介绍 Microsoft Defender for Cloud 工作负载保护
Defender for Cloud 是用于进行安全态势管理和威胁防护的工具。 它增强了云资源的安全态势,并且借助其集成的 Microsoft Defender 计划,Defender for Cloud 可保护在 Azure、混合和其他云平台中运行的工作负载。
Defender for Cloud 提供了强化资源、跟踪安全态势、防范网络攻击和简化安全管理所需的工具。 由于它以本机方式集成,因此部署 Defender for Cloud 很容易,且默认情况下会为你提供简单的自动预配,以保护资源。 Defender for Cloud 满足在云和本地管理资源和工作负载的安全性时的三个重要需求:
持续评估 – 了解当前的安全态势。
安全 - 强化所有连接的资源和服务。
防御 - 检测并解决针对这些资源和服务的威胁。
为了帮助你在这些挑战面前保护自己, Microsoft Defender for Cloud 提供了能实现以下目的的工具:
安全分数:一个分数,让你可以一目了然地了解当前的安全状况:分数越高,识别出的风险级别就越低。
安全建议:用于改善安全态势的自定义和优先级强化任务。 按照建议中提供的详细修正步骤来实施建议。 对于很多建议,Defender for Cloud 提供了一个用于自动实施建议的“修复”按钮!
安全警报:启用增强的安全功能后,Defender for Cloud 会检测到对资源和工作负载的威胁。 这些警报将显示在 Azure 门户中,Defender for Cloud 也可以通过电子邮件将它们发送给组织中的相关人员。 警报还可以根据需要流式传输到 SIEM、SOAR 或 IT 服务管理解决方案。
体系结构
因为 Defender for Cloud 是 Azure 的固有组成部分,所以 Azure 中的 PaaS 服务(包括 Service Fabric、SQL 数据库、SQL 托管实例和存储帐户)都受 Defender for Cloud 的监视和保护,不需要进行任何部署。
此外,Defender for Cloud 还会保护云中或本地的非 Azure 服务器和虚拟机(针对 Windows 和 Linux 服务器),具体方式是在其上安装 Log Analytics 代理。 Azure 虚拟机是在 Microsoft Defender for Cloud 中自动预配的。
从代理和 Azure 收集的事件在安全分析引擎中相关联,以为你提供量身定制的建议(强化任务),你应该遵循这些建议以确保工作负载安全。 应该尽快调查这些警报,以确保工作负载中不会发生恶意攻击。
当你启用 Defender for Cloud 时,Defender for Cloud 中内置的安全策略会反映在 Azure Policy 中,作为 Defender for Cloud 目录下的内置计划。 无论是否已启用 Defender for Cloud,内置计划都将自动分配给所有 Defender for Cloud 已注册订阅。 内置的计划仅包含审核策略。 若要详细了解 Azure Policy 中的 Defender for Cloud 策略,请参阅使用安全策略。
加强安全态势
使用 Defender for Cloud,可以加强安全态势。 也就是说,它有助于识别和执行建议的(作为安全最佳做法的)强化任务并在计算机、数据服务和应用程序中实现这些内容。 包括管理和强制实施安全策略,以及确保 Azure 虚拟机、非 Azure 服务器和 Azure PaaS 服务的符合性。 Defender for Cloud 提供了所需的工具,让你能够在工作负载上获得鸟瞰视图,并在能重点关注自己的网络安全状态。
管理组织安全策略和符合性
了解并确保工作负荷的安全性是保障安全的基础,并且要从拥有量身定制的适当安全策略开始。 由于所有 Defender for Cloud 策略都是基于 Azure Policy 控制构建的,因此你将获得世界级策略解决方案的全方位服务和灵活性。 在 Defender for Cloud 中,可以将策略设置为在管理组上、订阅中以及甚至为整个租户运行。
Defender for Cloud 有助于识别影子 IT 订阅。 通过在仪表板中查看标记为“未涵盖”的订阅,可以立即知道新订阅创建的时间,确保策略已涵盖这些订阅并确保它们受到 Defender for Cloud 的保护。
持续评估
