MS Defender for Cloud簡介

Microsoft Defender for Cloud 提供 Azure 和混合雲工作負載(Workload)保護和安全態勢(security posture)管理。本文將概述 Microsoft Defender for Cloud 可以保護哪些資源。也將介紹 Microsoft Defender for Cloud 的功能。

Microsoft Defender for Cloud 的功能涵蓋了雲端安全的兩大支柱(CSPM與CWP)：

CSPM(Cloud Security Posture Management)— 在 Defender for Cloud 中，posture management功能提供：

1. Visibility－幫助我們理解當前的安全狀況
2. Hardening guidance－幫助我們具效能與效率地提升安全性

哪如何評估到底有沒有做好資安呢?哪就是要用量化的方式 — 安全分數(Secure Score)。 Defender for Cloud 會持續性對"資源、訂閱和組織"持續評估是否有安全性問題。然後，它將所有調查結果匯總為一個分數，以便我們一目了然地了解當前的安全狀況：分數越高，識別的風險等級越低。

CWP(Cloud Workload Protection) — 這是一系列針對工作負載的進階智慧保護。工作負載保護是透過特定於雲端訂閱中的資源類型的 Microsoft Defender enhanced security features plans提供的。例如，可以啟用 Microsoft Defender for Storage，以取得與 Azure Storage accounts相關的可疑活動的告警。

Defender for Cloud 為雲端環境提供 CWP 功能的可見度與控制性：

可以保護的資源進類型

當我們啟用 Defender for Cloud 時，以下 Defender plans將同時啟用，並為環境的運算、資料和服務層提供全面的防禦：

• Microsoft Defender for Servers
• Microsoft Defender for App Service
• Microsoft Defender for Storage
• Microsoft Defender for Databases
• Microsoft Defender for Containers
• Microsoft Defender for Key Vault
• Microsoft Defender for Resource Manager
• Microsoft Defender for DNS

混合雲保護

除了保護 Azure 環境之外，還可以將 Defender for Cloud 功能延伸至混合雲環境：

• 保護非 Azure 伺服器
• 保護其他雲端（例如 AWS 和 GCP）中的VM

我們將根據我們自己的環境獲得客製化的威脅情資和優先告警，以便我們可以專注於最重要的事情。

若要將保護擴展到其他雲端或地端中的VM和 SQL 資料庫，就要部署 Azure Arc 並啟用 Defender for Cloud。用於伺服器的 Azure Arc 是一項免費服務，但在啟用 Arc 的伺服器上使用的服務（例如 Defender for Cloud）將根據該服務的定價收費。更多資訊請參閱 Add non-Azure machines with Azure Arc

當 Defender for Cloud 偵測到環境中任何區域的威脅時，它會產生安全告警。這些警報描述了受影響資源的詳細資訊、建議的修復步驟，以及在某些情況下觸發應用程式作為回應的選項。

無論警報是由 Defender for Cloud 產生還是由 Defender for Cloud 從整合安全產品接收，都可以把資料往外倒。若要將告警匯出至 Microsoft Sentinel、任何第三方 SIEM 或任何其他外部工具，請依照Stream alerts的指示將資料倒到 SIEM、SOAR 或 IT 服務管理解決方案。

Defender for Cloud 使用針對VM、SQL 資料庫、容器、Web 應用程式、網路等的進階分析。保護措施包括透過just-in-time access來保護VM的管理端口，以及adaptive application controls，以建立哪些應用程式應該或不應該在電腦上運行的許可清單。

Defender for Cloud 包含VM和container registries的漏洞掃描，無需額外費用。掃描器由 Qualys 提供支持，但不需要 買Qualys 授權，甚至不需要 Qualys 帳號 — 一切都在 Defender for Cloud 內無縫處理。查看這些漏洞掃描程式的結果，並在 Defender for Cloud 中對所有這些結果做出回應。

Cloud workload protections

Defender for Cloud 是一款用於安全態勢管理與威脅防護的工具。它強化了雲端資源的安全狀況，透過整合的 Microsoft Defender plans，Defender for Cloud 可以保護在 Azure、混合雲和其他雲端平台中執行的工作負載。

Defender for Cloud 提供了強化資源、追蹤安全狀況、防範網路攻擊和簡化安全管理所需的工具。由於它是原生整合的，因此 Defender for Cloud 的部署非常簡單，預設為自動配置來保護資源。當管理雲端和地端資源和工作負載的安全性時，Defender for Cloud 可滿足三個重要需求：

1. Continuously Assess — 了解目前的安全狀況
2. Secure — 強化所有連結的資源和服務
3. Defend — 偵測並解決對這些資源和服務的威脅

Microsoft Defender for Cloud 為您提供了以下工具：

• Secure score:
  單一量化指標，可以一目了然地了解目前的安全狀況：分數越高，辨識到的風險等級越低(沒辨識到的沒辦法估)。
• Security recommendations:
  客製化和優先強化任務以改善安全態勢。可以按照recommendations中提供的詳細補救步驟來實施建議。對於許多recommendations，Defender for Cloud 提供了「Fix」按鈕以自動實施！
• Security alerts:
  啟用安全功能後，Defender for Cloud 可以偵測對資源和工作負載的威脅。這些告警顯示在 Azure 網站中，Defender for Cloud 也可以透過電子郵件將其傳送給組織中的相關人員。告警還可以根據需要傳輸到 SIEM、SOAR 或 IT 服務管理解決方案。

