Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Microsoft Defender per il cloud, come Cloud-Native Application Protection Platform (CNAPP), offre una visibilità completa, sicurezza e gestione della postura per i carichi di lavoro serverless in ambienti multicloud. Estende la copertura a Azure App Web, Funzioni di Azure e Amazon Web Service (AWS) Lambda, assicurandosi che queste risorse siano completamente protette.
La protezione serverless individua e inventaria automaticamente tutte le funzioni App Web, Funzioni di Azure e AWS Lambda nell'ambiente in uso. Una volta individuate queste risorse, Defender per il cloud identifica configurazioni, vulnerabilità e dipendenze non sicure. Defender per il cloud offre quindi linee guida per la correzione e una valutazione continua del comportamento, aiutando le organizzazioni a mantenere una gestione avanzata del comportamento e ridurre i rischi nelle architetture dinamiche e serverless.
Altre informazioni sulla disponibilità del cloud per questa funzionalità.
Requisiti e disponibilità della protezione serverless
La protezione serverless è disponibile come parte del piano Defender Cloud Security Posture Management (CSPM).
Per abilitare la protezione serverless, è necessario Abilitare il piano di Defender CSPM nella sottoscrizione e abilitare il componente protezione serverless del piano di Defender CSPM.
Attualmente, le funzionalità disponibili variano in base al portale. La tabella seguente illustra le funzionalità disponibili in ogni portale:
| Feature | portale di Defender per il cloud | portale di Defender |
|---|---|---|
| Onboarding tramite il piano di Defender CSPM | 
|
|
| Esaminare le raccomandazioni di misconfigurazione |
|
|
| Costruire query con il Cloud Security Explorer |
|
|
| Esplorare i carichi di lavoro nell'inventario cloud |
|
|
| Analizzare i percorsi di attacco |
|
|
| Valutazione della vulnerabilità | - |
|
Per visualizzare la disponibilità, vedere Supporto cloud.
Consulta limitazioni delle risorse serverless.
Vantaggi della protezione serverless
Defender per il cloud estende le funzionalità CSPM ai carichi di lavoro serverless offrendo visibilità e valutazione dei rischi continui con le funzionalità seguenti:
Individuazione automatica delle risorse: rileva tutte le risorse serverless (Funzioni di Azure, App Web, AWS Lambda) e le elenca in un inventario unificato.
Valutazione continua del comportamento: valuta le configurazioni per rischi come endpoint pubblici, autenticazione debole e crittografia mancante.
Rilevamento della configurazione errata: comprende:
- Controllo di accesso: limitare l'esposizione della rete, applicare l'autenticazione.
- Identità e autorizzazioni: impedisce lo spostamento laterale, l'esfiltrazione dei dati e l'abuso dei privilegi.
- Integrità del codice: protezione da modifiche di codice non autorizzate [ad esempio la firma del codice lambda AWS].
Valutazione della vulnerabilità: analizza i pacchetti di funzioni per individuare le dipendenze vulnerabili e fornisce indicazioni sulla correzione.
Analisi del percorso di attacco: esegue il mapping di potenziali catene di attacchi che coinvolgono risorse serverless per la mitigazione proattiva dei rischi.
Defender per il cloud usa queste funzionalità per aiutare le organizzazioni a proteggere i carichi di lavoro serverless, garantendo una solida gestione del comportamento di sicurezza negli ambienti cloud dinamici.
Oltre a questi vantaggi principali, la sicurezza serverless in Defender per il cloud è allineata alla visione più ampia di CNAPP, che mira a proteggere le applicazioni nel corso del ciclo di vita.
La protezione serverless è integrata anche nel portale di Defender. Questa integrazione offre visibilità per il rilevamento della configurazione errata, l'analisi del percorso di attacco e la valutazione della vulnerabilità in un'unica interfaccia.
Visualizzare le raccomandazioni di sicurezza per la protezione serverless.
Come funziona la protezione serverless
La protezione serverless in Defender per il cloud funziona tramite una combinazione di individuazione automatizzata, monitoraggio continuo e valutazione dei rischi. Quando si abilita il piano di Defender CSPM e si attiva il componente protezione serverless, Defender per il cloud analizza l'ambiente cloud per identificare tutte le risorse serverless, incluse le funzioni Azure App Web, Funzioni di Azure e AWS Lambda.
Dopo Defender per il cloud individua le risorse, monitora continuamente le configurazioni e gli ambienti di runtime. Valuta queste risorse rispetto a un set di procedure consigliate per la sicurezza e standard di conformità per identificare errori di configurazione, vulnerabilità e dipendenze non sicure. Quando rileva un rischio, Defender per il cloud genera raccomandazioni sulla sicurezza con procedure di correzione dettagliate per risolvere i problemi.
Magazzino
Defender per il cloud fornisce un inventario unificato di tutte le risorse serverless individuate, in modo da poterle visualizzare e gestire facilmente. La pagina di inventario include dettagli, ad esempio nomi di risorse, tipi, posizioni e risultati di sicurezza associati. È sufficiente filtrare i risultati in base al tipo di risorsa per concentrarsi sulle funzioni App Web, Funzioni di Azure o AWS Lambda.
Dopo aver filtrato i risultati, selezionare una delle risorse per visualizzare altri dettagli sul comportamento di sicurezza, incluse eventuali raccomandazioni di sicurezza attive e i relativi livelli di gravità.
È anche possibile esaminare le raccomandazioni di sicurezza associate a ogni risorsa per classificare in ordine di priorità le attività di correzione in base alla gravità dei risultati e correggerle.
Informazioni su come correggere le raccomandazioni sulla sicurezza.
Cloud Security Explorer
Cloud Security Explorer di Defender per il cloud offre funzionalità avanzate di filtro e query che consentono di analizzare il comportamento di sicurezza delle risorse serverless. È possibile creare query personalizzate per identificare configurazioni o vulnerabilità specifiche nei carichi di lavoro serverless.
Scopri come creare query con Cloud Security Explorer.
Limitazioni
Le risorse serverless non idonee per la valutazione della vulnerabilità sono le seguenti:
- App Web e le app per le funzioni che non hanno uno stato operativo "In esecuzione"
- App Web e le app per le funzioni che non hanno accesso a Internet
- Le app Web e le app per le funzioni con i valori "kind" seguenti non vengono analizzate:
- app, migrazione; functionapp, botapp; app,linux,aspirataashboard; app, contenitore, xenon; app, botapp; app, linux, Kubernetes; app, functionapp, windows; functionapp,linux,container,Kubernetes; app, linux, contenitore, Kubernetes; app, xenon; functionapp,linux,Kubernetes; app, functionapp