Cloud Security Posture Management (CSPM)
Cloud Security Posture Management (CSPM) è uno dei pilastri principali di Microsoft Defender per il cloud. CSPM offre visibilità dettagliata sullo stato di sicurezza degli asset e dei carichi di lavoro e fornisce indicazioni sulla protezione avanzata per migliorare in modo efficiente ed efficace la postura di sicurezza.
Defender per il cloud valuta continuamente le risorse rispetto agli standard di sicurezza definiti per le sottoscrizioni di Azure, gli account AWS e i progetti di GCP. Defender per il cloud genera raccomandazioni sulla sicurezza in base a queste valutazioni.
Per impostazione predefinita, quando si abilita Defender per il cloud in una sottoscrizione di Azure, lo standard di conformità Microsoft Cloud Security Benchmark (MCSB) viene attivato. Fornisce raccomandazioni. Defender per il cloud offre un punteggio di sicurezza aggregato in base ad alcune raccomandazioni di MCSB. Più alto è il punteggio, più basso è il livello di rischio identificato.
Funzionalità di CSPM
Defender per il cloud fornisce le offerte CSPM seguenti:
CSPM di base: Defender per il cloud offre gratuitamente funzionalità CSPM multicloud fondamentali. Queste funzionalità vengono abilitate automaticamente per impostazione predefinita per le sottoscrizioni e gli account di cui è stato eseguito l'onboarding in Defender per il cloud.
Piano Defender Cloud Security Posture Management (CSPM): piano facoltativo a pagamento di Defender per CSPM (Cloud Security Posture Management) offre più funzionalità avanzate per la postura di sicurezza.
Disponibilità del piano
Altre informazioni sui prezzi di Defender CSPM.
La tabella seguente riepiloga ogni piano e la relativa disponibilità nel cloud.
| Funzionalità | CSPM di base | Defender CSPM | Disponibilità cloud |
|---|---|---|---|
| Raccomandazioni sulla sicurezza | 
|
|
Azure, AWS, GCP, locale, Docker Hub, JFrog Artifactory |
| Inventario degli asset |
|
|
Azure, AWS, GCP, locale, Docker Hub, JFrog Artifactory |
| Punteggio di sicurezza |
|
|
Azure, AWS, GCP, locale, Docker Hub, JFrog Artifactory |
| Visualizzazione e creazione di report dei dati con Workbooks di Azure |
|
|
Azure, AWS, GCP, locale |
| Esportazione dei dati |
|
|
Azure, AWS, GCP, locale |
| Automazione del flusso di lavoro |
|
|
Azure, AWS, GCP, locale |
| Strumenti per la correzione |
|
|
Azure, AWS, GCP, locale, Docker Hub, JFrog Artifactory |
| Microsoft Cloud Security Benchmark |
|
|
Azure, AWS, GCP |
| Gestione della postura di sicurezza basata su IA | - |
|
Azure, AWS |
| Analisi delle vulnerabilità delle macchine virtuali senza agente | - |
|
Azure, AWS, GCP, Docker Hub, JFrog Artifactory |
| Analisi dei segreti delle macchine virtuali senza agente | - |
|
Azure, AWS, GCP |
| Analisi del percorso di attacco | - |
|
Azure, AWS, GCP, Docker Hub, JFrog Artifactory |
| Definizione delle priorità dei rischi | - |
|
Azure, AWS, GCP , Docker Hub, JFrog Artifactory |
| Ricerca di rischi con Security Explorer | - |
|
Azure, AWS, GCP , Docker Hub, JFrog Artifactory |
| Mapping da codice a cloud per i contenitori | - |
|
GitHub, Azure DevOps , Docker Hub, JFrog Artifactory |
| Mapping da codice a cloud per IaC | - |
|
Azure DevOps, , Docker Hub, JFrog Artifactory |
| Annotazioni di richieste pull | - |
|
GitHub, Azure DevOps |
| Analisi dell'esposizione a Internet | - |
|
Azure, AWS, GCP, Docker Hub, JFrog Artifactory |
| Gestione della superficie di attacco esterna | - |
|
Azure, AWS, GCP, Docker Hub, JFrog Artifactory |
| Gestione delle autorizzazioni (CIEM) | - |
|
Azure, AWS, GCP, Docker Hub, JFrog Artifactory |
| Valutazione della conformità alle normative | - |
|
Azure, AWS, GCP, , Docker Hub, JFrog Artifactory |
| Integrazione di ServiceNow | - |
|
Azure, AWS, GCP |
| Protezione degli asset critici | - |
|
Azure, AWS, GCP |
| Governance per favorire la correzione su larga scala | - |
|
Azure, AWS, GCP , Docker Hub, JFrog Artifactory |
| Gestione della postura di sicurezza dei dati (DSPM), Analisi dei dati sensibili | - |
|
Azure, AWS, GCP1 |
| Individuazione senza agente per Kubernetes | - |
|
Azure, AWS, GCP |
| Raccomandazioni personalizzate | - |
|
Azure, AWS, GCP, Docker Hub, JFrog Artifactory |
| Valutazione della vulnerabilità dei contenitori senza agente da codice a cloud | - |
|
Azure, AWS, GCP, Docker Hub, JFrog Artifactory |
| Gestione del comportamento di sicurezza API (anteprima) | - |
|
Azure |
| dashboard di sicurezza servizio Azure Kubernetes (anteprima) | - |
|
Azure |
1: L'individuazione dei dati sensibili GCP supporta solo Archiviazione cloud.
