Что такое управление конфигурацией безопасности в облаке (CSPM)

Cloud Security Posture Management (CSPM) — это основная функция Microsoft Defender для облака. CSPM обеспечивает непрерывную видимость состояния безопасности облачных ресурсов и рабочих нагрузок, предлагая практические рекомендации по повышению уровня безопасности в Azure, AWS и GCP.

Defender для облака постоянно оценивает облачную инфраструктуру по стандартам безопасности, определенным для ваших подписок Azure, учетных записей Amazon Web Service (AWS) и проектов Google Cloud Platform (GCP). Рекомендации по безопасности Defender для облака помогают выявлять и уменьшать неправильные конфигурации облака и риски безопасности.

По умолчанию при включении Defender для облака в подписке Azure стандарт Microsoft Cloud Security Benchmark (MCSB) включен и предоставляет рекомендации по защите среды multicloud. Оценка безопасности на основе некоторых рекомендаций MCSB помогает отслеживать соответствие облачным требованиям. Более высокий показатель указывает на более низкий уровень риска.

Планы CSPM

Defender для облака предлагает два плана CSPM:

  • Базовый CSPM (бесплатный ): включен по умолчанию для всех подключенных подписок и учетных записей.
  • CsPM Defender (платный): предоставляет дополнительные возможности за пределами базового плана CSPM, включая расширенные средства CSPM для мониторинга видимости облака и соответствия требованиям. Эта версия плана предлагает более сложные функции защиты, такие как состояние безопасности ИИ, анализ пути атаки, определение приоритетов и многое другое.

Доступность плана

CSPM Defender доступен в нескольких моделях развертывания и облачных средах:

  • Коммерческие облака: доступны во всех коммерческих регионах Azure
  • Облака для государственных организаций: доступны в Azure для государственных организаций и Azure для государственных организаций Secret
  • Многооблачная поддержка сред Azure, AWS и GCP
  • Гибридная среда: локальные ресурсы с помощью Azure Arc
  • DevOps: интеграция GitHub и Azure DevOps

Сведения о конкретной региональной доступности и поддержке облачных служб для государственных организаций см. в матрице поддержки облачных сред.

Функция Фундаментальное управление безопасностью облачной инфраструктуры (CSPM) CSPM в Microsoft Defender Доступность в облаках
Инвентаризация ресурсов Azure, AWS, GCP, локальная среда, Docker Hub, JFrog Artifactory
Экспорт данных Azure, AWS, GCP, локальная среда
Визуализация данных и отчетность с помощью Azure Workbooks Azure, AWS, GCP, локальная среда
Тест безопасности Microsoft Cloud Azure, AWS, GCP
Оценка безопасности Azure, AWS, GCP, локальная среда, Docker Hub, JFrog Artifactory
Рекомендации по безопасности Azure, AWS, GCP, локальная среда, Docker Hub, JFrog Artifactory
Средства для исправления Azure, AWS, GCP, локальная среда, Docker Hub, JFrog Artifactory
Автоматизация рабочих процессов Azure, AWS, GCP, локальная среда
Оценка уязвимостей контейнеров без агента от кода до облака - Azure, AWS, GCP, Docker Hub, JFrog Artifactory
Безагентное обнаружение для Kubernetes - Azure, AWS, GCP
Сканирование секретов виртуальных машин без агента - Azure, AWS, GCP
Сканирование уязвимостей виртуальной машины без агента - Azure, AWS, GCP
Управление безопасностью искусственного интеллекта - Azure, AWS, GCP
Управление безопасностью API - Azure
Анализ пути атаки - Azure, AWS, GCP, Docker Hub, JFrog Artifactory
Панель мониторинга безопасности службы Azure Kubernetes (предварительная версия) - Azure
Сопоставление кода с облаком для контейнеров - GitHub, Azure DevOps 2, Docker Hub, JFrog Artifactory
Сопоставление кода с облаком для IaC - Azure DevOps2, Docker Hub, JFrog Artifactory
Защита критически важных ресурсов - Azure, AWS, GCP
Пользовательские рекомендации - Azure, AWS, GCP, Docker Hub, JFrog Artifactory
Управление состоянием безопасности данных (DSPM), сканирование конфиденциальных данных - Azure, AWS, GCP1
Управление внешними атаками - Azure, AWS, GCP, Docker Hub, JFrog Artifactory
Управление для стратегического исправления проблем в масштабе - Azure, AWS, GCP, Docker Hub, JFrog Artifactory
Анализ воздействия в Интернете - Azure, AWS, GCP, Docker Hub, JFrog Artifactory
PR-аннотации - GitHub, Azure DevOps 2
Оценки соответствия нормативным требованиям - Azure, AWS, GCP, Docker Hub, JFrog Artifactory
Поиск рисков с помощью обозревателя безопасности - Azure, AWS, GCP, Docker Hub, JFrog Artifactory
Определение приоритетов риска - Azure, AWS, GCP, Docker Hub, JFrog Artifactory
Состояние бессерверных контейнеров - Azure, AWS
Бессерверная защита - Azure, AWS
Интеграция ServiceNow - Azure, AWS, GCP

