Administración de la posición de seguridad en la nube (CSPM)
Uno de los principales pilares de Microsoft Defender for Cloud es la administración de la posición de seguridad en la nube (CSPM). La CPSM proporciona visibilidad detallada sobre el estado de seguridad de los recursos y las cargas de trabajo, así como instrucciones de protección que le ayudarán a mejorar de forma eficaz su posición de seguridad.
Defender for Cloud evalúa continuamente los recursos con respecto a los estándares de seguridad definidos para las suscripciones de Azure, las cuentas de AWS y los proyectos de GCP. Defender for Cloud realiza sus recomendaciones de seguridad en función de estas evaluaciones.
De manera predeterminada, cuando se habilita Defender for Cloud en una suscripción de Azure, se activa el estándar de cumplimiento Microsoft Cloud Security Benchmark (MCSB). Proporciona recomendaciones. Defender for Cloud proporciona una puntuación segura agregada basada en algunas de las recomendaciones de MCSB. Cuanto mayor sea la puntuación, menor será el nivel de riesgo identificado.
Características de CSPM
Defender for Cloud proporciona las siguientes ofertas de CSPM:
CSPM básica: Defender for Cloud ofrece gratis funcionalidades básicas de CSPM para varias nubes. Estas funcionalidades se habilitan de manera predeterminada y automática en todas las suscripciones o cuentas que se incorporan a Defender for Cloud.
Plan de administración de la posición de seguridad en la nube (CSPM) de Defender: el plan opcional de administración de la posición de seguridad de Defender for Cloud proporciona más características avanzadas de la posición de seguridad.
Disponibilidad del plan
Más información sobre el precio de Defender CSPM.
En la tabla siguiente se resume cada plan y su disponibilidad en la nube.
| Característica | CSPM fundamental | Administración de la posición de seguridad en la nube de Defender | Disponibilidad en la nube |
|---|---|---|---|
| Recomendaciones de seguridad | 
|
|
Azure, AWS, GCP, local, Docker Hub, JFrog Artifactory |
| Inventario de recursos |
|
|
Azure, AWS, GCP, local, Docker Hub, JFrog Artifactory |
| Puntuación segura |
|
|
Azure, AWS, GCP, local, Docker Hub, JFrog Artifactory |
| Visualización de datos e informes con libros de Azure |
|
|
Azure, AWS, GCP, local |
| Exportación de datos |
|
|
Azure, AWS, GCP, local |
| Automatización de flujos de trabajo (versión preliminar) |
|
|
Azure, AWS, GCP, local |
| Herramientas para corrección |
|
|
Azure, AWS, GCP, local, Docker Hub, JFrog Artifactory |
| Microsoft Cloud Security Benchmark |
|
|
Azure, AWS, GCP |
| Administración de la posición de seguridad de IA | - |
|
Azure, AWS |
| Examen de vulnerabilidades de máquina virtual sin agente | - |
|
Azure, AWS, GCP, Docker Hub, JFrog Artifactory |
| Análisis de secretos de máquina virtual sin agente | - |
|
Azure, AWS, GCP |
| Análisis de rutas de acceso de ataque | - |
|
Azure, AWS, GCP, Docker Hub, JFrog Artifactory |
| Priorización de riesgos | - |
|
Azure, AWS, GCP , Docker Hub, JFrog Artifactory |
| Búsqueda de riesgos con el Explorador de seguridad | - |
|
Azure, AWS, GCP , Docker Hub, JFrog Artifactory |
| Asignación de código a nube para contenedores | - |
|
GitHub, Azure DevOps , Docker Hub, JFrog Artifactory |
| Asignación de código a nube para IaC | - |
|
Azure DevOps, , Docker Hub, JFrog Artifactory |
| Anotaciones de PR | - |
|
GitHub, Azure DevOps |
| Análisis de exposición a Internet | - |
|
Azure, AWS, GCP, Docker Hub, JFrog Artifactory |
| Administración de la superficie expuesta a ataques externos | - |
|
Azure, AWS, GCP, Docker Hub, JFrog Artifactory |
| Administración de permisos (CIEM) | - |
|
Azure, AWS, GCP, Docker Hub, JFrog Artifactory |
| Evaluación del cumplimiento normativo | - |
|
Azure, AWS, GCP, , Docker Hub, JFrog Artifactory |
| Integración de ServiceNow | - |
|
Azure, AWS, GCP |
| Protección de recursos críticos | - |
|
Azure, AWS, GCP |
| Gobernanza para impulsar la corrección a escala | - |
|
Azure, AWS, GCP , Docker Hub, JFrog Artifactory |
| Administración de la posición de seguridad de datos (DSPM), examen de datos confidenciales | - |
|
Azure, AWS, GCP1 |
| Detección sin agente para Kubernetes | - |
|
Azure, AWS, GCP |
| Recomendaciones personalizadas | - |
|
Azure, AWS, GCP, Docker Hub, JFrog Artifactory |
| Evaluación de vulnerabilidades de contenedores de código a nube sin agente | - |
|
Azure, AWS, GCP, Docker Hub, JFrog Artifactory |
| Administración de la posición de seguridad de la API (versión preliminar) | - |
|
Azure |
| Panel de seguridad de Azure Kubernetes Service (versión preliminar) | - |
|
Azure |
1: la detección de datos confidenciales de GCP solo admite almacenamiento en nube.
