你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Microsoft Defender for Cloud 是一个 云原生应用程序保护平台(CNAPP),它是一种统一的解决方案,它结合了多个云安全工具,在整个生命周期内保护应用程序。 该解决方案提供跨云和本地资源的安全状况的综合视图。 它还有助于保护多云和混合环境,并将安全性集成到 DevOps 工作流中。 有三个核心组件:
开发安全作(DevSecOps) 跨多云和多管道环境管理代码级安全性。
云安全状况管理(CSPM) 检查和改进云资源的安全状况。
云工作负荷保护平台(CWPP) 保护虚拟机(VM)、容器、存储、数据库和无服务器功能等工作负载免受威胁。
Defender for Cloud 使用其更广泛的云原生应用程序保护平台 (CNAPP) 功能将保护统一到一个体验中。 Defender for Cloud 在开发生命周期的早期嵌入安全性。 它可帮助 DevOps 团队发现配置错误、应用策略并提前修复风险。
Note
有关定价信息,请查看 Defender for Cloud 定价页。 还可以 使用 Defender for Cloud 成本计算器估算成本。
云本机应用程序保护平台 (CNAPP)
在 Azure 订阅上启用 Defender for Cloud 解决方案 后,系统会从多云和 DevOps 环境收集安全数据。 Defender for Cloud 使用数据来提供见解、建议和作,帮助保护云工作负载和资源。 可以启用额外的计划来获取更高级的安全功能,例如 Defender 云安全状况管理(CSPM)、 Defender for Databases 和 Defender for Containers。
Defender for Cloud 的可用计划及其 CNAPP 权益包括:
还可以查看电子书 “从计划到部署:实现云原生应用程序保护平台(CNAPP)策略”,了解有关在 Defender for Cloud 中实现 CNAPP 的详细信息。
开发安全作 (DevSecOps)
Defender for Cloud 在开发开始时增加了安全性。 它允许你保护代码管道和环境,并从一个位置监视安全状况。 Defender for Cloud 使安全团队能够跨多管道环境管理 DevOps 安全性。
应用程序需要在代码、基础结构和运行时级别获得安全意识,以确保已部署的应用程序针对攻击进行强化。
Capability | 它解决了什么问题? | 开始 | Defender plan |
---|---|---|---|
代码管道见解 | 使安全团队能够跨多管道环境(包括 GitHub、Azure DevOps 和 GitLab)保护从代码到云的应用程序和资源。 然后,可将 DevOps 安全检测结果(例如基础结构即代码 (IaC) 不当配置和公开的机密)与其他区分上下文的云安全见解相关联,以确定要优先修正代码中的哪些问题。 | Connect Azure DevOps, GitHub, and GitLab repositories to Defender for Cloud | 基础 CSPM(免费)和 Defender CSPM |
云安全状况管理 (CSPM)
云和本地资源的安全性依赖于适当的配置和部署。 Azure Defender for Cloud 的建议识别出确保环境安全的步骤。
Defender for Cloud 包括免费的基础 CSPM 功能。 使用 Defender CSPM 计划启用高级 CSPM 功能。
Capability | 它解决了什么问题? | 开始 | Defender plan |
---|---|---|---|
集中式策略管理 | 定义要在整个环境中维护的安全条件。 该策略转换为识别违反安全策略的资源配置的建议。 Microsoft云安全基准是一种内置标准,它应用安全原则,并为 Azure 和其他云提供商(如 Amazon Web Services(AWS)和 Google Cloud Platform(GCP)提供详细的技术实施指南。 | 自定义安全策略 | 基础 CSPM(免费) |
Secure score | 根据安全建议汇总安全状况。 修正建议时,安全功能分数会提高。 | 跟踪安全功能分数 | 基础 CSPM(免费) |
Multicloud coverage | 使用无代理方法连接到您的多云环境,以获取 CSPM 洞察和 CWPP 保护。 | Connect your Amazon AWS and Google GCP cloud resources to Defender for Cloud | 基础 CSPM(免费) |
云安全态势管理 (CSPM) | 使用仪表板查看安全状况的弱点。 | 启用 CSPM 工具 | 基础 CSPM(免费) |
高级云安全态势管理 | 获取高级工具来识别安全状况中的弱点,包括: - 治理,推动改善安全状况的行动 - 法规符合性,验证是否符合安全标准 - 云安全资源管理器,生成环境的综合视图 |
启用 CSPM 工具 | Defender CSPM |
