Compartir a través de


Administración de la posición de seguridad en la nube (CSPM)

Uno de los principales pilares de Microsoft Defender for Cloud es la administración de la posición de seguridad en la nube (CSPM). La CPSM proporciona visibilidad detallada sobre el estado de seguridad de los recursos y las cargas de trabajo, así como instrucciones de protección que le ayudarán a mejorar de forma eficaz su posición de seguridad.

Defender for Cloud evalúa continuamente los recursos con respecto a los estándares de seguridad definidos para las suscripciones de Azure, las cuentas de AWS y los proyectos de GCP. Defender for Cloud realiza sus recomendaciones de seguridad en función de estas evaluaciones.

De manera predeterminada, cuando se habilita Defender for Cloud en una suscripción de Azure, se activa el estándar de cumplimiento Microsoft Cloud Security Benchmark (MCSB). Proporciona recomendaciones. Defender for Cloud proporciona una puntuación segura agregada basada en algunas de las recomendaciones de MCSB. Cuanto mayor sea la puntuación, menor será el nivel de riesgo identificado.

Características de CSPM

Defender for Cloud proporciona las siguientes ofertas de CSPM:

  • CSPM básica: Defender for Cloud ofrece gratis funcionalidades básicas de CSPM para varias nubes. Estas funcionalidades se habilitan de manera predeterminada y automática en todas las suscripciones o cuentas que se incorporan a Defender for Cloud.

  • Plan de administración de la posición de seguridad en la nube (CSPM) de Defender: el plan opcional de administración de la posición de seguridad de Defender for Cloud proporciona más características avanzadas de la posición de seguridad.

Disponibilidad del plan

Más información sobre el precio de Defender CSPM.

En la tabla siguiente se resume cada plan y su disponibilidad en la nube.

Característica CSPM fundamental Administración de la posición de seguridad en la nube de Defender Disponibilidad en la nube
Recomendaciones de seguridad Azure, AWS, GCP, local
Inventario de recursos Azure, AWS, GCP, local
Puntuación segura Azure, AWS, GCP, local
Visualización de datos e informes con libros de Azure Azure, AWS, GCP, local
Exportación de datos Azure, AWS, GCP, local
Automatización de flujos de trabajo (versión preliminar) Azure, AWS, GCP, local
Herramientas para corrección Azure, AWS, GCP, local
Microsoft Cloud Security Benchmark Azure, AWS, GCP
Administración de la posición de seguridad de IA - Azure, AWS
Examen de vulnerabilidades de máquina virtual sin agente - Azure, AWS, GCP
Análisis de secretos de máquina virtual sin agente - Azure, AWS, GCP
Análisis de rutas de acceso de ataque - Azure, AWS, GCP
Priorización de riesgos - Azure, AWS, GCP
Búsqueda de riesgos con el Explorador de seguridad - Azure, AWS, GCP
Asignación de código a nube para contenedores - GitHub, Azure DevOps
Asignación de código a nube para IaC - Azure DevOps
Anotaciones de PR - GitHub, Azure DevOps
Análisis de exposición a Internet - Azure, AWS, GCP
Administración de la superficie expuesta a ataques externos - Azure, AWS, GCP
Administración de permisos (CIEM) - Azure, AWS, GCP
Evaluación del cumplimiento normativo - Azure, AWS, GCP
Integración de ServiceNow - Azure, AWS, GCP
Protección de recursos críticos - Azure, AWS, GCP
Gobernanza para impulsar la corrección a escala - Azure, AWS, GCP
Administración de la posición de seguridad de datos (DSPM), examen de datos confidenciales - Azure, AWS, GCP1
Detección sin agente para Kubernetes - Azure, AWS, GCP
Evaluación de vulnerabilidades de contenedores de código a nube sin agente - Azure, AWS, GCP

1: la detección de datos confidenciales de GCP solo admite almacenamiento en nube.

Nota:

A partir del 7 de marzo de 2024, Defender CSPM debe estar habilitado para disponer de las funcionalidades de seguridad de DevOps premium, que incluyen la contextualización de código a nube que potencia el explorador de seguridad y las rutas de acceso a ataques y anotaciones de solicitudes de cambios para los resultados de seguridad de infraestructura como código. Para más información, consulte el artículo sobre requisitos previos y soporte técnico de la seguridad de DevOps.

