Manajemen postur keamanan cloud (CSPM)

  • Artikel

Salah satu pilar utama Microsoft Defender untuk Cloud adalah manajemen postur keamanan cloud (CSPM). CSPM memberikan visibilitas terperinci ke dalam status keamanan aset dan beban kerja Anda, dan memberikan panduan pengerasan untuk membantu Anda meningkatkan postur keamanan Anda secara efisien dan efektif.

Defender untuk Cloud terus menilai sumber daya Anda terhadap standar keamanan yang ditentukan untuk langganan Azure, akun AWS, dan proyek GCP Anda. Defender untuk Cloud mengeluarkan rekomendasi keamanan berdasarkan penilaian ini.

Secara default, saat Anda mengaktifkan Defender untuk Cloud pada langganan Azure, standar kepatuhan Microsoft Cloud Security Benchmark (MCSB) diaktifkan. Ini memberikan rekomendasi. Defender untuk Cloud memberikan skor aman agregat berdasarkan beberapa rekomendasi MCSB. Semakin tinggi skor, semakin rendah tingkat risiko yang diidentifikasi.

Fitur CSPM

Defender untuk Cloud menyediakan penawaran CSPM berikut:

  • CSPM dasar - Defender untuk Cloud menawarkan kemampuan CSPM multicloud dasar secara gratis. Kemampuan ini secara otomatis diaktifkan secara default untuk langganan dan akun yang onboarding ke Defender untuk Cloud.

  • Paket Defender Cloud Security Posture Management (CSPM) - Paket Secure Posture Management Defender untuk Cloud berbayar opsional menyediakan fitur postur keamanan tingkat lanjut yang lebih banyak.

Ketersediaan paket

Pelajari selengkapnya tentang harga Defender CSPM.

Tabel berikut ini meringkas setiap paket dan ketersediaan cloudnya.

Fitur CSPM Dasar Defender CSPM Ketersediaan cloud
Rekomendasi keamanan Azure, AWS, GCP, lokal
Inventaris aset Azure, AWS, GCP, lokal
Skor aman Azure, AWS, GCP, lokal
Visualisasi dan pelaporan data dengan Azure Workbooks Azure, AWS, GCP, lokal
Ekspor data Azure, AWS, GCP, lokal
Otomatisasi alur kerja Azure, AWS, GCP, lokal
Alat untuk remediasi Azure, AWS, GCP, lokal
Tolok Ukur Keamanan Microsoft Cloud Azure, AWS, GCP
Manajemen postur keamanan AI Azure, AWS
Pemindaian kerentanan VM tanpa agen - Azure, AWS, GCP
Pemindaian rahasia VM tanpa agen - Azure, AWS, GCP
Analisis jalur serangan - Azure, AWS, GCP
Prioritas risiko - Azure, AWS, GCP
Perburuan risiko dengan penjelajah keamanan - Azure, AWS, GCP
Pemetaan kode ke cloud untuk kontainer - GitHub, Azure DevOps
Pemetaan kode-ke-cloud untuk IaC - Azure DevOps
Anotasi PR - GitHub, Azure DevOps
Analisis paparan internet - Azure, AWS, GCP
Manajemen permukaan serangan eksternal (EASM) - Azure, AWS, GCP
Manajemen Izin (CIEM) - Azure, AWS, GCP
Penilaian kepatuhan terhadap peraturan - Azure, AWS, GCP
Integrasi ServiceNow - Azure, AWS, GCP
Perlindungan aset penting - Azure, AWS, GCP
Tata kelola untuk mendorong remediasi dalam skala besar - Azure, AWS, GCP
Postur keamanan sadar data, Pemindaian data sensitif - Azure, AWS, GCP
Penemuan tanpa agen untuk Kubernetes - Azure, AWS, GCP
Penilaian kerentanan kontainer kode-ke-cloud tanpa agen - Azure, AWS, GCP

Catatan

Mulai 7 Maret 2024, Defender CSPM harus diaktifkan untuk memiliki kemampuan keamanan DevOps premium yang mencakup penjelajah keamanan dan jalur serangan yang mendukung kontekstualisasi kode-ke-cloud serta menarik anotasi permintaan untuk temuan keamanan Infrastructure-as-Code. Lihat Dukungan dan prasyarat keamanan DevOps untuk mempelajari selengkapnya.

