Обзор средств защиты рабочих нагрузок Microsoft Defender для облака

Завершено

Defender для облака — это инструмент для управления состоянием безопасности и обеспечения защиты от угроз. Defender для облака улучшает состояние безопасности облачных ресурсов, а встроенные планы Microsoft Defender позволяют этому инструменту обеспечить защиту рабочих нагрузок в Azure, гибридной среде или на других облачных платформах.

В Defender для облака предоставляются средства, необходимые для защиты ресурсов, контроля состояния безопасности, защиты от кибератак и для оптимизации управления безопасностью. Благодаря встроенной интеграции инструмент "Defender для облака" легко развернуть, он также без проблем подготавливается автоматически, чтобы по умолчанию обеспечить защиту ресурсов. Defender для облака удовлетворяет три важные потребности в управлении безопасностью ресурсов и рабочих нагрузок в облачной и локальной среде:

  • Непрерывный доступ — описание текущего состояния безопасности.

  • Безопасность — усиление защиты всех подключенных ресурсов и служб.

  • Защита — обнаружение и устранение угроз для этих ресурсов и служб.

Для защиты Microsoft Defender для облака предоставляет вам средства с такими возможностями:

  • Оценка безопасности. Единая оценка, чтобы вы могли понять текущее состояние системы безопасности — чем выше оценка, тем ниже выявленный уровень риска.

  • Рекомендации по безопасности. Настраиваемые и ранжированные задачи по усилению защиты для улучшения состояния безопасности. Чтобы применить рекомендацию, вам нужно выполнить подробные инструкции по исправлению, указанные в рекомендации. Для большинства рекомендаций в Defender для облака предлагается кнопка Fix (Исправить), позволяющая автоматически применить рекомендации.

  • Оповещения безопасности. С включенными функциями усиленной защиты Defender для облака обнаруживает угрозы для ресурсов и рабочих нагрузок. Эти оповещения отображаются на портале Azure, но Defender для облака может также отправлять их по электронной почте соответствующим сотрудникам в вашей организации. Оповещения также можно передавать в решения SIEM и SOAR или в решения для управления ИТ-услугами, если это необходимо.

Архитектура

Так как Defender для облака входит в состав Azure, это решение отслеживает и защищает службы PaaS в Azure (в том числе Service Fabric, База данных SQL, Управляемый экземпляр SQL и учетные записи хранения) без какого-либо развертывания.

Кроме того, Defender для облака защищает сторонние серверы, не связанные с Azure, и виртуальные машины в облачных и локальных средах (для серверов Windows и Linux) путем установки на них агента Log Analytics. Microsoft Defender для облака автоматически выполняет подготовку виртуальных машин Azure.

Информация о событиях, полученная от агентов и Azure, коррелируется в модуле аналитики безопасности для предоставления вам оптимальных рекомендаций (задач по усилению), которые необходимо выполнить, чтобы гарантировать безопасность для рабочих нагрузок. Как можно скорее реагируйте на такие оповещения, чтобы не допустить влияния вредоносных атак на ваши рабочие нагрузки.

После включения Defender для облака встроенная в это решение политика безопасности будет отображена в Политике Azure в виде встроенной инициативы в категории "Defender для облака". Такая встроенная инициатива автоматически назначается всем зарегистрированным подпискам Defender для облака (независимо от того, включен ли в них Defender для облака). Встроенная инициатива содержит только политики аудита. Дополнительные сведения о политиках Defender для облака в Политике Azure: Управление политиками безопасности.

Повышение уровня безопасности

Defender для облака позволяет улучшить состояние безопасности, то есть определять и выполнять задачи по усилению защиты, рекомендованные в виде лучших методик безопасности, и реализовывать их на компьютерах, в службах данных и приложениях. Это включает администрирование и принудительное применение политик безопасности, а также обеспечение соответствия для виртуальных машин Azure, сторонних серверов, не связанных с Azure, и служб Azure PaaS. Defender для облака предоставляет вам необходимые инструменты для получения полного представления о рабочих нагрузках и подробных сведений о развернутых в сети средствах безопасности.

Управление политикой безопасности организации и соответствия требованиям

Для обеспечения безопасности в первую очередь нужно убедиться, что ваши рабочие нагрузки в безопасности, и начать с внедрения настроенных политик безопасности. Так как все политики Defender для облака создаются на основе элементов управления службы "Политика Azure", вы получаете в свое распоряжение полнофункциональное и гибкое решение мирового класса по работе с политиками. В Defender для облака можно задать политики, применяемые в группах управления, между подписками и даже для всего арендатора.

Defender для облака помогает выявлять подписки теневых ИТ. Заметив на панели мониторинга подписки, помеченные как не входящие в область действия, вы можете немедленно узнать о недавно созданных подписках и убедиться, что они защищаются политиками и Defender для облака.

Непрерывные оценки

Defender для облака постоянно выявляет новые развертываемые ресурсы в области рабочих нагрузок и оценивает их настройку в соответствии с лучшими методиками безопасности. При несоответствии таким методикам эти ресурсы помечаются и вам предоставляется список первоочередных рекомендаций, которые необходимо выполнить, чтобы устранить уязвимости и защитить ваши машины.

