Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Cloud Security Posture Management (CSPM) — это основная функция Microsoft Defender для облака. CSPM обеспечивает непрерывную видимость состояния безопасности облачных ресурсов и рабочих нагрузок, предлагая практические рекомендации по повышению уровня безопасности в Azure, AWS и GCP.
Defender для облака постоянно оценивает облачную инфраструктуру по стандартам безопасности, определенным для ваших подписок Azure, учетных записей Amazon Web Service (AWS) и проектов Google Cloud Platform (GCP). Рекомендации по безопасности Defender для облака помогают выявлять и уменьшать неправильные конфигурации облака и риски безопасности.
По умолчанию при включении Defender для облака в подписке Azure стандарт Microsoft Cloud Security Benchmark (MCSB) включен и предоставляет рекомендации по защите среды multicloud. Оценка безопасности на основе некоторых рекомендаций MCSB помогает отслеживать соответствие облачным требованиям. Более высокий показатель указывает на более низкий уровень риска.
Планы CSPM
Defender для облака предлагает два плана CSPM:
- Базовый CSPM (бесплатный ): включен по умолчанию для всех подключенных подписок и учетных записей.
- CsPM Defender (платный): предоставляет дополнительные возможности за пределами базового плана CSPM, включая расширенные средства CSPM для мониторинга видимости облака и соответствия требованиям. Эта версия плана предлагает более сложные функции защиты, такие как состояние безопасности ИИ, анализ пути атаки, определение приоритетов и многое другое.
Доступность плана
CSPM Defender доступен в нескольких моделях развертывания и облачных средах:
- Коммерческие облака: доступны во всех коммерческих регионах Azure
- Облака для государственных организаций: доступны в Azure для государственных организаций и Azure Government Secret
- Многооблачная поддержка сред Azure, AWS и GCP
- Гибридная среда: локальные ресурсы с помощью Azure Arc
- DevOps: интеграция GitHub и Azure DevOps
Сведения о конкретной региональной доступности и поддержке облачных служб для государственных организаций см. в матрице поддержки облачных сред.
| Функция | Базовый CSPM | CSPM в Defender | Доступность в облаках |
|---|---|---|---|
| Инвентаризация активов | 
|
|
Azure, AWS, GCP, локальная среда, Docker Hub, JFrog Artifactory |
| Экспорт данных |
|
|
Azure, AWS, GCP, локальная среда |
| Визуализация данных и создание отчетов с помощью книг Azure |
|
|
Azure, AWS, GCP, локальная среда |
| Microsoft Cloud Security Benchmark |
|
|
Azure, AWS, GCP |
| Оценка безопасности |
|
|
Azure, AWS, GCP, локальная среда, Docker Hub, JFrog Artifactory |
| Рекомендации по безопасности |
|
|
Azure, AWS, GCP, локальная среда, Docker Hub, JFrog Artifactory |
| Средства для исправления |
|
|
Azure, AWS, GCP, локальная среда, Docker Hub, JFrog Artifactory |
| Автоматизация рабочих процессов |
|
|
Azure, AWS, GCP, локальная среда |
| Оценка уязвимостей контейнеров без агента от кода до облака | - |
|
Azure, AWS, GCP, Docker Hub, JFrog Artifactory |
| Безагентное обнаружение для Kubernetes | - |
|
Azure, AWS, GCP |
| Сканирование секретов виртуальных машин без агента | - |
|
Azure, AWS, GCP |
| Сканирование уязвимостей виртуальной машины без агента | - |
|
Azure, AWS, GCP |
| Управление безопасностью искусственного интеллекта | - |
|
Azure, AWS, GCP |
| Управление безопасностью API | - |
|
Лазурный |
| Анализ пути атаки | - |
|
Azure, AWS, GCP, Docker Hub, JFrog Artifactory |
| Панель мониторинга безопасности службы Azure Kubernetes (предварительная версия) | - |
|
Лазурный |
| Сопоставление кода с облаком для контейнеров | - |
|
GitHub, Azure DevOps2 , Docker Hub, JFrog Artifactory |
| Сопоставление кода с облаком для IaC | - |
|
Azure DevOps2, Docker Hub, JFrog Artifactory |
| Защита критически важных ресурсов | - |
|
Azure, AWS, GCP |
| Пользовательские рекомендации | - |
|
Azure, AWS, GCP, Docker Hub, JFrog Artifactory |
| Управление состоянием безопасности данных (DSPM), сканирование конфиденциальных данных | - |
|
Azure, AWS, GCP1 |
| Управление внешними атаками | - |
|
Azure, AWS, GCP, Docker Hub, JFrog Artifactory |
| Управление для стратегического исправления проблем в масштабе | - |
|
Azure, AWS, GCP, Docker Hub, JFrog Artifactory |
| Анализ воздействия в Интернете | - |
|
Azure, AWS, GCP, Docker Hub, JFrog Artifactory |
| PR-аннотации | - |
|
GitHub, Azure DevOps2 |
| Оценки соответствия нормативным требованиям | - |
|
Azure, AWS, GCP, , Docker Hub, JFrog Artifactory |
| Поиск рисков с помощью обозревателя безопасности | - |
|
Azure, AWS, GCP, Docker Hub, JFrog Artifactory |
| Определение приоритетов риска | - |
|
Azure, AWS, GCP, Docker Hub, JFrog Artifactory |
| Бессерверная защита | - |
|
Azure, AWS |
| Интеграция ServiceNow | - |
|
Azure, AWS, GCP |
1. Обнаружение конфиденциальных данных GCP поддерживает только облачное хранилище. 2: Возможности безопасности DevOps, такие как контекстуализация от кода до облака, поддерживающая исследователь безопасности, пути атаки и аннотации запросов на вытягивание для уязвимостей "Инфраструктура как код", доступны только при включении платного плана CSPM Defender. Дополнительные сведения о поддержке безопасности DevOps и предварительных требованиях.