数据安全态势管理 | 数据安全态势管理会自动发现包含敏感数据的数据存储,并帮助降低数据泄露的风险。 | 启用数据安全态势管理 | Defender CSPM 或 Defender for Storage |
攻击路径分析 | 对网络上的流量进行建模,在对环境实施更改之前识别潜在风险。 | 生成查询以分析路径 | Defender CSPM |
云安全资源管理器 | 云环境的映射,可用于生成查询来查找安全风险。 | 生成查询以查找安全风险 | Defender CSPM |
Security governance | 将任务分配给资源所有者并跟踪进度,使你的安全状态与安全策略保持一致,从而在整个组织推动安全改进。 | 定义治理规则 | Defender CSPM |
Microsoft Entra 权限管理 | 为 Azure、AWS 和 GCP 中的任何标识和任何资源提供全面的可见性和权限控制。 | 查看权限蠕变指数 (PCI) | Defender CSPM |
云工作负荷保护平台 (CWPP)
主动安全原则要求实施安全做法来保护工作负载免受威胁。 云工作负荷保护平台(CWPP)提供特定于工作负荷的建议,指导你了解保护工作负荷的正确安全控制。
当环境受到威胁时,安全警报会立即指示威胁的性质和严重性,以便你可以规划响应。 在环境中识别威胁后,快速响应以限制资源的风险。
Capability | 它解决了什么问题? | 开始 | Defender plan |
---|---|---|---|
保护云服务器 | 通过 Microsoft Defender for Endpoint 或涵盖实时网络访问、文件完整性监视、漏洞评估等的扩展保护提供服务器保护。 | 保护多云和本地服务器 | Defender for Servers |
识别对存储资源的威胁 | 使用高级威胁检测功能和 Microsoft 威胁情报数据来检测访问或利用存储帐户的异常和潜在有害尝试,以提供上下文安全警报。 | 保护云存储资源 | 存储防护 (Defender for Storage) |
保护云数据库 | 通过针对 Azure 中最常用的数据库类型的攻击检测和威胁响应来保护整个数据库资产,以根据其攻击面和安全风险来保护数据库引擎和数据类型。 | 为云和本地数据库部署专用保护 | - 适用于 Azure SQL 数据库的 Defender - 计算机上的 Defender for SQL 服务器 - 适用于开源关系数据库的 Defender - Defender for Azure Cosmos DB |
Protect containers | 保护容器,以便通过环境强化、漏洞评估和运行时保护来改进、监视和维护群集、容器及其应用程序的安全性。 | 查找容器中的安全风险 | Defender for Containers |
基础结构服务见解 | 诊断应用程序基础结构中可能使环境容易受到攻击的弱点。 |
-
识别针对在应用服务上运行的应用程序的攻击 - 检测到攻击 Key Vault 帐户的尝试 - 收到可疑资源管理器操作的警报 - 发现异常的域名系统 (DNS) 活动 |
- 适用于应用服务的 Defender - 适用于密钥保管库的 Defender - 适用于资源管理器的 Defender - 适用于 DNS 的 Defender |
Security alerts | 了解威胁环境安全的实时事件。 警报经过分类并分配有严重性级别,以指示正确的响应。 | 管理安全警报 | 任何工作负载保护 Defender 计划 |
Security incidents | 通过关联警报并集成安全信息和事件管理(SIEM)、安全业务流程、自动化和响应(SOAR)和 IT 经典部署模型解决方案来识别攻击模式,以响应威胁并降低资源的风险。 | 将警报导出到 SIEM、SOAR 或 ITSM 系统 | 任何工作负载保护 Defender 计划 |
Important
- 自 2023 年 8 月 1 日起,拥有 Defender for DNS 的现有订阅的客户可以继续使用该服务作为独立计划。
- 对于新订阅,关于可疑 DNS 活动的警报包括在 Defender for Servers Plan 2 中。
- 保护范围没有变化:Defender for DNS 继续保护连接到 Azure 的默认 DNS 解析程序的所有 Azure 资源。 此更改会影响 DNS 保护的计费和捆绑方式,而不是涵盖哪些资源。
Learn More
有关 Defender for Cloud 的详细信息及其工作原理,请参阅:
- A step-by-step walkthrough of Defender for Cloud
- 从现场获得的经验中与网络安全专家关于 Defender for Cloud 的采访
- Microsoft Defender for Cloud - 用例
- Microsoft Defender for Cloud PoC 系列 - Microsoft Defender for Containers
- 了解 Microsoft Defender for Cloud 如何提供数据安全性