Чтобы помочь вам понять, насколько важна каждая рекомендация для общего состояния безопасности, в Defender для облака рекомендации сгруппированы по элементам управления безопасностью, для которых указывается значение оценки безопасности. Эта оценка очень важна для приоритезации работы системы безопасности.

Карта сети

Одно из самых мощных средств Defender для облака для постоянного мониторинга состояния защиты сети — это карта сети. Карта позволяет вам просмотреть топологию рабочих нагрузок, чтобы вы могли убедиться, что каждый узел настроен правильно. Вы можете увидеть, как соединены ваши узлы, что помогает блокировать нежелательные подключения, которые потенциально упрощают злоумышленнику проникновение в вашу сеть.

Screenshot of the Defender for Cloud Network map.

Основное преимущество Defender для облака — это его рекомендации. Рекомендации предназначены для разрешения определенных проблем безопасности, выявленных для ваших рабочих нагрузок. Defender для облака самостоятельно выполняет задачи администратора безопасности — это решение не только находит уязвимости, но и предоставляет конкретные инструкции по их устранению.

Благодаря этому Defender для облака позволяет не только задавать политики безопасности, но и применять стандарты защищенной настройки к вашим ресурсам.

Эти рекомендации помогут уменьшить область атаки для каждого из ресурсов — виртуальных машин Azure, сторонних серверов (не Azure) и служб PaaS Azure (например SQL), учетных записей хранения и других. Каждый тип ресурса оценивается по-разному и имеет собственные стандарты.

Защита от угроз

Функция защиты от угроз Defender для облака позволяет обнаруживать и предотвращать угрозы на уровне инфраструктуры как услуги (IaaS), на серверах за пределами Azure, а также на уровне платформы как услуги (PaaS) в Azure.

Система защиты от угроз Defender для облака включает в себя возможность комплексного анализа цепочки отказов с автоматическим сопоставлением оповещений в вашей среде с учетом анализа цепочки отказов в киберсреде. Такой анализ позволяет лучше понять полную историю кампании атаки, откуда она была запущена и какое влияние оказала на ваши ресурсы.

Интеграция с Microsoft Defender для конечной точки

Defender для облака включает автоматическую собственную интеграцию с Microsoft Defender для конечной точки. Такая встроенная интеграция означает, что без какой-либо дополнительной настройки компьютеры Windows и Linux полностью интегрируются с рекомендациями и оценками Defender для облака.

Кроме того, Defender для облака позволяет автоматизировать политики управления приложениями в серверных средах. Адаптивные элементы управления приложениями в Defender для облака обеспечивают поддержку комплексных списков утвержденных приложений на серверах Windows. Вам не нужно создавать правила и проверять нарушения. Все это выполняется автоматически.

Защита PaaS

Defender для облака помогает выявлять угрозы в службах Azure PaaS. Вы можете обнаружить угрозы для служб Azure, включая службы приложений Azure, Azure SQL, учетную запись хранения Azure и другие службы данных. Вы также можете воспользоваться преимуществами собственной интеграции с аналитикой поведения пользователей и сущностей в Microsoft Defender для облачных приложений, чтобы выполнять обнаружение аномалий в журналах действий Azure.

Блокирование атак методом подбора

Defender для облака помогает уменьшить уязвимость к атакам методом подбора. За счет сокращения доступа к портам виртуальной машины можно усилить свою сеть, предотвращая ненужный доступ с применением JIT-доступа к виртуальной машине. Вы можете установить политики безопасного доступа на выбранных портах только для авторизованных пользователей, допустимых диапазонов IP-адресов источника или других IP-адресов и на ограниченный период времени.

Защита службы данных

Defender для облака включает возможности, позволяющие выполнять автоматическую классификацию данных в Azure SQL. Вы также можете получить оценки потенциальных уязвимостей в Azure SQL и службе хранилища, а также рекомендации по их устранению.

Быстрое получение системы безопасности

Интеграция функциональных возможностей платформы Azure (включая Политику Azure и журналы Azure Monitor) при эффективной интеграции с другими продуктами корпорации Майкрософт по обеспечению безопасности, такими как Microsoft Defender для облачных приложений и Microsoft Defender для конечной точки, позволяет сделать ваше решение по обеспечению безопасности комплексным, а также простым в подключении и развертывании.

Кроме того, вы можете расширить полное решение за пределы Azure в область рабочих нагрузок, выполняющихся на других облаках и в локальных центрах обработки данных.

Автоматическое обнаружение и подключение ресурсов Azure с автоматической подготовкой

Defender для облака обеспечивает простую и собственную интеграцию с Azure и ресурсами Azure. Благодаря такой интеграции вы можете объединить систему безопасности, включающую службу "Политика Azure" и встроенные политики Defender для облака во всех ресурсах Azure и проверить, что они автоматически применяются к обнаруженным ресурсам по мере их создания в Azure.