O que é a proteção Serverless?

O Microsoft Defender para a Cloud, enquanto plataforma de proteção de aplicações nativa na cloud (CNAPP), oferece visibilidade, segurança e gestão de postura para cargas de trabalho serverless em ambientes multicloud. Estende a cobertura à Azure Aplicações Web, Funções do Azure e à Amazon Web Services (AWS) Lambda.

A proteção sem servidor deteta e inventaria automaticamente Aplicações Web, Funções do Azure e funções Lambda da AWS no seu ambiente. Após a descoberta, o Defender para a Cloud identifica configurações incorretas, vulnerabilidades e dependências inseguras. Em seguida, fornece orientações de remediação e avaliação contínua da postura de segurança para ajudar as organizações a reduzir riscos em arquiteturas dinâmicas sem servidor.

Saiba mais sobre a disponibilidade na cloud desta funcionalidade.

Requisitos e disponibilidade de proteção serverless

A proteção sem servidor está incluída no plano Defender para gestão da postura de segurança na cloud (GPSC do Defender).

Para ativar a proteção serverless, deve ativar o plano GPSC do Defender na sua subscrição e ativar o componente de proteção serverless desse plano.

Atualmente, as funcionalidades disponíveis variam consoante o portal. A tabela seguinte mostra quais as funcionalidades disponíveis em cada portal:

Feature Portal do Defender para a Cloud Portal Defender
Integração através do plano GPSC do Defender
Revise as recomendações de configuração incorreta
Compilar consultas com o Cloud Security Explorer
Explore cargas de trabalho no Cloud Inventory
Investigar caminhos de ataque
Avaliação da vulnerabilidade -

Para ver a disponibilidade, consulte suporte na cloud.

Consulte limitações para recursos sem servidor.

Benefícios da proteção serverless

O Defender para a Cloud estende as suas capacidades CSPM a cargas de trabalho serverless, fornecendo visibilidade contínua e avaliação de risco com as seguintes funcionalidades:

  • Descoberta automática de recursos: Deteta todos os recursos serverless (Funções do Azure, Aplicações Web, AWS Lambda) e lista-os num inventário unificado.

  • Avaliação contínua da postura: Avalia configurações quanto a riscos como endpoints públicos, autenticação fraca e encriptação em falta.

  • Deteção de configurações incorretas: Destaca riscos em:

    • Controlo de acesso: Restringe a exposição da rede e impõe autenticação.
    • Identidade e permissões: Ajuda a prevenir movimentos laterais, exfiltração de dados e abuso de privilégios.
    • Integridade do código: Ajuda a prevenir alterações não autorizadas ao código, como riscos de contornar a assinatura de código no AWS Lambda.

  • Avaliação de vulnerabilidades: Analisa pacotes funcionais à procura de dependências vulneráveis e fornece orientações para remediação.

  • Análise de caminho de ataque: Mapeia potenciais cadeias de ataque que envolvem recursos serverless para que possa priorizar problemas de alto risco.

O Defender para a Cloud utiliza estas funcionalidades para ajudar as organizações a proteger cargas de trabalho serverless em ambientes de cloud dinâmicos.

Para além destes benefícios fundamentais, a segurança serverless no Defender para a Cloud está alinhada com a visão mais ampla da CNAPP para proteger as aplicações ao longo do seu ciclo de vida.

A proteção serverless está também integrada no portal do Defender. Esta integração proporciona visibilidade para a deteção de má configuração, análise do caminho de ataque e avaliação de vulnerabilidades numa única interface.

Consulte as recomendações de segurança para proteção serverless.

Como funciona a proteção serverless

A proteção serverless no Defender para a Cloud funciona através de uma combinação de descoberta automatizada, monitorização contínua e avaliação de riscos. Quando ativa o plano de GPSC do Defender e ativa o componente de proteção serverless, Defender para a Cloud analisa o seu ambiente cloud para identificar todos os recursos serverless, incluindo Azure Aplicações Web, Funções do Azure e funções AWS Lambda.

Depois de o Defender para a Cloud descobrir os recursos, monitoriza continuamente as suas configurações e ambientes de execução. Avalia estes recursos com base num conjunto de melhores práticas de segurança e normas de conformidade para identificar configurações incorretas, vulnerabilidades e dependências inseguras. Quando deteta um risco, o Defender para a Cloud gera recomendações de segurança com passos detalhados de remediação para o ajudar a resolver os problemas.

Inventário

O Defender para a Cloud fornece um inventário unificado de todos os recursos serverless descobertos, para que possa visualizá-los e gerir facilmente. A página de inventário inclui detalhes como nomes de recursos, tipos, localizações e descobertas de segurança associadas. Basta filtrar os resultados com base no tipo de recurso para se focar em Aplicações Web, Funções do Azure ou funções AWS Lambda.

Página de inventário da cloud filtrada por recursos sem servidor, mostrando entradas de Azure Aplicações Web, Funções do Azure e AWS Lambda.

Depois de filtrar os seus resultados, selecione um recurso para visualizar detalhes sobre a sua postura de segurança, incluindo recomendações de segurança ativas e os seus níveis de gravidade.

Página de detalhes de um recurso para uma carga de trabalho sem servidor que apresenta o estado de segurança, recomendações ativas e informações de gravidade.

Também pode rever as recomendações de segurança associadas a cada recurso para priorizar a remediação com base na verificação da gravidade.

Aprenda a remediar as recomendações de segurança.

Explorador de Segurança da Cloud

O Cloud Security Explorer do Defender para a Cloud oferece capacidades avançadas de filtragem e consulta para que possa analisar a postura de segurança dos seus recursos serverless. Pode criar consultas personalizadas para identificar configurações incorretas ou vulnerabilidades específicas nas suas cargas de trabalho serverless.

Captura de ecrã da página Cloud Security Explorer com uma consulta específica sobre proteção serverless inserida.

Aprenda a construir consultas com o Cloud Security Explorer.

Limitações

Recursos serverless que não são elegíveis para avaliação de vulnerabilidades incluem:

  • Aplicações Web e aplicações funcionais que não têm um estado de energia em execução.
  • Aplicações Web e aplicações funcionais que não têm acesso à internet.
  • Aplicações Web e aplicações funcionais com os seguintes valores de tipo:
    • app,migration
    • functionapp,botapp
    • app,linux,aspiredashboard
    • app,container,xenon
    • app,botapp
    • app,linux,Kubernetes
    • app,functionapp,windows
    • functionapp,linux,container,Kubernetes
    • app,linux,container,Kubernetes
    • app,xenon
    • functionapp,linux,Kubernetes
    • app,functionapp

Conteúdo relacionado

  • Last updated on