Defender for Cloud应用如何帮助保护 Google Cloud Platform (GCP) 环境
注意
我们重命名了Microsoft Cloud App Security。 现在称为Microsoft Defender for Cloud Apps。 在接下来的几周内,我们将更新此处和相关页面中的屏幕截图和说明。 有关更改的详细信息,请参阅 此公告。 若要了解有关 Microsoft 安全服务最近重命名的详细信息,请参阅 Microsoft Ignite Security 博客。
Microsoft Defender for Cloud Apps现在是Microsoft 365 Defender的一部分。 Microsoft 365 Defender门户允许安全管理员在一个位置执行其安全任务。 这将简化工作流,并添加其他Microsoft 365 Defender服务的功能。 Microsoft 365 Defender是监视和管理 Microsoft 标识、数据、设备、应用和基础结构安全性的主场。 有关这些更改的详细信息,请参阅Microsoft 365 Defender中的Microsoft Defender for Cloud Apps。
Google Cloud Platform 是一个 IaaS 提供商,可让你的组织在云中托管和管理其整个工作负荷。 除了利用云中的基础结构的好处外,组织最重要的资产可能会受到威胁的影响。 公开的资产包括具有潜在敏感信息的存储实例、运行某些最关键的应用程序、端口和虚拟专用网络的计算资源,这些专用网络支持访问组织。
将 GCP 连接到 Defender for Cloud 应用有助于保护资产,并通过监视管理和登录活动、通知可能的暴力攻击、恶意使用特权用户帐户和异常删除 VM 来检测潜在威胁。
主要威胁
- 滥用云资源
- 泄露的帐户和内部威胁
- 数据泄露
- 资源配置错误和访问控制不足
Defender for Cloud应用如何帮助保护环境
使用内置策略和策略模板控制 GCP
可以使用以下内置策略模板来检测和通知潜在威胁:
| 类型 | 名称 |
|---|---|
| 内置异常情况检测策略 | 来自匿名 IP 地址的活动 来自不常用国家/地区的活动 来自可疑 IP 地址的活动 不可能旅行 由已终止的用户 (执行的活动需要作为 IdP) Azure Active Directory 多次失败的登录尝试 异常管理活动 多个删除 VM 活动 (预览版) 的异常多个 VM 创建活动 |
| 活动策略模板 | 对计算引擎资源的更改 对 StackDriver 配置的更改 对存储资源的更改 对虚拟专用网络的更改 从风险性 IP 地址登录 |
有关创建策略的详细信息,请参阅 “创建策略”。
自动执行治理控制
除了监视潜在威胁之外,还可以应用并自动执行以下 GCP 治理操作来修正检测到的威胁:
| 类型 | 操作 |
|---|---|
| 用户管理 | - 要求用户将密码重置到 Google (需要已连接的 Google Workspace 实例) - 暂停用户 (需要已连接的 Google Workspace 实例) - 通过 Azure AD) 通知用户警报 ( - 要求用户通过 Azure AD) 再次登录 ( - 通过 Azure AD) 暂停用户 ( |
有关从应用修正威胁的详细信息,请参阅 管理连接的应用。
安全建议
Defender for Cloud应用根据适用于 GCP 的 Internet 安全中心 (CIS) 基准为所有 GCP 项目提供 GCP 平台配置符合性概述。
应持续查看安全建议,以评估和评估平台安全状况的当前状态,并确定重要的配置差距。 然后,应创建一个计划来缓解 GCP 平台中的问题。
有关详细信息, GCP 安全建议。
实时保护 GCP
查看有关 保护外部用户并与外部用户协作的 最佳做法, 并阻止和保护将敏感数据下载到非托管或有风险的设备。