Cloud Security Posture Management (CSPM)

  • Articolo

Cloud Security Posture Management (CSPM) è uno dei pilastri principali di Microsoft Defender per il cloud. CSPM offre visibilità dettagliata sullo stato di sicurezza degli asset e dei carichi di lavoro e fornisce indicazioni sulla protezione avanzata per migliorare in modo efficiente ed efficace la postura di sicurezza.

Defender per il cloud valuta continuamente le risorse rispetto agli standard di sicurezza definiti per le sottoscrizioni di Azure, gli account AWS e i progetti di GCP. Defender per il cloud genera raccomandazioni sulla sicurezza in base a queste valutazioni.

Per impostazione predefinita, quando si abilita Defender per il cloud in una sottoscrizione di Azure, lo standard di conformità Microsoft Cloud Security Benchmark (MCSB) viene attivato. Fornisce raccomandazioni. Defender per il cloud offre un punteggio di sicurezza aggregato in base ad alcune raccomandazioni di MCSB. Più alto è il punteggio, più basso è il livello di rischio identificato.

Funzionalità di CSPM

Defender per il cloud fornisce le offerte CSPM seguenti:

  • CSPM di base: Defender per il cloud offre gratuitamente funzionalità CSPM multicloud fondamentali. Queste funzionalità vengono abilitate automaticamente per impostazione predefinita per le sottoscrizioni e gli account di cui è stato eseguito l'onboarding in Defender per il cloud.

  • Piano Defender Cloud Security Posture Management (CSPM): piano facoltativo a pagamento di Defender per CSPM (Cloud Security Posture Management) offre più funzionalità avanzate per la postura di sicurezza.

Disponibilità del piano

Altre informazioni sui prezzi di Defender CSPM.

La tabella seguente riepiloga ogni piano e la relativa disponibilità nel cloud.

Funzionalità CSPM di base Defender CSPM Disponibilità cloud
Raccomandazioni sulla sicurezza Azure, AWS, GCP, locale
Inventario degli asset Azure, AWS, GCP, locale
Punteggio di sicurezza Azure, AWS, GCP, locale
Visualizzazione e creazione di report dei dati con Workbooks di Azure Azure, AWS, GCP, locale
Esportazione dei dati Azure, AWS, GCP, locale
Automazione del flusso di lavoro Azure, AWS, GCP, locale
Strumenti per la correzione Azure, AWS, GCP, locale
Microsoft Cloud Security Benchmark Azure, AWS, GCP
Gestione della postura di sicurezza basata su IA - Azure, AWS
Analisi delle vulnerabilità delle macchine virtuali senza agente - Azure, AWS, GCP
Analisi dei segreti delle macchine virtuali senza agente - Azure, AWS, GCP
Analisi del percorso di attacco - Azure, AWS, GCP
Definizione delle priorità dei rischi - Azure, AWS, GCP
Ricerca di rischi con Security Explorer - Azure, AWS, GCP
Mapping da codice a cloud per i contenitori - GitHub, Azure DevOps
Mapping da codice a cloud per IaC - Azure DevOps
Annotazioni di richieste pull - GitHub, Azure DevOps
Analisi dell'esposizione a Internet - Azure, AWS, GCP
Gestione della superficie di attacco esterna - Azure, AWS, GCP
Gestione delle autorizzazioni (CIEM) - Azure, AWS, GCP
Valutazione della conformità alle normative - Azure, AWS, GCP
Integrazione di ServiceNow - Azure, AWS, GCP
Protezione degli asset critici - Azure, AWS, GCP
Governance per favorire la correzione su larga scala - Azure, AWS, GCP
Gestione della postura di sicurezza dei dati (DSPM), Analisi dei dati sensibili - Azure, AWS, GCP1
Individuazione senza agente per Kubernetes - Azure, AWS, GCP
Valutazione della vulnerabilità dei contenitori senza agente da codice a cloud - Azure, AWS, GCP

1: L'individuazione dei dati sensibili GCP supporta solo Archiviazione cloud.