1. Обнаружение конфиденциальных данных GCP поддерживает только облачное хранилище. 2: Возможности безопасности DevOps, такие как контекстуализация от кода до облака, поддерживающая исследователь безопасности, пути атаки и аннотации запросов на вытягивание для уязвимостей "Инфраструктура как код", доступны только при включении платного плана CSPM Defender. Дополнительные сведения о поддержке безопасности DevOps и предварительных требованиях.

Сведения о конкретной региональной доступности и поддержке облачных служб для государственных организаций см. в матрице поддержки облачных сред.

Тарифные планы

  • Ознакомьтесь с ценами на Defender для облака и используйте калькулятор затрат для оценки затрат.
  • Расширенные функции безопасности DevOps (аннотации к запросам на внесение изменений, сопоставление кода с облаком, анализ пути атаки, обозреватель безопасности) требуют платного плана CSPM Defender. Бесплатный план предоставляет базовые рекомендации По Azure DevOps. См. сведения о функциях безопасности DevOps.
  • Выставление счетов за CSPM в Defender основано на конкретных ресурсах. Дополнительные сведения о оплачиваемых ресурсах для Azure, AWS и GCP см. на странице цен.

Integrations

Defender для облака поддерживает интеграцию с партнерскими системами для управления инцидентами и билетами. В настоящее время интеграция ServiceNow доступна (предварительная версия). Сведения о настройке см. в разделе "Интеграция ServiceNow с Microsoft Defender для облака".

Поддерживаемые облака и ресурсы

  • Возможности безопасности DevOps, такие как аннотации к запросам на вытягивание, сопоставление кода с облаком, анализ пути атаки и обозреватель безопасности облака, доступны только в рамках платного плана CSPM Defender. Бесплатный базовый план управления конфигурацией безопасности предоставляет рекомендации по Azure DevOps. Дополнительные сведения о функциях, предоставляемых функциями безопасности Azure DevOps.

  • CSPM Defender защищает все многооблачные рабочие нагрузки, но выставление счетов применяется только к определенным ресурсам. В следующих таблицах перечислены оплачиваемые ресурсы при включении CSPM Defender в подписках Azure, учетных записях AWS или проектах GCP.

Azure

Service Типы ресурсов Исключения
Compute Виртуальные машины, масштабируемые наборы виртуальных машин, классические виртуальные машины Освобожденные виртуальные машины, виртуальные машины Databricks
Storage Учетные записи хранения Учетные записи без BLOB-хранилищ или файловых ресурсов общего доступа
Databases СЕРВЕРы SQL, серверы PostgreSQL/MySQL, рабочие области Synapse

AWS

Service Типы ресурсов Исключения
Compute Экземпляры EC2 Деаллокированные виртуальные машины
Storage Контейнеры S3
Databases Экземпляры RDS

GCP

Service Типы ресурсов Исключения
Compute Вычислительные узлы, группы узлов Нерабоходные экземпляры
Storage Бакеты хранения Классы хранения данных nearline/coldline/archive, неподдерживаемые регионы
Databases Облачные экземпляры SQL

Поддержка облака Azure

Сведения о коммерческом и национальном облачном охвате см. в матрице поддержки облачной среды Azure.

Дальнейшие шаги