Сведения о конкретной региональной доступности и поддержке облачных служб для государственных организаций см. в матрице поддержки облачных сред.
Тарифные планы
- Ознакомьтесь с ценами на Defender для облака и используйте калькулятор затрат для оценки затрат.
- Расширенные функции безопасности DevOps (аннотации к запросам на внесение изменений, сопоставление кода с облаком, анализ пути атаки, обозреватель безопасности) требуют платного плана CSPM Defender. Бесплатный план предоставляет базовые рекомендации По Azure DevOps. См. сведения о функциях безопасности DevOps.
- Выставление счетов за CSPM в Defender основано на конкретных ресурсах. Дополнительные сведения о оплачиваемых ресурсах для Azure, AWS и GCP см. на странице цен.
Интеграции
Defender для облака поддерживает интеграцию с партнерскими системами для управления инцидентами и билетами. В настоящее время интеграция ServiceNow доступна (предварительная версия). Сведения о настройке см. в разделе "Интеграция ServiceNow с Microsoft Defender для облака".
Поддерживаемые облака и ресурсы
Возможности безопасности DevOps, такие как аннотации к запросам на вытягивание, сопоставление кода с облаком, анализ пути атаки и обозреватель безопасности облака, доступны только в рамках платного плана CSPM Defender. Бесплатный базовый план управления конфигурацией безопасности предоставляет рекомендации по Azure DevOps. Дополнительные сведения о функциях, предоставляемых функциями безопасности Azure DevOps.
CSPM Defender защищает все многооблачные рабочие нагрузки, но выставление счетов применяется только к определенным ресурсам. В следующих таблицах перечислены оплачиваемые ресурсы при включении CSPM Defender в подписках Azure, учетных записях AWS или проектах GCP.
Лазурный
| Услуга | Типы ресурсов | Исключения |
|---|---|---|
| Службы вычислений | Виртуальные машины, масштабируемые наборы виртуальных машин, классические виртуальные машины | Освобожденные виртуальные машины, виртуальные машины Databricks |
| Хранилище | Учетные записи хранения | Учетные записи без BLOB-хранилищ или файловых ресурсов общего доступа |
| Databases | СЕРВЕРы SQL, Серверы PostgreSQL/MySQL/MariaDB, рабочие области Synapse | – |
AWS
| Услуга | Типы ресурсов | Исключения |
|---|---|---|
| Службы вычислений | Экземпляры EC2 | Освобожденные виртуальные машины |
| Хранилище | Контейнеры S3 | – |
| Databases | Экземпляры RDS | – |
GCP
| Услуга | Типы ресурсов | Исключения |
|---|---|---|
| Службы вычислений | Вычислительные узлы, группы узлов | Нерабоходные экземпляры |
| Хранилище | Контейнеры хранилища | Классы хранения данных nearline/coldline/archive, неподдерживаемые регионы |
| Databases | Облачные экземпляры SQL | – |
Поддержка облака Azure
Сведения о коммерческом и национальном облачном охвате см. в матрице поддержки облачной среды Azure.
Дальнейшие шаги
- Контроль состояния облачной безопасности с помощью Microsoft Defender
- Сведения о стандартах безопасности и рекомендациях
- Сведения об оценке безопасности