Popis Microsoft Defenderu pro cloud

  • 6 min

Defender for Cloud je monitorovací nástroj pro správu stavu zabezpečení a ochranu před hrozbami. Monitoruje vaše cloudová, místní, hybridní a multicloudová prostředí a poskytuje pokyny a oznámení zaměřená na posílení stavu zabezpečení.

Defender for Cloud poskytuje nástroje potřebné k posílení vašich prostředků, sledování stavu zabezpečení, ochranu před kybernetickými útoky a zjednodušení správy zabezpečení. Nasazení Defenderu pro cloud je snadné, je už nativně integrované do Azure.

Ochrana všude, kde jste nasadili

Vzhledem k tomu, že Defender for Cloud je nativní služba Azure, mnoho služeb Azure se monitoruje a chrání bez nutnosti nasazení. Pokud ale máte také místní datacentrum nebo pracujete také v jiném cloudovém prostředí, nemusí vám monitorování služeb Azure poskytnout úplný přehled o vaší situaci v oblasti zabezpečení.

V případě potřeby může Defender for Cloud automaticky nasadit agenta Log Analytics ke shromažďování dat souvisejících se zabezpečením. U počítačů Azure se nasazení zpracovává přímo. V případě hybridních a multicloudových prostředí se plány Microsoft Defenderu rozšiřují na počítače mimo Azure s využitím Azure Arc. Funkce správy stavu zabezpečení cloudu (CSPM) se rozšiřují na vícecloudové počítače bez nutnosti jakýchkoli agentů.

Nativní ochrana Azure

Defender for Cloud pomáhá detekovat hrozby napříč:

  • Služby Azure PaaS – Detekce hrozeb, které cílí na služby Azure, včetně služeb Aplikace Azure, Azure SQL, účtu služby Azure Storage a dalších datových služeb. Detekci anomálií můžete provádět také v protokolech aktivit Azure pomocí nativní integrace s Microsoft Defenderem pro Cloud Apps (dříve Označované jako Microsoft Cloud App Security).
  • Datové služby Azure – Defender for Cloud zahrnuje funkce, které vám pomůžou automaticky klasifikovat data v Azure SQL. Můžete také získat posouzení potenciálních ohrožení zabezpečení napříč službami Azure SQL a Storage a doporučeními, jak je zmírnit.
  • Sítě – Defender for Cloud pomáhá omezit vystavení útokům hrubou silou. Snížením přístupu k portům virtuálních počítačů pomocí přístupu k virtuálním počítačům za běhu můžete posílit zabezpečení sítě tím, že zabráníte zbytečnému přístupu. Na vybraných portech můžete nastavit zásady zabezpečeného přístupu, pouze autorizovaným uživatelům, povoleným rozsahům zdrojových IP adres nebo IP adresám a po omezenou dobu.

Obrana hybridních prostředků

Kromě ochrany prostředí Azure můžete do svého hybridního cloudového prostředí přidat funkce Defender for Cloud, které chrání vaše servery mimo Azure. Abyste se mohli soustředit na to, co je nejdůležitější, získáte přizpůsobené inteligentní informace o hrozbách a výstrahy s prioritami podle vašeho konkrétního prostředí.

Pokud chcete rozšířit ochranu na místní počítače, nasaďte Azure Arc a povolte Defender pro funkce rozšířeného zabezpečení cloudu.

Obrana prostředků běžících v jiných cloudech

Defender for Cloud může také chránit prostředky v jiných cloudech (například AWS a GCP).

Pokud jste například připojili účet Amazon Web Services (AWS) k předplatnému Azure, můžete povolit některou z těchto ochrany:

  • Funkce CSPM v programu Defender for Cloud se rozšiřují o vaše prostředky AWS. Tento plán bez agentů vyhodnocuje vaše prostředky AWS podle doporučení zabezpečení specifických pro AWS a zahrnuje výsledky ve skóre zabezpečení. Tyto prostředky se také vyhodnotí za dodržování předdefinovaných standardů specifických pro AWS (AWS CIS, AWS PCI DSS a AWS Foundational Security Best Practices). Stránka inventáře prostředků Defenderu for Cloud je funkce s podporou vícecloudu, která vám pomůže spravovat prostředky AWS společně s prostředky Azure.
  • Microsoft Defender for Containers rozšiřuje detekci hrozeb kontejnerů a pokročilou obranu do clusterů Amazon EKS Linux.
  • Microsoft Defender for Servers přináší detekci hrozeb a pokročilou obranu vašich instancí EC2 s Windows a Linuxem.

Posouzení, zabezpečení a obrana

Defender pro cloud naplňuje tři zásadní potřeby při správě zabezpečení vašich zdrojů a úloh v cloudu a místně:

  • Nepřetržitě vyhodnocovat – znát stav zabezpečení Identifikace a sledování ohrožení zabezpečení
  • Zabezpečení – Posílení zabezpečení prostředků a služeb pomocí srovnávacího testu zabezpečení Azure
  • Obrana – detekce a řešení hrozeb pro prostředky, úlohy a služby

Diagram posílení posouzení, zabezpečení a obrany

Průběžné posuzování

Defender pro cloud pomáhá průběžně vyhodnocovat vaše prostředí. Defender for Cloud zahrnuje řešení posouzení ohrožení zabezpečení pro vaše virtuální počítače, registry kontejnerů a SQL servery.