Integrasi (pratinjau)

Microsoft Defender untuk Cloud sekarang memiliki integrasi bawaan untuk membantu Anda menggunakan sistem pihak ketiga untuk mengelola dan melacak tiket, acara, dan interaksi pelanggan dengan lancar. Anda dapat mendorong rekomendasi ke alat tiket pihak ketiga, dan menetapkan tanggung jawab kepada tim untuk remediasi.

Integrasi menyederhanakan proses respons insiden Anda, dan meningkatkan kemampuan Anda untuk mengelola insiden keamanan. Anda dapat melacak, memprioritaskan, dan menyelesaikan insiden keamanan secara lebih efektif.

Anda dapat memilih sistem tiket mana yang akan diintegrasikan. Untuk pratinjau, hanya integrasi ServiceNow yang didukung. Untuk informasi selengkapnya tentang cara mengonfigurasi integrasi ServiceNow, lihat Mengintegrasikan ServiceNow dengan Microsoft Defender untuk Cloud (pratinjau).

Harga paket

  • Tinjau halaman harga Defender untuk Cloud untuk mempelajari tentang harga Defender CSPM.

  • Mulai 7 Maret 2024, kemampuan postur keamanan DevOps tingkat lanjut hanya akan tersedia melalui paket Defender CSPM berbayar. Manajemen postur keamanan dasar gratis di Defender untuk Cloud akan terus memberikan sejumlah rekomendasi Azure DevOps. Pelajari selengkapnya tentang fitur keamanan DevOps.

  • Untuk langganan yang menggunakan paket Defender CSPM dan Defender for Containers, penilaian kerentanan gratis dihitung berdasarkan pemindaian gambar gratis yang disediakan melalui paket Defender for Containers, seperti yang dirangkum di halaman harga Microsoft Defender untuk Cloud.

  • Defender CSPM melindungi semua beban kerja multicloud, tetapi penagihan hanya diterapkan pada sumber daya tertentu. Tabel berikut mencantumkan sumber daya yang dapat ditagih saat Defender CSPM diaktifkan pada langganan Azure, akun AWS, atau proyek GCP.

    Layanan Azure Jenis Sumber Daya Pengecualian
    Compute Microsoft.Compute/virtualMachines
    Microsoft.Compute/virtualMachineScaleSets/virtualMachines
    Microsoft.ClassicCompute/virtualMachines    		 - VM yang Tidak Dialokasikan
    - VM Databricks
    Penyimpanan Microsoft.Storage/storageAccounts Akun penyimpanan tanpa kontainer blob atau berbagi file
    Dbs Microsoft.Sql/servers
    Microsoft.DBforPostgreSQL/servers
    Microsoft.DBforMySQL/servers
    Microsoft.Sql/managedInstances
    Microsoft.DBforMariaDB/servers
    Microsoft.Synapse/workspaces    		 ---
    Layanan AWS Jenis Sumber Daya Pengecualian
    Compute Instans EC2 VM yang dibatalkan alokasinya
    Penyimpanan Wadah S3 ---
    Dbs Instans RDS ---
    Layanan GCP Jenis Sumber Daya Pengecualian
    Compute 1. Instans Google Compute
    2. Grup Instans Google    		 Instans dengan status tidak berjalan
    Penyimpanan Wadah penyimpanan - Wadah dari kelas: 'nearline', 'coldline', 'archive'
    - Wadah dari wilayah selain: eropa-barat1, us-east1, us-west1, us-central1, us-east4, asia-south1, northamerica-northeast1
    Dbs Instans Cloud SQL ---

Dukungan cloud Azure

Untuk cakupan cloud komersial dan nasional, tinjau fitur yang didukung di lingkungan cloud Azure.

Dukungan untuk Jenis sumber daya di AWS dan GCP

Untuk dukungan multicloud jenis sumber daya (atau layanan) di tingkat CSPM multicloud dasar kami, lihat tabel sumber daya multicloud dan jenis layanan untuk AWS dan GCP.

Langkah berikutnya