Integraciones

Microsoft Defender for Cloud ahora incorpora integraciones que le ayudan a usar sistemas de terceros para administrar y realizar un seguimiento de incidencias, eventos e interacciones del cliente. Puede enviar recomendaciones a una herramienta de administración de incidencias de terceros y asignar un equipo para que las solucionen.

La integración simplifica el proceso de respuesta a incidencias y mejora su capacidad para administrar los incidencias de seguridad. Puede realizar un seguimiento de las incidencias de seguridad, clasificarlas por orden de prioridad y resolverlas de forma más eficaz.

Puede elegir el sistema de administración de incidencias que desea integrar. En el caso de la versión preliminar, solo se admite la integración de ServiceNow. Para más información sobre cómo configurar la integración de ServiceNow, consulte Integración de ServiceNow con Microsoft Defender for Cloud (versión preliminar).

Precios del plan

  • Para obtener información sobre los precios de Defender CSPM, consulte la página de precios de Defender for Cloud.

  • A partir del 7 de marzo de 2024, las funcionalidades avanzadas de posición de seguridad de DevOps solo estarán disponibles a través del plan de pago de CSPM de Defender. La administración gratuita de la posición de seguridad básica en Defender for Cloud seguirá proporcionando una serie de recomendaciones de Azure DevOps. Obtenga más información sobre las características de seguridad de DevOps.

  • En el caso de las suscripciones que usen los planes Defender CSPM y Defender para contenedores, la evaluación de vulnerabilidades gratis se calculará en función de los exámenes de imágenes gratis que se proporcionan a través del plan Defender para contenedores, como se especifica en la página de precios de Microsoft Defender for Cloud.

  • La CSPM de Defender protege todas las cargas de trabajo multinube, pero la facturación solo se aplica a recursos específicos. En las siguientes tablas se enumeran los recursos facturables cuando la CSPM de Defender está habilitada en suscripciones de Azure, cuentas de AWS o proyectos de GCP.

    Servicio de Azure Tipos de recursos Exclusiones
    Proceso Microsoft.Compute/virtualMachines
    Microsoft.Compute/virtualMachineScaleSets/virtualMachines
    Microsoft.ClassicCompute/virtualMachines
    - Máquinas virtuales desasignadas
    - Máquinas virtuales de Databricks
    Storage Microsoft.Storage/storageAccounts Cuentas de almacenamiento sin contenedores de blobs o recursos compartidos de archivos
    Bases de datos Microsoft.Sql/servers
    Microsoft.DBforPostgreSQL/servers
    Microsoft.DBforMySQL/servers
    Microsoft.Sql/managedInstances
    Microsoft.DBforMariaDB/servers
    Microsoft.Synapse/workspaces
    ---
    Servicio de AWS Tipos de recursos Exclusiones
    Proceso Instancias de EC2 Máquinas virtuales desasignadas
    Storage S3 Buckets (Cubos de S3) ---
    Bases de datos Instancias de RDS ---
    Servicio de GCP Tipos de recursos Exclusiones
    Proceso 1. Instancias de Google Compute
    2. Grupo de instancias de Google
    Instancias con estados que no se ejecutan
    Storage Cubos de almacenamiento - Cubpos de clases: ‘nearline’, ‘coldline’, ‘archive’
    - Cubos de regiones que no sean: europe-west1, us-east1, us-west1, us-central1, us-east4, asia-south1, northamerica-northeast1
    Bases de datos Instancias de SQL en la nube ---

Soporte técnico de la nube de Azure

Para obtener cobertura de nube comercial y nacional, consulte las características que se admiten en los entornos en la nube de Azure.

Compatibilidad con el tipo de recurso en AWS y GCP

Para obtener compatibilidad multinube con tipos de recursos (o servicios) en nuestro nivel de CSPM multinube fundamental, consulte la tabla de tipos de recursos y servicios multinube para AWS y GCP.

Pasos siguientes