Поделиться через


управление состоянием безопасности облака (CSPM);

Одним из основных принципов Microsoft Defender для облака является управление безопасностью в облаке (CSPM). CSPM предоставляет подробные сведения о состоянии безопасности ресурсов и рабочих нагрузок, а также предоставляет рекомендации по обеспечению безопасности, помогающие эффективно и эффективно повысить уровень безопасности.

Defender для облака постоянно оценивает ресурсы по стандартам безопасности, определенным для ваших подписок Azure, учетных записей AWS и проектов GCP. Defender для облака проблемы с рекомендациями по безопасности на основе этих оценок.

По умолчанию при включении Defender для облака в подписке Azure стандарт соответствия требованиям Microsoft Cloud Security Benchmark (MCSB) включен. Он предоставляет рекомендации. Defender для облака предоставляет агрегированную оценку безопасности на основе некоторых рекомендаций MCSB. Чем выше оценка, тем ниже выявленная степень риска.

Функции CSPM

Defender для облака предоставляет следующие предложения CSPM:

  • Foundational CSPM - Defender для облака предлагает базовые возможности CSPM для нескольких облаков бесплатно. Эти возможности автоматически включены по умолчанию для подписок и учетных записей, которые подключены к Defender для облака.

  • План управления облачной безопасностью Defender (CSPM) — необязательный платный Defender для облака план безопасного управления posture предоставляет более расширенные функции защиты.

Доступность плана

Дополнительные сведения о ценах НА CSPM в Defender.

В следующей таблице перечислены все планы и их доступность в облаке.

Функция Базовый CSPM Defender CSPM Доступность в облаках
Рекомендации по обеспечению безопасности Azure, AWS, GCP, локальная среда
Инвентаризация ресурсов Azure, AWS, GCP, локальная среда
оценка безопасности; Azure, AWS, GCP, локальная среда
Визуализация данных и создание отчетов с помощью книг Azure Azure, AWS, GCP, локальная среда
Экспорт данных Azure, AWS, GCP, локальная среда
Автоматизация рабочих процессов Azure, AWS, GCP, локальная среда
Средства для исправления Azure, AWS, GCP, локальная среда
Microsoft Cloud Security Benchmark Azure, AWS, GCP
Управление безопасностью искусственного интеллекта - Azure, AWS
Сканирование уязвимостей виртуальной машины без агента - Azure, AWS, GCP
Сканирование секретов виртуальных машин без агента - Azure, AWS, GCP
Анализ пути атаки - Azure, AWS, GCP
Определение приоритетов риска - Azure, AWS, GCP
Поиск рисков с помощью обозревателя безопасности - Azure, AWS, GCP
Сопоставление кода с облаком для контейнеров - GitHub, Azure DevOps
Сопоставление кода в облако для IaC - Azure DevOps
Заметки pr - GitHub, Azure DevOps
Анализ воздействия в Интернете - Azure, AWS, GCP
Управление внешними атаками - Azure, AWS, GCP
Управление разрешениями (CIEM) - Azure, AWS, GCP
Оценки соответствия нормативным требованиям - Azure, AWS, GCP
Интеграция ServiceNow - Azure, AWS, GCP
Защита критически важных ресурсов - Azure, AWS, GCP
Управление для устранения исправлений в масштабе - Azure, AWS, GCP
Управление состоянием безопасности данных (DSPM), сканирование конфиденциальных данных - Azure, AWS, GCP1
Обнаружение без агента для Kubernetes - Azure, AWS, GCP
Оценка уязвимостей контейнеров без агента в облако - Azure, AWS, GCP

1. Обнаружение конфиденциальных данных GCP поддерживает только облачное хранилище.

Примечание.

Начиная с 7 марта 2024 г. CSPM Defender должен быть включен для обеспечения безопасности Premium DevOps, включающих контекстуализацию кода в облако, а также пути к атакам и заметки запросов на вытягивание для результатов безопасности "Инфраструктура как код". Дополнительные сведения см. в статье о поддержке безопасности DevOps и предварительных требованиях .

Интеграции

Microsoft Defender для облака теперь имеет встроенные интеграции, помогающие использовать сторонние системы для эффективного управления и отслеживания билетов, событий и взаимодействия с клиентами. Вы можете отправить рекомендации в стороннее средство по запросу и назначить команде ответственность за исправление.

Интеграция упрощает процесс реагирования на инциденты и улучшает возможности управления инцидентами безопасности. Вы можете более эффективно отслеживать, определять приоритеты и устранять инциденты безопасности.

Вы можете выбрать, какую систему билетов следует интегрировать. Для предварительной версии поддерживается только интеграция ServiceNow. Дополнительные сведения о настройке интеграции ServiceNow см. в разделе "Интеграция ServiceNow с Microsoft Defender для облака (предварительная версия)".

Планирование цен

  • Просмотрите страницу цен на Defender для облака, чтобы узнать о ценах на CSPM Defender.

  • С 7 марта 2024 г. расширенные возможности безопасности DevOps будут доступны только с помощью платного плана CSPM Defender. Бесплатное управление безопасностью в Defender для облака продолжит предоставлять ряд рекомендаций Azure DevOps. Дополнительные сведения о функциях безопасности DevOps.

  • Для подписок, использующих планы CSPM в Defender и Defender для контейнеров, оценка бесплатной уязвимости вычисляется на основе бесплатных проверок изображений, предоставляемых с помощью плана Defender для контейнеров, как описано на странице цен на Microsoft Defender для облака.

  • CSPM Defender защищает все многооблачные рабочие нагрузки, но выставление счетов применяется только к определенным ресурсам. В следующих таблицах перечислены оплачиваемые ресурсы, если CSPM Defender включен в подписках Azure, учетных записях AWS или проектах GCP.

    Служба Azure Типы ресурсов Исключения
    Службы вычислений Microsoft.Compute/virtualMachines
    Microsoft.Compute/virtualMachineScaleSets/virtualMachines
    Microsoft.classicСompute/virtualMachines
    — освобожденные виртуальные машины
    — виртуальные машины Databricks
    Хранилище Microsoft.Storage/storageAccounts Учетные записи хранения без контейнеров больших двоичных объектов или общих папок
    Базы данных Microsoft.Sql/servers
    Microsoft.DBforPostgreSQL/servers
    Microsoft.DBforMySQL/servers;
    Microsoft.Sql/managedInstances
    Microsoft.DBforMariaDB/servers;
    Microsoft.Synapse/workspaces
    ---
    Служба AWS Типы ресурсов Исключения
    Службы вычислений Экземпляры EC2 Освобожденные виртуальные машины
    Хранилище Контейнеры S3 ---
    Базы данных Экземпляры RDS ---
    Служба GCP Типы ресурсов Исключения
    Службы вычислений 1. Экземпляры Вычислений Google
    2. Группа экземпляров Google
    Экземпляры с нерабо запущенными состояниями
    Хранилище Контейнеры хранилища — Контейнеры из классов: "nearline", "coldline", "archive"
    - Контейнеры из регионов, отличных от: европа-запад1, us-east1, us-west1, us-central1, us-east4, asia-south1, northamerica-северо-восток11
    Базы данных Облачные экземпляры SQL ---

Поддержка облака Azure

Сведения о коммерческом и национальном облачном охвате см . в функциях, поддерживаемых в облачных средах Azure.

Поддержка типа ресурсов в AWS и GCP

Сведения о поддержке многооблачных типов ресурсов (или служб) на базовом уровне CSPM в нескольких облаках см. в таблице многооблачных ресурсов и типов служб ДЛЯ AWS и GCP.

Следующие шаги