Описание Microsoft Defender для облака

  • 6 мин

Defender для облака — это инструмент мониторинга для управления состоянием безопасности и обеспечения защиты от угроз. Он отслеживает облачные, локальные, гибридные и мультиоблачные среды и предоставляет рекомендации и уведомления, направленные на укрепление безопасности вашей среды.

В Defender для облака предоставляются средства, необходимые для защиты ресурсов, контроля состояния безопасности, защиты от кибератак и для оптимизации управления безопасностью. Развернуть Defender для облака очень просто, эта функция интегрирована в Azure изначально.

Защита везде, где развернута ваша инфраструктура

Поскольку Defender для облака — собственная служба Azure, мониторинг и защита большинства служб Azure осуществляются без каких-либо развертываний. Однако если у вас также есть локальный центр обработки данных или вы также работаете в другой облачной среде, мониторинга служб Azure может оказаться недостаточно для формирования полного представления об уровне безопасности вашей среды.

Если будет необходимо, Defender для облака может автоматически развернуть агент Log Analytics для сбора данных о безопасности. Для компьютеров, подключенных к Azure, развертывание выполняется напрямую. В гибридных и многооблачных средах планы Microsoft Defender можно благодаря Azure Arc использовать и на компьютерах, не являющихся компьютерами Azure. Функции управления состоянием безопасности облака (CSPM) доступны и для многооблачных компьютеров без необходимости использования агентов.

Защита ресурсов Azure

Defender для облака помогает выявлять угрозы в таких расположениях:

  • Службы Azure PaaS. Вы можете обнаружить угрозы для служб Azure, включая службу приложений Azure, Azure SQL, учетную запись хранения Azure и другие службы данных. Вы также можете выполнять обнаружение аномалий в журналах действий Azure с помощью нативной интеграции с Microsoft Defender for Cloud Apps (прежнее название — Microsoft Cloud App Security).
  • Службы данных Azure. Defender для облака включает возможности, которые помогут вам автоматизировать классификацию данных в Azure SQL. Вы также можете получить оценки потенциальных уязвимостей в Azure SQL и службе хранилища, а также рекомендации по их устранению.
  • Сети. Defender для облака позволяет снизить уязвимость к атакам методом подбора. За счет сокращения доступа к портам виртуальной машины можно усилить свою сеть, предотвращая ненужный доступ с применением JIT-доступа к виртуальной машине. Вы можете установить политики безопасного доступа на выбранных портах только для авторизованных пользователей, допустимых диапазонов IP-адресов источника или IP-адресов и на ограниченный период времени.

Защита ресурсов в гибридной среде

Помимо защиты среды Azure, вы можете добавить возможности защиты Defender для облака в гибридную облачную среду для защиты серверов, неподключенных к Azure. Вам предоставляются настраиваемые средства аналитики угроз и распределенные по приоритету оповещения с учетом вашей среды, чтобы вы могли сосредоточиться на самом важном.

Если нужно расширить защиту на локальные компьютеры, разверните Azure Arc и включите расширенные функции безопасности Defender для облака.

Защита ресурсов, выполняющихся в других облаках

Defender для облака может также обеспечить защиту ресурсов в других облаках (например, AWS и GCP).

Например, если вы подключили учетную запись Amazon Web Services (AWS) к подписке Azure, вы можете включить любую из приведенных ниже функций защиты.

  • Функции CSPM в Defender для облака теперь можно использовать для ресурсов AWS. Этот безагентный план оценивает ресурсы AWS в соответствии со специально разработанными для AWS рекомендациями по безопасности и определяет вашу оценку безопасности с учетом этих результатов. Ресурсы также будут оцениваться на соответствие встроенным стандартам AWS (AWS CIS, AWS PCI DSS и AWS Foundational Security Best Practices). Страница инвентаризации ресурсов службы "Defender для облака" — это функция с поддержкой нескольких облаков, которая позволяет управлять ресурсами AWS вместе с ресурсами Azure.
  • Microsoft Defender для контейнеров расширяет обнаружение угроз контейнера и расширенную защиту к кластерам Amazon EKS Linux.
  • Microsoft Defender для серверов предоставляет функции обнаружения угроз и расширенной защиты на экземплярах Windows и Linux EC2.

Оценка, безопасность и защита

Defender для облака удовлетворяет три важные потребности в управлении безопасностью ресурсов и рабочих нагрузок в облачной и локальной среде:

  • Непрерывная оценка: оцените свое состояние безопасности. Выявление и отслеживание уязвимостей.
  • Защита — защита ресурсов и служб с помощью Azure Security Benchmark.
  • Защита — обнаружение и устранение угроз для ресурсов, рабочих нагрузок и служб.

