インターネット露出分析
Microsoft Defender for Cloud においてインターネット露出分析を使用すると、どのマルチクラウド リソースがインターネットに公開されているかを把握できます。 Defender for Cloud では、インターネットへの露出を用いて、構成ミス、脆弱性、その他の問題のリスク レベルを判断します。
Defender for Cloud でインターネットへの露出を検出する方法
Defender for Cloud は、接続されているクラウド リソースを評価して、インターネットに露出するように構成されてしまっているかを確認します。 インターネットへの露出の検出は、仮想マシン (VM) にパブリック インターネット プロトコル (IP) アドレスがあるかどうかを確認するのと同じくらい単純です。 ただし、そのプロセスは複雑になる場合があります。 Defender for Cloud は、複雑なマルチクラウド アーキテクチャにおいてインターネットに公開されているリソースの検索を試みます。 たとえば、ある VM はインターネットに直接公開されていないかもしれませんが、(ネットワーク トラフィックを複数のサーバーに分散して、1 つのサーバーが過負荷にならないようにする) ロード バランサーの背後に配置されている場合があります。
次の表に、Defender for Cloud でインターネットへの露出を評価するリソースを示します。
| カテゴリ | サービス/リソース |
|---|---|
| 仮想マシン | Azure VM アマゾン ウェブ サービス (AWS) EC2 Google Cloud Platform (GCP) コンピューティング インスタンス |
| 仮想マシン クラスター | Azure 仮想マシン スケール セット GCP インスタンス グループ |
| データベース (DB) | Azure SQL Azure PostgreSQL Azure MySQL Azure SQL Managed Instance Azure MariaDB Azure Cosmos DB Azure Synapse AWS Relational Database Service (RDS) DB GCP SQL 管理者インスタンス |
| Storage | Azure Storage AWS S3 バケット GCP ストレージ バケット |
| AI | Azure OpenAI Service Azure AI サービス Azure Cognitive Search |
| コンテナー | Azure Kubernetes Service (AKS) AWS EKS GCP GKE |
| API | Azure API Management Operations |
次の表に、Defender for Cloud がインターネットへの露出を評価するネットワーク コンポーネントを示します。
| カテゴリ | サービス/リソース |
|---|---|
| Azure | Application gateway Load Balancer Azure Firewall ネットワーク セキュリティ グループ |
| AWS | Elastic Load Balancer |
| GCP | Load Balancer |
インターネットに公開されているリソースを表示する方法
Defender for Cloud には、インターネットに公開されているリソースを表示するための方法がいくつか用意されています。
クラウド セキュリティ エクスプローラー - クラウド セキュリティ エクスプローラーを使用すると、クラウド セキュリティ グラフに対してグラフベースのクエリを実行できます。 クラウド セキュリティ エクスプローラー ページ上で、インターネットに公開されているリソースを検索するクエリを実行できます。 このクエリは、インターネットに公開されているすべてのアタッチ状態のリソースを返し、関連付けられている詳細を表示できます。
攻撃パス分析 - [攻撃パス分析] ページでは、攻撃者が特定のリソースに到達するために実行できる攻撃パスを表示できます。 攻撃パス分析を使用すると、攻撃パスを視覚的に表示し、インターネットに公開されているリソースを確認できます。 インターネットへの露出は、多くの場合、特にリソースに脆弱性がある場合に、攻撃パスのエントリ ポイントとして機能します。 インターネットで公開されるリソースは、多くの場合、機密データを含んだターゲットにつながります。
推奨事項 - Defender for Cloud は、インターネットへの露出に基づいて推奨事項に優先順位を付けます。
Defender 外部攻撃面管理
また、Defender for Cloud は Defender 外部攻撃面管理と統合して、外部ソースからリソースにアクセスを試みて応答するかどうかを確認することで、リソースのインターネットへの露出を評価します。
詳細については Defender 外部攻撃面管理を参照してください。