Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Microsoft Defender for Cloud bietet als Cloud-Native Application Protection Platform (CNAPP) umfassende Sichtbarkeit, Sicherheit und Haltungsverwaltung für serverlose Workloads in multicloud-Umgebungen. Es erweitert die Abdeckung auf Azure Web-Apps, Azure Functions und Amazon Web Service (AWS) Lambda, um sicherzustellen, dass diese Ressourcen vollständig geschützt sind.
Der serverlose Schutz erkennt und inventariert automatisch alle Web-Apps-, Azure Functions- und AWS Lambda-Funktionen in Ihrer Umgebung. Sobald diese Ressourcen erkannt wurden, identifiziert Defender for Cloud Fehlkonfigurationen, Sicherheitsrisiken und unsichere Abhängigkeiten. Defender for Cloud bietet dann Wartungsleitfaden und eine kontinuierliche Haltungsbewertung, die Organisationen dabei hilft, ein starkes Haltungsmanagement aufrechtzuerhalten und risiken in dynamischen, serverlosen Architekturen zu reduzieren.
Erfahren Sie mehr über die Cloudverfügbarkeit für dieses Feature.
Serverlose Schutzanforderungen und Verfügbarkeit
Serverloser Schutz ist im Rahmen des Defender Cloud Security Posture Management (CSPM)-Plans verfügbar.
Um den serverlosen Schutz zu aktivieren, müssen Sie den Defender-CSPM-Plan in Ihrem Abonnement aktivieren und die serverlose Schutzkomponente des Defender-CSPM-Plans aktivieren.
Derzeit variieren die verfügbaren Features je nach Portal. Die folgende Tabelle zeigt, welche Features in den einzelnen Portalen verfügbar sind:
| Funktion | Defender für Cloud-Portal | Defender-Portal |
|---|---|---|
| Einführung mit dem Defender CSPM-Plan | 
|
|
| Empfehlungen zur Fehlkonfiguration überprüfen |
|
|
| Erstellen von Abfragen mit dem Cloudsicherheits-Explorer |
|
|
| Erkunden von Arbeitslasten in Cloudinventar |
|
|
| Untersuchen von Angriffspfaden |
|
|
| Sicherheitsrisikobewertung | - |
|
Informationen zum Anzeigen der Verfügbarkeit finden Sie unter Cloudsupport.
Siehe Einschränkungen für serverlose Ressourcen.
Vorteile des serverlosen Schutzes
Defender for Cloud erweitert seine CSPM-Funktionen auf serverlose Workloads, indem kontinuierliche Sichtbarkeit und Risikobewertung mit den folgenden Features bereitgestellt werden:
Automatische Ressourcenermittlung: Erkennt alle serverlosen Ressourcen (Azure Functions, Web-Apps, AWS Lambda) und listet sie in einem einheitlichen Bestand auf.
Kontinuierliche Haltungsbewertung: Wertet Konfigurationen für Risiken wie öffentliche Endpunkte, schwache Authentifizierung und fehlende Verschlüsselung aus.
Fehlkonfigurationserkennung: Umfasst:
- Access Control: Einschränken der Netzwerkexposition, Erzwingen der Authentifizierung.
- Identität und Berechtigungen: Verhindern von lateralen Bewegungen, Datenexfiltration und Berechtigungsmissbrauch.
- Codeintegrität: Schutz vor nicht autorisierten Codeänderungen [z. B. AWS Lambda-Codesignatur].
Sicherheitsrisikobewertung: Überprüft Funktionspakete auf anfällige Abhängigkeiten und bietet Anleitungen zur Behebung.
Angriffspfadanalyse: Ordnet potenzielle Angriffsketten zu, die serverlose Ressourcen zur proaktiven Risikominderung umfassen.
Defender for Cloud diese Features verwenden, um Organisationen dabei zu helfen, ihre serverlosen Arbeitslasten zu schützen, um eine robuste Verwaltung der Sicherheitslage in dynamischen Cloudumgebungen sicherzustellen.
