Partager via

Gestion de la posture de sécurité cloud (CSPM)

  • Article

L’un des piliers principaux de Microsoft Defender pour le cloud est la Gestion de la posture de sécurité cloud (CSPM). La CSPM offre une visibilité détaillée de l’état de sécurité de vos ressources et de vos charges de travail, et fournit des conseils de renforcement pour vous aider à améliorer efficacement votre posture de sécurité.

Defender pour le cloud évalue continuellement vos ressources par rapport aux normes de sécurité définies pour vos abonnements Azure, comptes AWS et projets GCP. Defender pour le cloud émet des recommandations de sécurité basées sur ces évaluations.

Par défaut, lorsque vous activez Defender pour le cloud sur un abonnement Azure, la norme de conformité Point de référence de sécurité Microsoft Cloud (Microsoft Cloud Security Benchmark, ou MCSB) est activée. Elle fournit des recommandations. Defender pour le cloud fournit un degré de sécurisation agrégé basé sur certaines des recommandations du MCSB. Plus le score est élevé, plus le niveau de risque identifié est faible.

Fonctionnalités de la CSPM

Defender pour le cloud fournit les offres CSPM suivantes :

  • CPSM de base : Defender pour le Cloud offre gratuitement des fonctionnalités CSPM multicloud de base. Ces fonctionnalités sont automatiquement activées par défaut pour les abonnements et les comptes intégrés à Defender pour le cloud.

  • Plan de gestion de la posture de sécurité cloud (CSPM) Defender : le plan optionnel et payant de gestion de la posture de sécurité Defender pour le cloud offre d’autres fonctionnalités avancées en matière de posture de sécurité.

Disponibilité du plan

Découvrez-en plus sur les tarifs Defender CSPM.

Le tableau suivant récapitule chaque plan et leur disponibilité dans le cloud.

Fonctionnalité CSPM de base Defender CSPM Disponibilité dans le cloud
Recommandations de sécurité Azure, AWS, GCP, environnement local
Inventaire des ressources Azure, AWS, GCP, environnement local
Degré de sécurisation Azure, AWS, GCP, environnement local
Visualisation des données et création de rapports avec les classeurs Azure Azure, AWS, GCP, environnement local
Exportation de données Azure, AWS, GCP, environnement local
Automatisation de workflow Azure, AWS, GCP, environnement local
Outils de correction Azure, AWS, GCP, environnement local
Microsoft Cloud Security Benchmark Azure, AWS, GCP
Gestion de la posture de sécurité de l’IA - Azure, AWS
Analyse des vulnérabilités des machines virtuelles sans agent - Azure, AWS, GCP
Analyse des secrets de machine virtuelle sans agent - Azure, AWS, GCP
Analyse du chemin d’attaque - Azure, AWS, GCP
Hiérarchisation des risques - Azure, AWS, GCP
Chasse aux risques avec l’Explorateur de sécurité - Azure, AWS, GCP
Mappage du code au cloud pour les conteneurs - GitHub, Azure DevOps
Mappage du code au cloud pour IaC - Azure DevOps
Annotations PR - GitHub, Azure DevOps
Analyse de l’exposition à Internet - Azure, AWS, GCP
Gestion de la surface d’attaque externe (EASM) - Azure, AWS, GCP
Gestion des autorisations (CIEM) - Azure, AWS, GCP
Évaluation de la conformité réglementaire - Azure, AWS, GCP
Intégration de ServiceNow - Azure, AWS, GCP
Protection des ressources critiques - Azure, AWS, GCP
Gouvernance pour favoriser la correction à grande échelle - Azure, AWS, GCP
gestion de la posture de sécurité des données (DSPM), analyse des données sensibles - Azure, AWS, GCP1
Découverte sans agent pour Kubernetes - Azure, AWS, GCP
Évaluation des vulnérabilités des conteneurs du code au cloud sans agent - Azure, AWS, GCP

1: la découverte de données sensibles GCP prend uniquement en charge le stockage cloud.