Diagram reinforcing assess, secure, and defend.

Непрерывная оценка

Defender для облака помогает непрерывно оценивать вашу среду. Defender для облака предоставляет решения проверки уязвимостей для виртуальных машин, реестров контейнеров и серверов SQL.

Microsoft Defender для серверов предусматривает автоматическую нативную интеграцию с Microsoft Defender для конечной точки. Если эта интеграция включена, вы получите доступ к сведениям об обнаруженных уязвимостях, предоставляемым модулем Майкрософт для контроля угроз и уязвимостей.

Помимо этих инструментов оценки вам будут доступны регулярные тщательные проверки уязвимостей ваших вычислительных ресурсов, данных и инфраструктуры. Изучить результаты таких проверок и отреагировать на них можно прямо в Defender для облака.

Защита

Обеспечение безопасности в облаке — от способов проверки подлинности до контроля доступа и принципа "Никому не доверяй" — представляет собой важнейшую задачу, которую требуется решать эффективно. Чтобы обеспечить безопасность в облаке, необходимо обеспечить безопасность рабочих нагрузок. Чтобы обеспечить безопасность рабочих нагрузок, необходимо внедрить политики безопасности, соответствующие вашей среде и ситуации. Так как политики в Defender для облака создаются на основе элементов управления службы "Политика Azure", в вашем распоряжении полнофункциональное и гибкое решение политики мирового класса. В Defender для облака можно задать политики, применяемые в группах управления, между подписками и даже для всего арендатора.

Одним из преимуществ перехода в облако является возможность роста и масштабирования по мере необходимости путем добавления новых служб и ресурсов. Defender для облака постоянно отслеживает новые ресурсы, развертываемые для ваших рабочих нагрузок. Defender для облака оценивает, настроены ли новые ресурсы в соответствии с рекомендациями по обеспечению безопасности. Если нет, они помечаются и вы получаете список приоритетных рекомендаций относительно того, что необходимо исправить. Рекомендации помогают снизить вероятность атак для каждого из ваших ресурсов.

Список рекомендаций реализуется и поддерживается Azure Security Benchmark. Стандарт безопасности предусматривает руководства с рекомендациями по обеспечению безопасности и соответствия требованиям для Azure, подготовленные корпорацией Майкрософт на основе распространенных платформ соответствия.

Таким образом, Defender для облака позволяет не только настраивать политики безопасности, но и применять стандарты безопасной конфигурации в ваших ресурсах.

Чтобы помочь вам понять, насколько важна каждая рекомендация для общего состояния безопасности, в Defender для облака рекомендации сгруппированы по элементам управления безопасностью, для которых указывается значение оценки безопасности. Оценка безопасности дает общее представление о состоянии безопасности вашей инфраструктуры, а элементы управления содержат практические рекомендации по повышению оценки и общего уровня безопасности.

Screenshot showing the Microsoft Defender for Cloud secure score.

Защита

Первые две области были сосредоточены на оценке, мониторинге и обслуживании вашей среды. Defender для облака также помогает защитить вашу среду, предоставляя оповещения системы безопасности и расширенные функции защиты от угроз.

Оповещения безопасности

Когда Defender для облака обнаруживает угрозу в любой области вашей среды, он создает оповещение безопасности. Оповещения системы безопасности:

  • Подробное описание затронутых ресурсов
  • Предложение шагов по устранению проблемы
  • Предоставление в некоторых случаях возможности запустить в ответ приложение логики

Вы можете экспортировать оповещение независимо от того, было ли оно создано Defender для облака или получено Defender для облака из интегрированного продукта безопасности. Функция защиты от угроз Defender для облака включает в себя возможность комплексного анализа поэтапной кибератаки с автоматическим сопоставлением оповещений в среде на основе такого анализа, что позволяет лучше понять ход кампании атаки, ее начало и влияние на ваши ресурсы.

Расширенная защита от угроз

Defender для облака предоставляет расширенные функции защиты от угроз для многих развернутых ресурсов, включая виртуальные машины, базы данных SQL, контейнеры, веб-приложения и сеть. Защита распространяется на порты управления виртуальных машин с помощью JIT-доступа и адаптивных элементов управления приложениями. При этом создаются списки разрешений, определяющих, какие приложения могут работать на ваших компьютерах.