이 문서에서는 서버리스 보호를 위해 Microsoft Defender for Cloud 계획 - Defender CSPM(Cloud Security Posture Management)에서 발급한 모든 보안 권장 사항을 나열합니다.
사용자 환경에 표시되는 권장 사항은 보호 중인 리소스와 사용자 지정된 구성을 기반으로 합니다. 포털에서 리소스에 적용되는 권장 사항을 볼 수 있습니다.
이러한 권장 사항에 대한 응답으로 수행할 수 있는 작업에 대해 알아보려면 클라우드용 Defender 권장 사항 수정을 참조하세요.
팁 (조언)
권장 사항의 설명에 관련 정책이 없다고 표시되는 경우 일반적으로 권장 사항은 다른 권장 사항 및 해당 정책에 따라 달라지기 때문 입니다.
예를 들어 엔드포인트 보호 상태 오류를 수정해야 하는 권장 사항은 엔드포인트 보호 솔루션이 설치되어 있는지 여부를 확인하는 권장 사항에 의존합니다(Endpoint Protection 솔루션을 설치해야 함). 기본 권장 사항에는 정책이 있습니다. 정책을 기본 권장 사항으로만 제한하면 정책 관리가 간소화됩니다.
서버리스 보호 권장 사항
(미리 보기) Azure Functions에서 인증을 사용하도록 설정해야 함
설명: Defender for Cloud는 Azure Functions 앱에 인증을 사용하도록 설정되지 않았으며 하나 이상의 HTTP 트리거 함수가 '익명'으로 설정되어 있음을 확인했습니다. 이 인증은 함수에 무단으로 액세스할 위험이 있습니다. 함수 앱에 대한 ID 공급자를 추가하거나 함수 자체의 인증 유형을 변경하여 이러한 위험을 방지합니다. (관련 정책 없음)
심각도: 높음
(미리 보기) 람다 함수 URL에서 인증을 사용하도록 설정해야 함
설명: Defender for Cloud는 하나 이상의 람다 함수 URL에 대해 인증을 사용할 수 없음을 확인했습니다. 인증 없이 공개적으로 액세스할 수 있는 람다 함수 URL은 무단 액세스 및 잠재적인 남용의 위험을 초래합니다. 람다 함수 URL에 AWS IAM 인증을 적용하면 이러한 위험을 완화하는 데 도움이 됩니다. (관련 정책 없음)
심각도: 높음
(미리 보기) 람다에서 코드 서명을 사용하도록 설정해야 함
설명: Defender for Cloud는 람다에서 코드 서명이 활성화되지 않음을 확인했으며, 이로 인해 람다 함수 코드가 무단으로 수정될 위험이 있습니다. 코드 서명을 사용하도록 설정하면 코드의 무결성과 신뢰성이 보장되어 이러한 수정을 방지할 수 있습니다. (관련 정책 없음)
심각도: 높음
(미리 보기) 자동 런타임 버전 업데이트를 사용하여 람다 함수를 구성해야 합니다.
설명: Defender for Cloud는 람다 함수가 자동 런타임 버전 업데이트를 사용하지 않는 것으로 확인되었습니다. 이로 인한 취약성이 있는 오래된 런타임 버전에 노출될 위험이 있습니다. 자동 업데이트를 사용하여 런타임을 최신 상태로 유지하고 최신 보안 패치 및 향상된 기능의 이점을 보장합니다. (관련 정책 없음)
심각도: 보통
(미리 보기) 람다 함수는 리소스 소모를 방지하기 위해 예약된 동시성을 구현해야 합니다.
설명: Defender for Cloud는 람다 함수가 오래된 계층 버전을 사용하고 있음을 확인했습니다. 이렇게 하면 알려진 취약성에 노출될 위험이 있습니다. 계층을 최신 상태로 유지하면 최신 보안 패치 및 향상된 기능의 이점을 얻을 수 있습니다. (관련 정책 없음)
심각도: 보통
(미리 보기) 지나치게 허용되는 권한은 함수 앱, 웹앱 또는 논리 앱에서 구성해서는 안 됩니다.
설명: Defender for Cloud는 함수 앱, 웹앱 또는 논리 앱 ID에 지나치게 허용되는 권한이 있음을 확인했습니다. 권한을 제한하여 필요한 액세스만 부여하여 무단 액세스 및 잠재적인 보안 위반의 위험을 줄일 수 있습니다. (관련 정책 없음)
심각도: 높음
(미리 보기) 제한된 네트워크 액세스는 인터넷 노출 함수 앱에서 구성해야 합니다.
설명: 클라우드용 Defender는 함수 앱이 제한 없이 인터넷에 노출되는 것을 확인했습니다. 네트워크 액세스를 제한하여 허용된 네트워크만 Functionapp에 액세스할 수 있도록 할 수 있습니다. 함수에 공용 네트워크 액세스가 필요하지 않은 경우 '공용 네트워크 액세스' 설정을 '사용 안 함' 또는 '선택한 가상 네트워크 및 IP 주소에서 사용'으로 설정합니다. 이 작업은 네트워크 액세스를 제한하여 무단 액세스에 대한 노출을 줄이고 잠재적인 위협으로부터 애플리케이션을 보호합니다. (관련 정책 없음)
심각도: 높음
(미리 보기) 람다 함수 API 게이트웨이에서 보안 메커니즘을 사용해야 합니다.
설명: Defender for Cloud는 람다 함수 API 게이트웨이에 인증을 사용하도록 설정되지 않은 것으로 확인되었습니다. 이렇게 하면 권한 없는 액세스 및 함수 엔드포인트의 잠재적인 남용 위험이 발생합니다. 인증을 적용하면 이러한 위험을 완화하는 데 도움이 될 수 있습니다. (관련 정책 없음)
심각도: 높음