Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tento článek uvádí všechna doporučení zabezpečení, která můžete zobrazit v plánu Microsoft Defenderu pro cloud – Správa stavu zabezpečení v programu Defender (CSPM) pro bezserverovou ochranu.
Doporučení, která se zobrazí ve vašem prostředí, jsou založená na prostředcích, které chráníte, a na přizpůsobené konfiguraci. Doporučení se zobrazí na portálu , která platí pro vaše prostředky.
Další informace o akcích, které můžete provést v reakci na tato doporučení, najdete v tématu Náprava doporučení v defenderu pro cloud.
Návod
Pokud popis doporučení říká Žádné související zásady, obvykle je to proto, že toto doporučení závisí na jiném doporučení a jeho zásadách.
Například doporučení Selhání stavu služby Endpoint Protection by se měla napravit , závisí na doporučení, které kontroluje, jestli je řešení ochrany koncových bodů ještě nainstalované (mělo by se nainstalovat řešení Endpoint Protection). Základní doporučení má zásadu. Omezení zásad pouze na základní doporučení zjednodušuje správu zásad.
Doporučení pro bezserverovou ochranu
(Preview) Ve službě Azure Functions by mělo být povolené ověřování.
Popis: Defender pro cloud zjistil, že pro vaši aplikaci Azure Functions není povolené ověřování, aspoň jedna funkce aktivovaná protokolem HTTP je nastavená na anonymní. Toto ověřování představuje riziko neoprávněného přístupu k funkci. Přidejte zprostředkovatele identity pro aplikaci funkcí nebo změňte typ ověřování samotné funkce, aby se zabránilo tomuto riziku. (Žádné související zásady)
Závažnost: Vysoká
(Preview) U adres URL funkcí lambda by mělo být povolené ověřování.
Popis: Defender pro cloud zjistil, že ověřování není povolené pro jednu nebo více adres URL funkce Lambda. Veřejně přístupné adresy URL funkce Lambda bez ověřování představují riziko neoprávněného přístupu a potenciálního zneužití. Vynucování ověřování AWS IAM u adres URL funkcí lambda pomáhá tyto rizika zmírnit. (Žádné související zásady)
Závažnost: Vysoká
(Preview) Podepisování kódu by mělo být povolené v lambdě.
Popis: Defender for Cloud zjistil, že podepisování kódu není v lambdě povolené, což představuje riziko neoprávněných úprav kódu funkce Lambda. Povolení podepisování kódu zajišťuje integritu a pravost kódu, což brání těmto úpravám. (Žádné související zásady)
Závažnost: Vysoká
(Preview) Funkce Lambda by měla být nakonfigurovaná s automatickými aktualizacemi verzí modulu runtime.
Popis: Defender for Cloud zjistil, že funkce Lambda nepoužívá automatickou aktualizaci verze modulu runtime. To představuje riziko ohrožení zabezpečení zastaralých verzí modulu runtime. Používání automatických aktualizací udržuje modul runtime v aktualizovaném stavu a zajišťuje, aby funkce těží z nejnovějších oprav zabezpečení a vylepšení. (Žádné související zásady)
Závažnost: Střední
(Preview) Funkce Lambda by měla implementovat rezervovanou souběžnost, aby se zabránilo vyčerpání prostředků.
Popis: Defender for Cloud zjistil, že funkce Lambda používá zastaralou verzi vrstvy. To představuje riziko ohrožení známých ohrožení zabezpečení. Udržování vrstev v aktualizovaném stavu zajišťuje, aby funkce těží z nejnovějších oprav zabezpečení a vylepšení. (Žádné související zásady)
Závažnost: Střední
(Preview) Přílišná oprávnění by neměla být nakonfigurovaná v aplikaci funkcí, webové aplikaci nebo aplikaci logiky.
Popis: Defender pro cloud zjistil, že aplikace funkcí, webová aplikace nebo identita aplikace logiky má nadměrně přístupná oprávnění. Omezením oprávnění můžete zajistit, aby byl udělen pouze potřebný přístup, což snižuje riziko neoprávněného přístupu a potenciálních porušení zabezpečení. (Žádné související zásady)
Závažnost: Vysoká
(Preview) Omezený přístup k síti by měl být nakonfigurovaný v aplikaci funkcí vystavených na internetu.
Popis: Defender for Cloud zjistil, že aplikace funkcí je přístupná k internetu bez jakýchkoli omezení. Omezením síťového přístupu zajistíte, že k aplikaci FunctionApp mají přístup jenom povolené sítě. Pokud funkce nevyžaduje přístup k veřejné síti, nastavte nastavení Přístup k veřejné síti na zakázáno nebo Povoleno z vybraných virtuálních sítí a IP adres. Tato akce omezuje přístup k síti, snižuje riziko neoprávněného přístupu a chrání vaši aplikaci před potenciálními hrozbami. (Žádné související zásady)
Závažnost: Vysoká
(Preview) Mechanismus zabezpečení by se měl používat ve službě API Gateway funkce lambda.
Popis: Defender pro cloud zjistil, že pro bránu rozhraní API pro funkci lambda není povolené ověřování. To představuje riziko neoprávněného přístupu a potenciálního zneužití koncových bodů funkce. Vynucení ověřování může pomoct tyto rizika zmírnit. (Žádné související zásady)
Závažnost: Vysoká