Defender for Cloud 会持续发现部署在工作负载中的新资源并评估它们是否已根据安全最佳做法进行了配置。 如果没有,则会将它们标记出来,并且你将获得一个按优先级排列的建议列表,便于你进行修复以保护计算机。
为了帮助你了解每个建议对整体安全状况的重要程度,Defender for Cloud 将建议分组到安全控件中,并向每个控件添加“安全功能分数”值。 该评分在你设置安全工作的优先级时至关重要。
网络映射
Defender for Cloud 提供用于持续监视网络安全状态的强大工具之一是网络映射。 通过映射可以查看工作负荷的拓扑,从而可以查看是否已正确配置了每个节点。 可以看到节点的连接方式,这有助于阻止不必要的连接,这些连接可能使攻击者更容易沿网络爬行。
通过配置建议的控制来优化和提高安全性
Defender for Cloud 的价值的核心在于其建议。 这些建议是针对在工作负载上发现的特定安全问题而量身定制的。 Defender for Cloud 不仅可以通过查找漏洞来为你执行安全管理工作,还可以通过为你提供有关如何清除漏洞的具体说明来进行。
通过这种方式,Defender for Cloud 不仅使你能够设置安全策略,还使你能够在整个资源中应用安全配置标准。
这些建议可帮助你减少每个资源的攻击面 - Azure 虚拟机、非 Azure 服务器和 Azure PaaS 服务,例如 SQL 和存储帐户等。 每种类型的资源都以不同的方式进行评估,并有其自己的标准。
防范威胁
通过 Defender for Cloud 的威胁防护,可以在基础结构即服务 (IaaS) 层、非 Azure 服务器以及针对 Azure 中的平台即服务 (PaaS) 进行检测和防范威胁。
Defender for Cloud 的威胁防护包括融合杀伤链分析,它会根据网络杀伤链分析来自动关联环境中的警报。 该分析可以帮助你更好地了解攻击活动的全部情况:它从哪里开始,以及它对资源会产生什么样的影响。
与 Microsoft Defender for Endpoint 集成
Defender for Cloud 包括与 Microsoft Defender for Endpoint 的自动原生集成。 这一内置集成意味着,不需要进行任何配置,Windows 和 Linux 计算机也能与 Defender for Cloud 的建议和评估完全集成。
此外,使用 Defender for Cloud,可以在服务器环境中自动执行应用程序控制策略。 Defender for Cloud 中的自适应应用程序控制支持跨 Windows 服务器的端到端应用审批列表。 无需创建规则和检查违规行为。 这些都是自动完成的。
保护 PaaS
Defender for Cloud 有助于跨 Azure PaaS 服务检测威胁。 可以检测针对 Azure 服务(包括 Azure 应用服务、Azure SQL、Azure 存储帐户和更多数据服务)的威胁。 还可以利用与 Microsoft Defender for Cloud Apps 的用户和实体行为分析 (UEBA) 的原生集成,对 Azure 活动日志执行异常情况检测。
阻止暴力攻击
Defender for Cloud 有助于限制在暴力攻击面前的曝光程度。 通过减少对虚拟机端口的访问,使用实时 VM 访问,可以通过阻止不必要的访问来强化网络。 可以在所选端口上设置安全访问策略,仅限授权用户、允许的源 IP 地址范围或 IP 地址,并且仅在有限的时间内。
保护数据服务
Defender for Cloud 包括有助于在 Azure SQL 中执行数据自动分类的功能。 还可以获取跨 Azure SQL 和存储服务对潜在漏洞进行的评估,以及有关如何缓解这些问题的建议。
更快地获取安全性
结合运用本机 Azure 集成(包括 Azure Policy 和 Azure Monitor 日志)与其他 Microsoft 安全解决方案(如 Microsoft Defender for Cloud Apps 和 Microsoft Defender for Endpoint)的无缝集成,有助于确保安全解决方案的全面性,并且易于载入和推出。
此外,还可以将完整的解决方案扩展到 Azure 外在其他云和本地数据中心中运行的工作负载。
利用自动预配自动发现和载入 Azure 资源
Defender for Cloud 提供与 Azure 和 Azure 资源的无缝本机集成。 此集成允许跨所有 Azure 资源汇总涉及到 Azure Policy 和内置 Defender for Cloud 策略的完整安全性内容,并确保你在 Azure 中创建资源时所有内容会自动应用到新发现的资源。