你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Internet 曝光分析
使用 Microsoft Defender for Cloud 中的 Internet 暴露分析,可以了解哪些多云资源暴露于 Internet。 Defender for Cloud 利用 Internet 暴露来确定错误配置、漏洞和其他问题的风险级别。
Defender for Cloud 如何检测 Internet 暴露
Defender for Cloud 会评估连接的云资源,检查它们的配置是否会导致 Internet 暴露。 检测 Internet 暴露可以很简单,例如检查虚拟机 (VM) 是否具有公共 Internet 协议 (IP) 地址。 但是,这个过程可能更为复杂。 Defender for Cloud 会尝试在复杂的多云体系结构中定位暴露于 Internet 的资源。 例如,VM 可能不会直接暴露于 Internet,而是位于负载均衡器后面,负载均衡器会在多个服务器之间分布流量,以确保不会出现单个服务器不堪重负的情况。
下表列出了 Defender for Cloud 评估 Internet 暴露的资源:
| 类别 | 服务/资源 |
|---|---|
| 虚拟机 | Azure VM Amazon Web Service (AWS) EC2 Google Cloud Platform (GCP) 计算实例 |
| 虚拟机群集 | Azure 虚拟机规模集 GCP 实例组 |
| 数据库 (DB) | Azure SQL Azure PostgreSQL Azure MySQL Azure SQL 托管实例 Azure MariaDB Azure Cosmos DB Azure Synapse AWS 关系数据库服务 (RDS) DB GCP SQL 管理实例 |
| 存储 | Azure 存储 AWS S3 存储桶 GCP 存储桶 |
| AI | Azure OpenAI 服务 Azure AI 服务 Azure 认知搜索 |
| 容器 | Azure Kubernetes 服务 (AKS) AWS EKS GCP GKE |
| API | Azure API 管理操作 |
下表列出了 Defender for Cloud 评估 Internet 暴露的网络组件:
| 类别 | 服务/资源 |
|---|---|
| Azure | 应用程序网关 负载均衡器 Azure 防火墙 网络安全组 |
| AWS | 弹性负载均衡器 |
| GCP | 负载均衡器 |
如何查看暴露于 Internet 的资源
Defender for Cloud 提供了几种不同的方法来查看暴露于 Internet 的资源。
云安全资源管理器 - 利用云安全资源管理器可以在云安全图上运行基于图形的查询。 在“云安全资源管理器”页上,可以运行查询来查找暴露于 Internet 的资源。 此查询会返回暴露于 Internet 的所有附加资源,并允许查看任何关联的详细信息。
攻击路径分析 - 通过“攻击路径分析”页可以查看攻击者可用于访问特定资源的攻击路径。 使用攻击路径分析,可以查看攻击路径的可视化表示形式,并查看暴露于 Internet 的资源。 Internet 暴露往往是攻击路径的入口点,尤其是在资源存在漏洞时。 暴露于 Internet 的资源通常会导向包含敏感数据的目标。
建议 - Defender for Cloud 会根据在 Internet 上的暴露情况对建议进行优先级排序。
Defender 外部攻击面管理集成
Defender for Cloud 还与 Defender 外部攻击面管理集成,通过尝试从外部源联系它们并查看它们是否响应,来评估资源是否暴露于 Internet。
详细了解 Defender 外部攻击面管理集成。