Microsoft Defender for Cloud は、Cloud-Native Application Protection Platform (CNAPP) として、マルチクラウド環境全体のサーバーレス ワークロードの包括的な可視性、セキュリティ、および体制管理を提供します。 これにより、Azure Web Apps、Azure Functions、Amazon Web Service (AWS) Lambda にカバレッジが拡張され、これらのリソースが完全に保護されます。
サーバーレス保護では、環境内のすべての Web Apps、Azure Functions、AWS Lambda 関数が自動的に検出され、インベントリされます。 これらのリソースが検出されると、Defender for Cloud は、構成の誤り、脆弱性、および安全でない依存関係を特定します。 その後、Defender for Cloud は修復ガイダンスと継続的な体制評価を提供し、組織が強力な体制管理を維持し、動的なサーバーレス アーキテクチャのリスクを軽減するのに役立ちます。
サーバーレス保護の要件
サーバーレス保護は、 Defender Cloud Security Posture Management (CSPM) プランの一部として使用できます。
サーバーレス保護を有効にするには、サブスクリプション で Defender CSPM プランを有効 にし、Defender CSPM プラン のサーバーレス保護コンポーネントを有効にする 必要があります。
サーバーレス保護の利点
Defender for Cloud は、次の機能を使用して継続的な可視性とリスク評価を提供することで、CSPM 機能をサーバーレス ワークロードに拡張します。
リソースの自動検出: すべてのサーバーレス リソース (Azure Functions、Web Apps、AWS Lambda) を検出し、それらを統合インベントリに一覧表示します。
継続的な姿勢評価: パブリック エンドポイント、弱い認証、暗号化の欠如などのリスクについて設定を評価します。
構成ミスの検出: 次のものが含まれます。
- アクセス制御: ネットワークの公開を制限し、認証を適用します。
- ID とアクセス許可: 横移動、データ流出、特権の悪用を防止します。
- コードの整合性: 承認されていないコード変更 (AWS Lambda コード署名など) から保護します。
脆弱性評価: 関数パッケージをスキャンして脆弱な依存関係を検出し、修復ガイダンスを提供します。
攻撃パス分析: プロアクティブなリスク軽減のために、サーバーレス リソースを含む潜在的な攻撃チェーンをマップします。
Defender for Cloud では、これらの機能を使用して、組織がサーバーレス ワークロードをセキュリティで保護し、動的なクラウド環境での堅牢なセキュリティ体制管理を保証します。
これらの主要な利点に加えて、Defender for Cloud のサーバーレス セキュリティは、ライフサイクル全体でアプリケーションをセキュリティで保護することを目的とする CNAPP の広範なビジョンに沿っています。
サーバーレス保護は、Defender ポータルにも統合されます。 この統合により、構成ミスの検出、攻撃パスの分析、脆弱性評価を 1 つのインターフェイスで可視化できます。
サーバーレス保護のセキュリティに関する推奨事項を表示します。
サーバーレス保護のしくみ
Defender for Cloud のサーバーレス保護は、自動化された検出、継続的な監視、リスク評価の組み合わせによって機能します。 Defender CSPM プランを有効にし、サーバーレス保護コンポーネントをアクティブにすると、Defender for Cloud はクラウド環境をスキャンして、Azure Web Apps、Azure Functions、AWS Lambda 関数を含むすべてのサーバーレス リソースを識別します。
Defender for Cloud は、リソースを検出した後、構成とランタイム環境を継続的に監視します。 これらのリソースは、一連のセキュリティのベスト プラクティスとコンプライアンス標準に照らして評価され、構成の誤り、脆弱性、および安全でない依存関係を特定します。 リスクが検出されると、Defender for Cloud は、問題に対処するために役立つ詳細な修復手順を含むセキュリティに関する推奨事項を生成します。
インベントリ
Defender for Cloud では、検出されたすべてのサーバーレス リソースの統合インベントリが提供されるため、それらを簡単に表示および管理できます。 [インベントリ] ページには、リソース名、種類、場所、関連するセキュリティ結果などの詳細が表示されます。 リソースの種類に基づいて結果をフィルター処理するだけで、Web Apps、Azure Functions、または AWS Lambda 関数に焦点を当てます。
結果をフィルター処理したら、いずれかのリソースを選択して、アクティブなセキュリティに関する推奨事項とその重大度レベルなど、そのセキュリティ体制に関する詳細を表示します。
また、各リソースに関連付けられているセキュリティに関する推奨事項を確認して、結果の重大度に基づいて修復作業に優先順位を付け、修復することもできます。
セキュリティに関する推奨事項を修復する方法について説明します。
クラウド セキュリティ エクスプローラー
Defender for Cloud の Cloud Security Explorer には、サーバーレス リソースのセキュリティ体制を分析できる高度なフィルター処理とクエリ機能が用意されています。 カスタム クエリを作成して、サーバーレス ワークロード全体の特定の構成ミスや脆弱性を特定できます。
クラウド セキュリティ エクスプローラーを使用してクエリを作成する方法について説明します。