Microsoft Defender pro servery zahrnuje automatickou nativní integraci s programem Microsoft Defender for Endpoint. Když je tato integrace povolená, budete mít přístup ke zjištěním ohrožení zabezpečení z hrozeb Microsoftu a správa ohrožení zabezpečení.

Mezi těmito nástroji pro posouzení budete mít pravidelné podrobné kontroly ohrožení zabezpečení, které pokrývají vaše výpočetní prostředky, data a infrastrukturu. Výsledky těchto kontrol můžete zkontrolovat a odpovědět na ně ze služby Defender for Cloud.

Zabezpečení

Od metod ověřování až po řízení přístupu k konceptu nulová důvěra (Zero Trust) představuje zabezpečení v cloudu základní základ, který musí být správný. Abyste mohli být v cloudu zabezpečení, musíte zajistit, aby vaše úlohy byly zabezpečené. K zabezpečení úloh potřebujete zásady zabezpečení, které jsou přizpůsobené vašemu prostředí a situaci. Vzhledem k tomu, že zásady v defenderu pro cloud jsou založené na ovládacích prvcích Azure Policy, získáváte úplný rozsah a flexibilitu špičkového řešení zásad. V Defenderu pro cloud můžete nastavit zásady tak, aby běžely na skupinách pro správu, napříč předplatnými a dokonce i pro celého tenanta.

Jednou z výhod přechodu na cloud je možnost růst a škálování podle potřeby a podle potřeby přidávat nové služby a prostředky. Defender for Cloud neustále monitoruje nové prostředky nasazené napříč vašimi úlohami. Defender for Cloud vyhodnocuje, jestli jsou nové prostředky nakonfigurované podle osvědčených postupů zabezpečení. Pokud ne, označí se příznakem a zobrazí se vám seznam doporučení, která potřebujete opravit. Doporučení vám pomůžou snížit prostor pro útoky napříč jednotlivými prostředky.

Seznam doporučení je povolený a podporovaný srovnávacím testem zabezpečení Azure. Tento srovnávací test specifický pro Microsoft, který je specifický pro Azure, poskytuje sadu pokynů pro osvědčené postupy zabezpečení a dodržování předpisů na základě běžných architektur dodržování předpisů.

Program Defender for Cloud tak umožňuje nejen nastavit zásady zabezpečení, ale použít v rámci vašich prostředků zabezpečené standardy konfigurace.

Aby vám pomohl pochopit, jak je každé doporučení důležité pro celkový stav zabezpečení, Defender for Cloud seskupí doporučení do kontrolních mechanismů zabezpečení a každému ovládacímu prvku přidá hodnotu skóre zabezpečení. Bezpečnostní skóre vám poskytne přehled o stavu zabezpečení, zatímco ovládací prvky poskytují funkční seznam věcí, které je potřeba zvážit, abyste zlepšili skóre zabezpečení a celkový stav zabezpečení.

Snímek obrazovky zobrazující skóre zabezpečení v programu Microsoft Defender for Cloud

Bránit

První dvě oblasti se zaměřily na posouzení, monitorování a údržbu vašeho prostředí. Defender for Cloud také pomáhá chránit vaše prostředí tím, že poskytuje výstrahy zabezpečení a pokročilé funkce ochrany před hrozbami.

Výstrahy zabezpečení

Když Defender for Cloud zjistí hrozbu v jakékoli oblasti vašeho prostředí, vygeneruje výstrahu zabezpečení. Výstrahy zabezpečení:

  • Popis podrobností ovlivněných prostředků
  • Navrhnout nápravné kroky
  • V některých případech uveďte možnost aktivovat aplikaci logiky v reakci na

Bez ohledu na to, jestli je výstraha vygenerovaná programem Defender for Cloud nebo přijatým programem Defender for Cloud z integrovaného produktu zabezpečení, můžete ji exportovat. Ochrana před hrozbami v defenderu for Cloud zahrnuje analýzu fúzního řetězce kill-chain, která automaticky koreluje výstrahy ve vašem prostředí na základě analýzy kybernetického řetězce kill-chain, což vám pomůže lépe porozumět celému příběhu kampaně útoku, kde začala a jaký dopad to mělo na vaše prostředky.

Rozšířená ochrana před internetovými útoky

Defender pro cloud poskytuje pokročilé funkce ochrany před hrozbami pro mnoho nasazených prostředků, včetně virtuálních počítačů, databází SQL, kontejnerů, webových aplikací a vaší sítě. Ochrana zahrnuje zabezpečení portů pro správu virtuálních počítačů s přístupem za běhu a adaptivní řízení aplikací, které umožňují vytvářet seznamy povolených pro to, které aplikace by měly a neměly by běžet na vašich počítačích.