Nota:
A partir del 7 de marzo de 2024, Defender CSPM debe estar habilitado para disponer de las funcionalidades de seguridad de DevOps premium, que incluyen la contextualización de código a nube que potencia el explorador de seguridad y las rutas de acceso a ataques y anotaciones de solicitudes de cambios para los resultados de seguridad de infraestructura como código. Para más información, consulte el artículo sobre requisitos previos y soporte técnico de la seguridad de DevOps.
Integraciones
Microsoft Defender for Cloud ahora tiene integraciones integradas para ayudarle a usar sistemas asociados para administrar y realizar un seguimiento de incidencias, eventos e interacciones del cliente sin problemas. Puede insertar recomendaciones en una herramienta de vales de asociado y asignar responsabilidad a un equipo para la corrección.
La integración simplifica el proceso de respuesta a incidencias y mejora su capacidad para administrar los incidencias de seguridad. Puede realizar un seguimiento de las incidencias de seguridad, clasificarlas por orden de prioridad y resolverlas de forma más eficaz.
Puede elegir el sistema de administración de incidencias que desea integrar. En el caso de la versión preliminar, solo se admite la integración de ServiceNow. Para más información sobre cómo configurar la integración de ServiceNow, consulte Integración de ServiceNow con Microsoft Defender for Cloud (versión preliminar).
Precios del plan
Para obtener información sobre los precios de Defender CSPM, consulte la página de precios de Defender for Cloud.
A partir del 7 de marzo de 2024, las funcionalidades avanzadas de posición de seguridad de DevOps solo estarán disponibles a través del plan de pago de CSPM de Defender. La administración gratuita de la posición de seguridad básica en Defender for Cloud sigue proporcionando muchas recomendaciones de Azure DevOps. Obtenga más información sobre las características de seguridad de DevOps.
En el caso de las suscripciones que usen los planes Defender CSPM y Defender para contenedores, la evaluación de vulnerabilidades gratis se calculará en función de los exámenes de imágenes gratis que se proporcionan a través del plan Defender para contenedores, como se especifica en la página de precios de Microsoft Defender for Cloud.
La CSPM de Defender protege todas las cargas de trabajo multinube, pero la facturación solo se aplica a recursos específicos. En las siguientes tablas se enumeran los recursos facturables cuando la CSPM de Defender está habilitada en suscripciones de Azure, cuentas de AWS o proyectos de GCP.
Servicio de Azure Tipos de recursos Exclusiones Proceso Microsoft.Compute/virtualMachines
Microsoft.Compute/virtualMachineScaleSets/virtualMachines
Microsoft.ClassicCompute/virtualMachines- Máquinas virtuales desasignadas
- Máquinas virtuales de DatabricksStorage Microsoft.Storage/storageAccounts Cuentas de almacenamiento sin contenedores de blobs o recursos compartidos de archivos Bases de datos Microsoft.Sql/servers
Microsoft.DBforPostgreSQL/servers
Microsoft.DBforMySQL/servers
Microsoft.Sql/managedInstances
Microsoft.DBforMariaDB/servers
Microsoft.Synapse/workspaces--- Servicio de AWS Tipos de recursos Exclusiones Proceso Instancias de EC2 Máquinas virtuales desasignadas Storage S3 Buckets (Cubos de S3) --- Bases de datos Instancias de RDS --- Servicio de GCP Tipos de recursos Exclusiones Proceso 1. Instancias de Google Compute
2. Grupo de instancias de GoogleInstancias con estados que no son de ejecución Storage Cubos de almacenamiento - Depósitos de clases: "nearline", "coldline", "archive"
- Cubos de regiones que no sean: europe-west1, us-east1, us-west1, us-central1, us-east4, asia-south1, northamerica-northeast1Bases de datos Instancias de SQL en la nube ---
Soporte técnico de la nube de Azure
Para obtener cobertura de nube comercial y nacional, consulte las características que se admiten en los entornos en la nube de Azure.
Compatibilidad con el tipo de recurso en AWS y GCP
Para obtener compatibilidad multinube con tipos de recursos (o servicios) en nuestro nivel de CSPM multinube fundamental, consulte la tabla de tipos de recursos y servicios multinube para AWS y GCP.
Pasos siguientes
- Vea el vídeo ¡Predice futuros ataques! Administración de la posición de seguridad en la nube con Microsoft Defender.
- Obtén más información sobre los estándares y recomendaciones de seguridad.
- Obtén más información sobre la puntuación de seguridad.