de recursos, tipos, localizações e descobertas de segurança associadas. Basta filtrar os resultados com base no tipo de recurso para se focar em Aplicações Web, Funções do Azure ou funções AWS Lambda.
Depois de filtrar os seus resultados, selecione qualquer um dos recursos para ver mais detalhes sobre a sua postura de segurança, incluindo quaisquer recomendações de segurança ativas e os seus níveis de gravidade.
Também pode rever as recomendações de segurança associadas a cada recurso para priorizar os esforços de remediação com base na gravidade das conclusões e remediá-las.
Aprenda a remediar as recomendações de segurança.
Explorador de Segurança da Cloud
O Cloud Security Explorer da Defender para a Cloud oferece capacidades avançadas de filtragem e consulta que lhe permitem analisar a postura de segurança dos seus recursos serverless. Pode criar consultas personalizadas para identificar configurações incorretas ou vulnerabilidades específicas nas suas cargas de trabalho serverless.
Aprenda a construir consultas com o Cloud Security Explorer.
Limitações
Os recursos serverless que não são elegíveis para avaliação de vulnerabilidades são os seguintes:
- Aplicações Web e aplicações de funções que não têm um estado de potência "em execução"
- Aplicações Web e Aplicações Funcionais que não têm acesso à internet
- Aplicações Web e Aplicações de Função com os seguintes valores de "tipo" não são verificados:
- app, migração; funçãoapp, botapp; app, linux, aspiredashboard; app, container, xenon; app, botapp; app, linux, Kubernetes; app, funçãoapp, windows; funçãoapp, linux, container, Kubernetes; app, linux, container, Kubernetes; app, xenon; funçãoapp, linux, Kubernetes; app, funçãoapp