Über diese Kernvorteile hinaus entspricht die serverlose Sicherheit in Defender for Cloud der breiteren Vision von CNAPP, die darauf abzielt, Anwendungen während ihres gesamten Lebenszyklus zu sichern.
Der Serverlose Schutz ist auch in das Defender Portal integriert. Diese Integration bietet Sichtbarkeit für fehlkonfigurierte Erkennung, Angriffspfadanalyse und Sicherheitsrisikobewertung in einer einzigen Schnittstelle.
Sehen Sie sich die Serverlosen Schutzsicherheitsempfehlungen an.
Funktionsweise des serverlosen Schutzes
Der serverlose Schutz in Defender for Cloud funktioniert durch eine Kombination aus automatisierter Ermittlung, kontinuierlicher Überwachung und Risikobewertung. Wenn Sie den Defender CSPM Plan aktivieren und die serverlose Schutzkomponente aktivieren, überprüft Defender for Cloud Ihre Cloudumgebung, um alle serverlosen Ressourcen zu identifizieren, einschließlich Azure Web-Apps, Azure Functions und AWS Lambda-Funktionen.
Nachdem Defender for Cloud die Ressourcen ermittelt hat, überwacht sie kontinuierlich ihre Konfigurationen und Laufzeitumgebungen. Sie wertet diese Ressourcen anhand einer Reihe bewährter Sicherheitsmethoden und Compliancestandards aus, um Fehlkonfigurationen, Sicherheitsrisiken und unsichere Abhängigkeiten zu identifizieren. Wenn ein Risiko erkannt wird, generiert Defender for Cloud Sicherheitsempfehlungen mit detaillierten Korrekturschritten, die Ihnen bei der Behebung der Probleme helfen.
Lagerbestand
Defender for Cloud bietet einen einheitlichen Bestand aller ermittelten serverlosen Ressourcen, sodass Sie sie ganz einfach anzeigen und verwalten können. Die Bestandsseite enthält Details wie Ressourcennamen, Typen, Standorte und zugehörige Sicherheitsergebnisse. Filtern Sie einfach die Ergebnisse basierend auf dem Ressourcentyp, um sich auf Web-Apps, Azure Functions oder AWS Lambda-Funktionen zu konzentrieren.
Nachdem Sie Ihre Ergebnisse gefiltert haben, wählen Sie eine der Ressourcen aus, um weitere Details zum Sicherheitsstatus anzuzeigen, einschließlich aller aktiven Sicherheitsempfehlungen und deren Schweregrad.
Sie können auch die Sicherheitsempfehlungen überprüfen, die den einzelnen Ressourcen zugeordnet sind, um Korrekturmaßnahmen basierend auf dem Schweregrad der Ergebnisse zu priorisieren und sie zu beheben.
Erfahren Sie, wie Sie Sicherheitsempfehlungen beheben.
Cloudsicherheits-Explorer
Defender for Cloud Cloud Security Explorer bietet erweiterte Filter- und Abfragefunktionen, mit denen Sie den Sicherheitsstatus Ihrer serverlosen Ressourcen analysieren können. Sie können benutzerdefinierte Abfragen erstellen, um bestimmte Fehlkonfigurationen oder Sicherheitsrisiken in Ihren serverlosen Workloads zu identifizieren.
Erfahren Sie, wie Sie Abfragen mit Cloud Security Explorer erstellen.
Einschränkungen
Serverlose Ressourcen, die nicht zur Bewertung von Sicherheitsrisiken berechtigt sind, sind wie folgt:
- Web-Apps und Funktions-Apps, die sich nicht im Zustand "Ausgeführt" befinden.
- Web-Apps- und Funktions-Apps, die keinen Zugriff auf das Internet haben
- WebApps und Funktions-Apps mit den folgenden "Art"-Werten werden nicht gescannt:
- App, Migration; functionapp,botapp; app,linux,aspiredashboard; app,container,xenon; app,botapp; app,linux,Kubernetes; app,functionapp,windows; functionapp,linux,container,Kubernetes; app,linux,container,Kubernetes; app,xenon; functionapp,linux,Kubernetes; app,functionapp