架構

由於 Defender for Cloud 本身就是 Azure 的一部分，因此 Azure 中的 PaaS 服務（包括 Service Fabric, SQL Database, SQL Managed Instance, and storage accounts）由 Defender for Cloud 監控和保護，無需進行任何部署。

此外，Defender for Cloud 透過在雲端或地端的 Windows 和 Linux 伺服器上安裝 Log Analytics agent來保護非 Azure 伺服器和VM。 Azure VM在 Microsoft Defender for Cloud 中自動設定。

從agent和 Azure 收集的事件在安全分析引擎中相關聯，提供客製化建議（hardening tasks），我們應遵循這些建議以確保工作負載的安全。並應該盡快調查這些告警，以確保工作負載不會發生惡意攻擊。

啟用 Defender for Cloud 時，Defender for Cloud 內建的安全性原則將作為 Defender for Cloud 類別下的內建計畫反映在 Azure Policy 中。內建計畫會自動指派給所有 Defender for Cloud 註冊訂閱（無論它們是否啟用了 Defender for Cloud）。內建計劃僅包含稽核政策。有關 Azure policy中的 Defender for Cloud 政策的詳細資訊，請參閱 Working with security policies。

強化安全態勢

Defender for Cloud 能夠強化安全態勢。這意味著它可以幫助識別和執行建議作為安全最佳實踐的強化任務(hardening tasks)，並在機器、資料服務和應用程式中實行它們。包括管理和實施安全性政策，並確保 Azure VM、非 Azure 伺服器和 Azure PaaS 服務合規性。 Defender for Cloud 提供了俯視工作負載所需的工具，並專注於網路安全資產。

管理組織的安全政策與何合規

了解並確保工作負載安全是一項安全基礎，首先要製定適合每個組織的安全政策。由於所有 Defender for Cloud 政策均建置在 Azure Policy controls之上。在 Defender for Cloud 中，可以將政策設定為在管理群組上、跨訂閱甚至整個tenant執行。

Defender for Cloud 可協助我們辨識Shadow IT subscriptions。透過查看儀表板中標記為「not covered」的訂閱，可以立即了解何時有新建立的訂閱，並確保它們包含在政策中並受到 Defender for Cloud 的保護。

持續評估

Defender for Cloud 持續探索跨工作負載部署的新資源，並評估它們是否根據安全最佳實踐進行配置。如果沒有，它們會被標記，並且我們會收到一份優先建議清單，其中包含需要修復的內容。

為了幫助我們了解每項建議對整體安全狀況的重要性，Defender for Cloud 將recommendations分組到安全控制項中，並為每個控制項加上一個安全分數。此分數對於我們確定安全工作的優先順序至關重要。

Network map

Defender for Cloud 提供的持續監控網路安全狀態的工具之一是Network map。此地圖可讓我們檢視工作負載的拓撲，以便可以查看每個節點是否已正確配置。也可以查看節點的連接方式，這有助於阻止不必要的連接，這些連接可能會使攻擊者更容易在我們的網路中蔓延。

透過配置recommended controls來優化和提高安全性

Defender for Cloud 的核心價值在於其建議。這些建議是針對工作負載中發現的特定安全問題量身定制的。 Defender for Cloud 提供安全管理服務，不僅可以找到漏洞，還可以提供有關如何消除漏洞的具體說明。

透過這種方式，Defender for Cloud 不僅讓能夠設定安全政策，還能在資源中套用安全配置標準。

這些建議可協助減少每個資源的攻擊面 — Azure VM、非 Azure 伺服器以及 Azure PaaS 服務（例如 SQL 和storage account等）。每種類型的資源都有不同的評估方式並有自己的標準。

防範威脅

Defender for Cloud 的威脅防護使你能夠偵測並預防IaaS)、以及 Azure 中的PaaS的威脅。

Defender for Cloud 的威脅防護包括fusion kill-chain analysis，可根據cyber kill-chain analysis自動關聯環境中的告警。此分析可幫助我們更了解攻擊活動的全部情況、攻擊活動的起始位置以及它對資源產生的影響。

與Microsoft Defender for Endpoint整合

Defender for Cloud 包含與 Microsoft Defender for Endpoint 的自動原生整合。這種內建整合意味著無需任何配置， Windows 和 Linux 電腦即可與 Defender for Cloud 的建議和評估完全整合。

此外，Defender for Cloud 可在伺服器環境上自動執行應用程式控制政策。 Defender for Cloud 中的adaptive application controls支援跨 Windows 伺服器的 end-to-end app approval listing。不需要建立規則並檢查違規行為。這一切都會自動完成。

保護PaaS

Defender for Cloud 可協助偵測 Azure PaaS 服務中的威脅。可以偵測針對 Azure 服務的威脅，包括 Azure App service、Azure SQL、Azure storage account和更多資料服務。也可以利用與 Microsoft Defender for Cloud Apps 的UEBA的原生整合來對 Azure 活動日誌執行異常偵測。

封鎖暴力攻擊

Defender for Cloud 可限制遭受暴力攻擊的風險。透過減少對VM ports的存取，使用just-in-time VM access，可以透過防止不必要的存取來強化網路。可以在選定的ports上設定安全存取政策，僅允許授權使用者、允許的來源 IP 位址範圍或 IP 位址，並在有限的時間內進行存取。