你在使用自己的电脑的时候，作为安全防护你可能直接装个杀毒软件，或者什么xx管家之类的，那么你是否有想过，如果我有一套云服务之后，我应该如何进行安全防护呢？本文带你了解在 Azure 云中的安全防护体系：Microsoft Defender for Cloud。

前言

随着云计算技术的快速发展，企业和组织越来越多地将业务和数据迁移到云端。然而，这也带来了新的安全挑战，因为云环境中的工作负载和数据面临着各种潜在的威胁和风险。为了帮助企业有效应对这些安全威胁，Microsoft 推出了一款强大的云安全解决方案——Microsoft Defender for Cloud。

本文将带你深入了解 Microsoft Defender for Cloud，探索其功能、工作原理和架构。首先，我们将对 Microsoft Defender for Cloud 进行概述，介绍其云安全态势管理和工作负载保护功能。接着，我们将深入探讨 Microsoft Defender for Cloud 的工作原理，以及它是如何保护云环境中的工作负载和数据的。最后，我们将对 Microsoft Defender for Cloud 的整体架构进行详细剖析，帮助你更好地理解其在云安全领域的重要性和作用。

通过阅读本文，你将对 Microsoft Defender for Cloud 的核心功能和工作原理有一个全面的了解，为你在云安全领域的决策和实践提供有力支持。

一、什么是 Microsoft Defender for Cloud？

Microsoft Defender for Cloud 是一个云原生应用程序保护平台 (CNAPP)，其中包含一组旨在保护基于云的应用程序免受各种网络威胁和漏洞影响的安全措施和做法。 Defender for Cloud 结合了以下功能：

• 开发安全操作 (DevSecOps) 解决方案，可跨多云和多管道环境统一代码级别的安全管理
• 云安全态势管理 (CSPM) 解决方案，提供为防止违规而可以采取的措施
• 云工作负载保护平台 (CWPP)，为服务器、容器、存储、数据库和其他工作负载提供特定保护

使用人类能够听懂的语言来解释一下 Microsoft Defender for Cloud 能干啥用，方便你理解：

当你在使用云环境（如 Azure、AWS、Google Cloud）时，Microsoft Defender for Cloud 是一种可以保护你的云应用程序、数据和基础架构的安全解决方案。它可以帮助你发现和阻止恶意活动，并提供实时监控和安全响应功能。它还提供最新的安全情报和洞察力，可以扫描软件系统漏洞以及给出相关的建议。总而言之，Microsoft Defender for Cloud 是为了保护你的云环境免受各种安全威胁而设计的工具。

就如文章开篇博主讲的一样，你可以简单理解为：Microsoft Defender for Cloud 是云中的安全杀毒软件。

1.1 Microsoft Defender for Cloud 的概述页面

Microsoft Defender for Cloud 的概述页面是一个交互式仪表板，它提供了混合云工作负载安全状况的统一视图。 此外，它还显示安全警报、覆盖范围信息等等。

你可以选择该页上的任何元素以获取更多详细信息。

1.2 Defender for Cloud 中的云安全态势管理（CSPM ）

CSPM 提供云基础设施中威胁的可见性，并提供有关采取哪些补救措施来降低风险的指导。

Defender for Cloud 是来自 Microsoft Azure 的高级安全解决方案，它考虑了 CSPM 范围，为云资源提供广泛的安全特性和控制。借助Defender for Cloud 企业可以全面了解其资产，识别和解决漏洞，并持续监控资源的安全状态。Defender for Cloud提供的一些关键功能包括:

• 配置分析：Defender for Cloud 检查云资源配置中的不兼容设置，并提供修复这些设置的建议。这确保了资源的配置是安全的，并且满足了安全标准。

• 漏洞识别：解决方案持续扫描云资源，寻找已知漏洞。提出了建议和优先事项，以解决这些脆弱性并减少被潜在威胁利用的风险。

• 持续监控：Defender for Cloud 持续监控云资源的安全状态，并在发生不安全配置或可疑活动时提供实时警报。这使组织能够迅速响应威胁并维护安全的云环境。

