Cloud Security Posture Management (CSPM)

  • Articolo

Uno dei principali pilastri di Microsoft Defender per il cloud è la gestione del comportamento di sicurezza cloud (CSPM). CSPM offre visibilità dettagliata sullo stato di sicurezza degli asset e dei carichi di lavoro e fornisce indicazioni sulla protezione avanzata per migliorare in modo efficiente ed efficace il comportamento di sicurezza.

Defender per il cloud valuta continuamente le risorse rispetto agli standard di sicurezza definiti per le sottoscrizioni di Azure, gli account AWS e i progetti GCP. Defender per il cloud genera raccomandazioni sulla sicurezza in base a queste valutazioni.

Per impostazione predefinita, quando si abilita Defender per il cloud in una sottoscrizione di Azure, lo standard di conformità Microsoft Cloud Security Benchmark (MCSB) è attivato. Fornisce raccomandazioni. Defender per il cloud fornisce un punteggio di sicurezza aggregato in base ad alcune raccomandazioni mcsb. Più alto è il punteggio, più basso è il livello di rischio identificato.

Funzionalità di CSPM

Defender per il cloud offre le offerte CSPM seguenti:

  • CSPM di base: Defender per il cloud offre gratuitamente funzionalità CSPM multicloud di base. Queste funzionalità vengono abilitate automaticamente per impostazione predefinita per le sottoscrizioni e gli account che eseguono l'onboarding in Defender per il cloud.

  • Piano cspm (Defender Cloud Security Posture Management): il piano facoltativo a pagamento Defender per il cloud Secure Posture Management offre funzionalità più avanzate per il comportamento di sicurezza.

Disponibilità del piano

Altre informazioni sui prezzi di Defender CSPM.

La tabella seguente riepiloga ogni piano e la relativa disponibilità nel cloud.

Funzionalità CSPM di base Defender CSPM Disponibilità del cloud
Raccomandazioni sulla sicurezza Azure, AWS, GCP, locale
Inventario degli asset Azure, AWS, GCP, locale
Punteggio di sicurezza Azure, AWS, GCP, locale
Visualizzazione e creazione di report dei dati con cartelle di lavoro di Azure Azure, AWS, GCP, locale
Esportazione dei dati Azure, AWS, GCP, locale
Automazione del flusso di lavoro Azure, AWS, GCP, locale
Strumenti per la correzione Azure, AWS, GCP, locale
Microsoft Cloud Security Benchmark Azure, AWS, GCP
Gestione del comportamento di sicurezza dell'intelligenza artificiale Azure, AWS
Analisi delle vulnerabilità delle macchine virtuali senza agente - Azure, AWS, GCP
Analisi dei segreti delle macchine virtuali senza agente - Azure, AWS, GCP
Analisi del percorso di attacco - Azure, AWS, GCP
Definizione delle priorità dei rischi - Azure, AWS, GCP
Ricerca dei rischi con Esplora sicurezza - Azure, AWS, GCP
Mapping da codice a cloud per contenitori - GitHub, Azure DevOps
Mapping da codice a cloud per IaC - Azure DevOps
Annotazioni pull - GitHub, Azure DevOps
Analisi dell'esposizione a Internet - Azure, AWS, GCP
Gestione della superficie di attacco esterna (EASM) - Azure, AWS, GCP
Gestione delle autorizzazioni (CIEM) - Azure, AWS, GCP
Valutazioni della conformità alle normative - Azure, AWS, GCP
Integrazione di ServiceNow - Azure, AWS, GCP
Protezione degli asset critici - Azure, AWS, GCP
Governance per favorire la correzione su larga scala - Azure, AWS, GCP
Comportamento di sicurezza compatibile con i dati, Analisi dei dati sensibili - Azure, AWS, GCP
Individuazione senza agente per Kubernetes - Azure, AWS, GCP
Valutazione della vulnerabilità dei contenitori senza agente da codice a cloud - Azure, AWS, GCP

Nota

A partire dal 7 marzo 2024, Defender CSPM deve essere abilitato per avere funzionalità di sicurezza DevOps Premium che includono funzionalità di contestualizzazione da codice a cloud che alimentano Esplora sicurezza e percorsi di attacco e annotazioni delle richieste pull per i risultati della sicurezza infrastruttura come codice. Per altre informazioni, vedere Supporto e prerequisiti per la sicurezza di DevOps.

