Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel werden alle Sicherheitsempfehlungen aufgeführt, die möglicherweise vom Microsoft Defender für Cloud-Plan – Defender Cloud Security Posture Management (CSPM) für serverlosen Schutz ausgegeben werden.
Die Empfehlungen, die in Ihrer Umgebung angezeigt werden, basieren auf den Ressourcen, die Sie schützen und auf Ihrer angepassten Konfiguration. Sie können die Empfehlungen im Portal sehen, die für Ihre Ressourcen gelten.
Informationen zu Aktionen, die Sie als Reaktion auf diese Empfehlungen ausführen können, finden Sie unter "Korrekturempfehlungen" in Defender für Cloud.
Tipp
Wenn die Beschreibung einer Empfehlung "Keine verwandte Richtlinie" lautet, liegt dies in der Regel daran, dass diese Empfehlung von einer anderen Empfehlung und ihrer Richtlinie abhängig ist.
Die Empfohlene Endpunktschutz-Integritätsfehler sollten beispielsweise behoben werden , indem empfohlen wird, dass überprüft wird, ob eine Endpunktschutzlösung sogar installiert ist (Endpoint Protection-Lösung sollte installiert werden). Die zugrunde liegende Empfehlung verfügt über eine Richtlinie. Das Einschränken der Richtlinien auf die grundlegende Empfehlung vereinfacht die Richtlinienverwaltung.
Empfehlungen zum Schutz ohne Server
(Vorschau) Die Authentifizierung sollte in Azure-Funktionen aktiviert sein
Beschreibung: Defender für Cloud hat festgestellt, dass die Authentifizierung für Ihre Azure Functions-App nicht aktiviert ist, und mindestens eine HTTP-ausgelöste Funktion wird auf "anonym" festgelegt. Diese Authentifizierung stellt ein Risiko eines nicht autorisierten Zugriffs auf eine Funktion dar. Fügen Sie einen Identitätsanbieter für die Funktions-App hinzu, oder ändern Sie den Authentifizierungstyp der Funktion selbst, um dieses Risiko zu verhindern. (Keine zugehörige Richtlinie)
Schweregrad: hoch
(Vorschau) Die Authentifizierung sollte auf Lambda-Funktions-URLs aktiviert sein.
Beschreibung: Defender für Cloud hat festgestellt, dass die Authentifizierung für mindestens eine Lambda-Funktions-URLs nicht aktiviert ist. Öffentlich zugängliche Lambda-Funktions-URLs ohne Authentifizierung stellen ein Risiko für unbefugten Zugriff und potenziellen Missbrauch dar. Das Erzwingen der AWS IAM-Authentifizierung für Lambda-Funktions-URLs trägt dazu bei, diese Risiken zu mindern. (Keine zugehörige Richtlinie)
Schweregrad: hoch
(Vorschau) Die Codesignierung sollte auf Lambda aktiviert sein.
Beschreibung: Defender für Cloud hat festgestellt, dass die Codesignierung für Lambda nicht aktiviert ist, was ein Risiko nicht autorisierter Änderungen am Lambda-Funktionscode darstellt. Durch aktivieren der Codesignierung wird die Integrität und Authentizität des Codes sichergestellt, wodurch solche Änderungen verhindert werden. (Keine zugehörige Richtlinie)
Schweregrad: hoch
(Vorschau) Lambda-Funktion sollte mit automatischen Laufzeitversionsupdates konfiguriert werden
Beschreibung: Defender für Cloud hat festgestellt, dass die Lambda-Funktion kein automatisches Laufzeitversionsupdate verwendet. Dies stellt ein Risiko dar, dass veraltete Laufzeitversionen mit Sicherheitsrisiken ausgesetzt sind. Die Verwendung automatischer Updates, die die Laufzeit auf dem neuesten Stand halten, und stellt sicher, dass die Funktion von den neuesten Sicherheitspatches und Verbesserungen profitiert. (Keine zugehörige Richtlinie)
Schweregrad: Mittel
(Vorschau) Lambda-Funktion sollte reservierte Parallelität implementieren, um die Ressourcenausschöpfung zu verhindern
Beschreibung: Defender für Cloud hat festgestellt, dass die Lambda-Funktion eine veraltete Layerversion verwendet. Dies stellt ein Risiko dar, dass bekannte Sicherheitsrisiken ausgesetzt sind. Durch die Aktualisierung von Layern wird sichergestellt, dass die Funktion von den neuesten Sicherheitspatches und Verbesserungen profitiert. (Keine zugehörige Richtlinie)
Schweregrad: Mittel
(Vorschau) Übermäßig zulässige Berechtigungen sollten nicht für Funktions-App, Web App oder Logik-App konfiguriert werden.
Beschreibung: Defender für Cloud hat festgestellt, dass die Funktions-App, Web App oder Logik-App-Identität über übermäßig eingeschränkte Berechtigungen verfügt. Durch das Einschränken von Berechtigungen können Sie sicherstellen, dass nur der erforderliche Zugriff gewährt wird, wodurch das Risiko eines nicht autorisierten Zugriffs und potenzielle Sicherheitsverletzungen verringert wird. (Keine zugehörige Richtlinie)
Schweregrad: hoch
(Vorschau) Eingeschränkter Netzwerkzugriff sollte in der Internet-Verfügbar gemachten Funktions-App konfiguriert werden.
Beschreibung: Defender für Cloud hat festgestellt, dass die Funktions-App ohne Einschränkungen im Internet verfügbar gemacht wird. Durch einschränken des Netzwerkzugriffs können Sie sicherstellen, dass nur zulässige Netzwerke auf die Functionapp zugreifen können. Wenn für die Funktion kein Zugriff auf öffentliche Netzwerke erforderlich ist, legen Sie die Einstellung "Öffentlicher Netzwerkzugriff" auf "deaktiviert" oder "Aus ausgewählten virtuellen Netzwerken und IP-Adressen aktiviert" fest. Diese Aktion schränkt den Netzwerkzugriff ein, verringert die Gefährdung durch unbefugten Zugriff und schützt Ihre Anwendung vor potenziellen Bedrohungen. (Keine zugehörige Richtlinie)
Schweregrad: hoch
(Vorschau) Sicherheitsmechanismus sollte für das API-Gateway für Lambda-Funktionen verwendet werden
Beschreibung: Defender für Cloud hat festgestellt, dass die Authentifizierung für lambda-Funktions-API-Gateway nicht aktiviert ist. Dies stellt ein Risiko vor nicht autorisiertem Zugriff und potenziellem Missbrauch der Funktionsendpunkte dar. Das Erzwingen der Authentifizierung kann dazu beitragen, diese Risiken zu mindern. (Keine zugehörige Richtlinie)
Schweregrad: hoch