Remarque

À compter du 7 mars 2024, vous devrez activer CSPM Defender pour disposer des fonctionnalités de sécurité Premium de DevOps, notamment la contextualisation du code vers le cloud qui alimente l’explorateur de sécurité et les chemins d’attaque ainsi que les annotations des demandes de tirage (pull requests) pour exposer les résultats de la sécurité dans l’infrastructure en tant que code. Pour en savoir plus, consultez la rubrique support et prérequis de la sécurité DevOps.

Intégrations

Microsoft Defender pour le cloud dispose désormais d’intégrations intégrées pour vous aider à utiliser des systèmes tiers pour gérer et suivre en toute transparence les tickets, les événements et les interactions avec les clients. Vous pouvez envoyer (push) des recommandations à un outil de gestion de tickets tiers et attribuer la responsabilité à une équipe pour la correction.

L’intégration simplifie votre processus de réponse aux incidents et améliore votre capacité à gérer les incidents de sécurité. Vous pouvez suivre, classer par ordre de priorité et résoudre plus efficacement les incidents de sécurité.

Vous pouvez choisir le système de gestion des tickets à intégrer. Pour la préversion, seule l’intégration de ServiceNow est prise en charge. Pour plus d’informations sur la configuration de l’intégration de ServiceNow, consultez Intégrer ServiceNow à Microsoft Defender pour le cloud (préversion).

Tarification du plan

  • Consultez la page de tarification de Defender pour le cloud pour en savoir plus sur la tarification de Defender CSPM.

  • À compter du 7 mars 2024, les fonctionnalités DevOps avancées en matière de posture de sécurité ne seront disponibles que par le biais du plan CSPM Defender payant. La gestion gratuite de base de la posture de sécurité dans Defender pour le cloud continuera à fournir un certain nombre de recommandations d’Azure DevOps. Apprenez-en davantage sur les fonctionnalités de sécurité DevOps.

  • Pour les abonnements qui utilisent à la fois les plans Defender CSPM et Defender pour les conteneurs, l’évaluation gratuite des vulnérabilités est calculée en fonction des analyses d’images gratuites fournies via le plan Defender pour les conteneurs, comme résumé dans la page de tarification Microsoft Defender pour le cloud.

  • CSPM Defender protège toutes les charges de travail multiclouds, mais la facturation est appliquée uniquement à des ressources spécifiques. Les tableaux suivants répertorient les ressources facturables lorsque CSPM Defender est activé sur des abonnements Azure, des comptes AWS ou des projets GCP.

    Service Azure Types de ressource Exclusions
    Compute Microsoft.Compute/virtualMachines
    Microsoft.Compute/virtualMachineScaleSets/virtualMachines
    Microsoft.ClassicCompute/virtualMachines    		 - Machines virtuelles désallouées
    - Machines virtuelles Databricks
    Stockage Microsoft.Storage/storageAccounts Comptes de stockage sans conteneur de blobs ni partage de fichiers
    BD Microsoft.Sql/servers
    Microsoft.DBforPostgreSQL/servers
    Microsoft.DBforMySQL/servers
    Microsoft.Sql/managedInstances
    Microsoft.DBforMariaDB/servers
    Microsoft.Synapse/workspaces    		 ---
    Service AWS Types de ressource Exclusions
    Compute Instances EC2 Machines virtuelles désallouées
    Stockage Compartiments S3 ---
    BD Instances RDS ---
    Service GCP Types de ressource Exclusions
    Compute 1. Instances de calcul Google
    2. Groupe d’instances Google    		 Instances qui ne sont pas dans un état en cours d’exécution
    Stockage Compartiments de stockage - Compartiments de classes : « nearline », « coldline », « archive »
    - Compartiments de régions autres que : europe-west1, us-east1, us-west1, us-central1, us-east4, asia-south1, northamerica-northeast1
    BD Instances SQL cloud ---

Prise en charge du cloud Azure

Pour une couverture cloud commerciale et nationale, passez en revue les fonctionnalités prises en charge dans les environnements cloud Azure.

Prise en charge du type de ressource dans AWS et GCP

Pour la prise en charge multicloud des types de ressources (ou services) dans notre niveau CSPM multicloud fondamental, consultez la table des types de ressources et de services multiclouds pour AWS et GCP.

Étapes suivantes