Nota

A partire dal 7 marzo 2024,Defender CSPM deve essere abilitato per usufruire delle funzionalità di sicurezza DevOps premium che includono la contestualizzazione da codice a cloud che supporta Explorer sicurezza e i percorsi di attacco e le annotazioni delle richieste pull per i risultati della sicurezza Infrastruttura come codice. Per altre informazioni, vedere Supporto e prerequisiti per la sicurezza di DevOps.

Integrazioni

Microsoft Defender per il cloud include ora integrazioni predefinite che consentono di usare sistemi di terze parti per gestire e monitorare senza problemi ticket, eventi e interazioni con i clienti. È possibile eseguire il push di raccomandazioni a uno strumento di creazione di ticket di terze parti e assegnare la responsabilità a un team per la correzione.

L'integrazione semplifica il processo di risposta agli incidenti e migliora la possibilità di gestire gli incidenti di sicurezza. È possibile tenere traccia, classificare in ordine di priorità e risolvere gli incidenti di sicurezza in modo più efficace.

È possibile scegliere il sistema di creazione di ticket da integrare. Per l'anteprima, è supportata solo l'integrazione di ServiceNow. Per altre informazioni su come configurare l'integrazione di ServiceNow, vedere Integrare ServiceNow con Microsoft Defender per il cloud (anteprima).

Prezzi dei piani

  • Vedere la pagina dei prezzi di Defender per il cloud per informazioni sui prezzi di Defender CSPM.

  • Dal 7 marzo 2024, le funzionalità avanzate della postura di sicurezza di DevOps saranno disponibili solo tramite il piano a pagamento di Defender CSPM. La gestione gratuita della postura di sicurezza di base in Defender per il cloud continuerà a fornire una serie di raccomandazioni su Azure DevOps. Altre informazioni sulle Funzionalità di sicurezza di DevOps.

  • Per le sottoscrizioni che usano piani di Defender CSPM e Defender per contenitori, la valutazione della vulnerabilità gratuita viene calcolata in base alle analisi di immagini gratuite fornite tramite il piano Defender per contenitori, come riepilogato nella pagina dei prezzi di Microsoft Defender per il cloud.

  • Defender CSPM protegge tutti i carichi di lavoro multicloud, ma la fatturazione viene applicata solo a risorse specifiche. Le tabelle seguenti elencano le risorse fatturabili quando Defender CSPM è abilitato nelle sottoscrizioni di Azure, negli account AWS o nei progetti di GCP.

    Servizio di Azure Tipi di risorsa Esclusioni
    Calcolo Microsoft.Compute/virtualMachines
    Microsoft.Compute/virtualMachineScaleSets/virtualMachines
    Microsoft.ClassicCompute/virtualMachines    		 - Macchine virtuali deallocate
    - Macchine virtuali di Databricks
    Storage Microsoft.Storage/storageAccounts Account di archiviazione senza contenitori BLOB o condivisioni file
    DB Microsoft.Sql/servers
    Microsoft.DBforPostgreSQL/servers
    Microsoft.DBforMySQL/servers
    Microsoft.Sql/managedInstances
    Microsoft.DBforMariaDB/servers
    Microsoft.Synapse/workspaces    		 ---
    Servizio AWS Tipi di risorsa Esclusioni
    Calcolo Istanze di EC2 Macchine virtuali deallocate
    Storage Bucket S3 ---
    DB Istanze di Servizi Desktop remoto ---
    Servizio GCP Tipi di risorsa Esclusioni
    Calcolo 1. Istanze di Google Compute
    2. Gruppo di istanze di Google    		 Istanze con stati non in esecuzione
    Storage Bucket di archiviazione - Bucket da classi: 'nearline', 'coldline', 'archive'
    - Bucket provenienti da aree diverse dalle seguenti: europe-west1, us-east1, us-west1, us-central1, us-east4, asia-south1, northamerica-northeast1
    DB Istanze di SQL cloud ---

Supporto cloud di Azure

Per la copertura del cloud commerciale e nazionale, esaminare le funzionalità supportate negli ambienti cloud di Azure.

Supporto per il tipo di risorsa in AWS e GCP

Per il supporto multicloud dei tipi di risorse (o dei servizi) nel livello CSPM multicloud di base, vedere la tabella di tipi di risorse e servizi multicloud per AWS e GCP.

Passaggi successivi