Nota
A partire dal 7 marzo 2024,Defender CSPM deve essere abilitato per usufruire delle funzionalità di sicurezza DevOps premium che includono la contestualizzazione da codice a cloud che supporta Explorer sicurezza e i percorsi di attacco e le annotazioni delle richieste pull per i risultati della sicurezza Infrastruttura come codice. Per altre informazioni, vedere Supporto e prerequisiti per la sicurezza di DevOps.
Integrazioni
Microsoft Defender per il cloud ora include integrazioni predefinite che consentono di usare i sistemi partner per gestire e tenere traccia senza problemi di ticket, eventi e interazioni con i clienti. È possibile inviare raccomandazioni a uno strumento di creazione di ticket per i partner e assegnare la responsabilità a un team per la correzione.
L'integrazione semplifica il processo di risposta agli incidenti e migliora la possibilità di gestire gli incidenti di sicurezza. È possibile tenere traccia, classificare in ordine di priorità e risolvere gli incidenti di sicurezza in modo più efficace.
È possibile scegliere il sistema di creazione di ticket da integrare. Per l'anteprima, è supportata solo l'integrazione di ServiceNow. Per altre informazioni su come configurare l'integrazione di ServiceNow, vedere Integrare ServiceNow con Microsoft Defender per il cloud (anteprima).
Prezzi dei piani
Vedere la pagina dei prezzi di Defender per il cloud per informazioni sui prezzi di Defender CSPM.
Dal 7 marzo 2024, le funzionalità avanzate della postura di sicurezza di DevOps saranno disponibili solo tramite il piano a pagamento di Defender CSPM. La gestione gratuita del comportamento di sicurezza in Defender per il cloud continua a fornire molte raccomandazioni su Azure DevOps. Altre informazioni sulle Funzionalità di sicurezza di DevOps.
Per le sottoscrizioni che usano piani di Defender CSPM e Defender per contenitori, la valutazione della vulnerabilità gratuita viene calcolata in base alle analisi di immagini gratuite fornite tramite il piano Defender per contenitori, come riepilogato nella pagina dei prezzi di Microsoft Defender per il cloud.
Defender CSPM protegge tutti i carichi di lavoro multicloud, ma la fatturazione viene applicata solo a risorse specifiche. Le tabelle seguenti elencano le risorse fatturabili quando Defender CSPM è abilitato nelle sottoscrizioni di Azure, negli account AWS o nei progetti di GCP.
Servizio di Azure Tipi di risorsa Esclusioni Calcolo Microsoft.Compute/virtualMachines
Microsoft.Compute/virtualMachineScaleSets/virtualMachines
Microsoft.ClassicCompute/virtualMachines- Macchine virtuali deallocate
- Macchine virtuali di DatabricksStorage Microsoft.Storage/storageAccounts Account di archiviazione senza contenitori BLOB o condivisioni file DB Microsoft.Sql/servers
Microsoft.DBforPostgreSQL/servers
Microsoft.DBforMySQL/servers
Microsoft.Sql/managedInstances
Microsoft.DBforMariaDB/servers
Microsoft.Synapse/workspaces--- Servizio AWS Tipi di risorsa Esclusioni Calcolo Istanze di EC2 Macchine virtuali deallocate Storage Bucket S3 --- DB Istanze di Servizi Desktop remoto --- Servizio GCP Tipi di risorsa Esclusioni Calcolo 1. Istanze di Google Compute
2. Gruppo di istanze di GoogleIstanze con stati di non esecuzione Storage Bucket di archiviazione - Bucket dalle classi: 'nearline', 'coldline', 'archive'
- Bucket provenienti da aree diverse dalle seguenti: europe-west1, us-east1, us-west1, us-central1, us-east4, asia-south1, northamerica-northeast1DB Istanze di SQL cloud ---
Supporto cloud di Azure
Per la copertura del cloud commerciale e nazionale, esaminare le funzionalità supportate negli ambienti cloud di Azure.
Supporto per il tipo di risorsa in AWS e GCP
Per il supporto multicloud dei tipi di risorse (o dei servizi) nel livello CSPM multicloud di base, vedere la tabella di tipi di risorse e servizi multicloud per AWS e GCP.
Passaggi successivi
- Guardare Prevedere gli incidenti di sicurezza futuri. Cloud Security Posture Management (CSPM) con Microsoft Defender.
- Informazioni su standard e raccomandazioni per la sicurezza.
- Informazioni sul punteggio di sicurezza.