Integrazioni (anteprima)

Microsoft Defender per il cloud ora include integrazioni predefinite che consentono di usare sistemi di terze parti per gestire e tenere traccia senza problemi di ticket, eventi e interazioni con i clienti. È possibile inviare raccomandazioni a uno strumento di creazione di ticket di terze parti e assegnare la responsabilità a un team per la correzione.

L'integrazione semplifica il processo di risposta agli eventi imprevisti e migliora la possibilità di gestire gli eventi imprevisti di sicurezza. È possibile tenere traccia, classificare in ordine di priorità e risolvere gli eventi imprevisti di sicurezza in modo più efficace.

È possibile scegliere il sistema di creazione di ticket da integrare. Per l'anteprima, è supportata solo l'integrazione di ServiceNow. Per altre informazioni su come configurare l'integrazione di ServiceNow, vedere Integrare ServiceNow con Microsoft Defender per il cloud (anteprima).

Pianificare i prezzi

  • Vedere la pagina dei prezzi Defender per il cloud per informazioni sui prezzi di Defender CSPM.

  • Dal 7 marzo 2024, le funzionalità avanzate del comportamento di sicurezza DevOps saranno disponibili solo tramite il piano CSPM di Defender a pagamento. La gestione del comportamento di sicurezza di base gratuita in Defender per il cloud continuerà a fornire una serie di raccomandazioni su Azure DevOps. Altre informazioni sulle funzionalità di sicurezza di DevOps.

  • Per le sottoscrizioni che usano piani di Defender CSPM e Defender per contenitori, la valutazione della vulnerabilità gratuita viene calcolata in base alle analisi di immagini gratuite fornite tramite il piano Defender per contenitori, come riepilogato nella pagina dei prezzi di Microsoft Defender per il cloud.

  • Defender CSPM protegge tutti i carichi di lavoro multicloud, ma la fatturazione viene applicata solo a risorse specifiche. Le tabelle seguenti elencano le risorse fatturabili quando Defender CSPM è abilitato nelle sottoscrizioni di Azure, negli account AWS o nei progetti GCP.

    Servizio di Azure Tipi di risorse Esclusioni
    Calcolo Microsoft.Compute/virtualMachines
    Microsoft.Compute/virtualMachineScaleSets/virtualMachines
    Microsoft.ClassicCompute/virtualMachines    		 - Deallocazione di macchine virtuali
    - Macchine virtuali di Databricks
    Storage Microsoft.Storage/storageAccounts Archiviazione account senza contenitori BLOB o condivisioni file
    DB Microsoft.Sql/servers
    Microsoft.DBforPostgreSQL/servers
    Microsoft.DBforMySQL/servers
    Microsoft.Sql/managedInstances
    Microsoft.DBforMariaDB/servers
    Microsoft.Synapse/workspaces    		 ---
    Servizio AWS Tipi di risorse Esclusioni
    Calcolo Istanze ec2 Vm deallocate
    Storage Bucket S3 ---
    DB Istanze di Servizi Desktop remoto ---
    Servizio GCP Tipi di risorse Esclusioni
    Calcolo 1. Istanze di Google Compute
    2. Google Instance Group    		 Istanze con stati non in esecuzione
    Storage Archiviazione bucket - Bucket dalle classi: 'nearline', 'coldline', 'archive'
    - Bucket provenienti da aree diverse da: europe-west1, us-east1, us-west1, us-central1, us-east4, asia-sud1, nordamerica-nord-est1
    DB Istanze di SQL cloud ---

Supporto cloud di Azure

Per la copertura del cloud commerciale e nazionale, esaminare le funzionalità supportate negli ambienti cloud di Azure.

Supporto per il tipo di risorsa in AWS e GCP

Per il supporto multicloud dei tipi di risorse (o dei servizi) nel livello CSPM multicloud di base, vedere la tabella dei tipi di risorse e servizi multicloud per AWS e GCP.

Passaggi successivi