• 自动化和编排：Defender for Cloud 自动化了管理云环境安全状态的大部分过程，允许组织节省宝贵的时间和资源。

Defender for Cloud 免费提供核心 CSPM 功能。这些功能自动启用在任何订阅或帐户上，已登上 Defender for Cloud。如果认为有必要，可以通过激活计划防御 CSPM 来扩展功能集。

完整的比较可以参考微软的官方文档，点击这里。

1.3 Defender for Cloud 中的工作负载保护（CWP）

提供有关异常行为的警报和警告的警报引擎。在 Defender for Cloud 中，Defender 生成的警报因所采用的 Defender 订阅计划不同而不同。Insight 的网络安全顾问可以为组织提供最佳防御计划的建议。

除了保护 Microsoft Azure 云中的资源外，Defender for Cloud 还可以保护在 Amazon Web Services 和 Google Cloud 中运行的工作负载。

通过特定的 Microsoft Defender 计划为订阅中存在的不同类型的资源以及混合和多云环境提供各种保护服务:

• Microsoft Defender for Servers
• Microsoft Defender for Storage
• Microsoft Defender for SQL
• Microsoft Defender for Containers
• Microsoft Defender for App Service
• Microsoft Defender for Key Vault
• Microsoft Defender for Resource Manager
• Microsoft Defender for DNS
• Microsoft Defender for open-source relational databases
• Microsoft Defender for Azure Cosmos DB (Preview)

在工作负载保护仪表板中，可以看到很多 CWP 的各种信息，如下图所示：

在上述仪表板中包含以下四个部分：

1. Microsoft Defender 覆盖范围：在这里，你可以查看订阅中有资格受 Defender for Cloud 保护的资源类型。 只要相关，也可以在此处升级。 如果要升级所有可能的符合条件的资源，请选择“升级全部”。

2. 安全警报：Defender for Cloud 在你的环境的任何区域中检测到威胁时会生成警报。 这些警报会描述受影响资源的详细信息、建议的修正步骤，在某些情况下还会提供触发逻辑应用作为响应的选项。 在该图中选择任意位置将打开“安全警报”页面。

3. 高级保护：Defender for Cloud 包含许多高级威胁防护功能，这些功能适用于虚拟机、SQL 数据库、容器、Web 应用程序、网络，等等。 在此高级保护部分中，可以查看所选订阅中每种保护的资源状态。 选择其中任何一个可直接转到该保护类型的配置区域。

4. 洞察：此滚动窗格包含新闻、建议阅读内容和高优先级警报，可以让 Defender for Cloud 了解与你和你的订阅相关的严重安全问题。 不管是通过漏洞分析工具在 VM 上发现的高严重性 CVE 列表，还是 Defender for Cloud 团队成员提供的新博客文章，都可以在此处的“见解”面板中找到。

二、Microsoft Defender for Cloud 的工作原理与架构

2.1 Microsoft Defender for Cloud 的工作原理

Microsoft Defender for Cloud 的工作原理是将安全策略和国际法规分配给云环境中的工作负载和资源，并应用这些策略或法规来查看这些法规和策略是否已经应用于工作负载和资源中，此过程会生成安全分数建议，以改进安全性并发现 Azure 和 非 Azure 云解决方案的可能威胁。此外 Microsoft Defender for Cloud 已经制定了一些国际法规，用于衡量工作负载或者资源的安全程度，此外，它还会生成安全分数和建议，以提高安全性并发现可能的威胁，以便能够使我们致力于提高环境的安全性。

2.2 Microsoft Defender for Cloud 的架构

为了更好地了解 Defender for Cloud 如何与不同资源进行通信，了解其核心架构非常重要。下图显示了 Defender for Cloud 架构及其与外部组件的交互方式。

如上图所示，如果你查看代表 Defender for Cloud 的核心图表，你会看到三个主要的方框：建议（Recommendations）、警报（Alerts）和持续导出（Continuous Export）。建议是CSPM场景的重要组成部分，通过解决这些安全建议，你可以增强安全姿态。警报包含在识别到可疑活动时触发的安全警报。警报是基于各种威胁检测而触发的，当你启用 Defender for Cloud 计划时，这些检测也会启用。通过持续导出功能，建议和警报可以流式传输到你选择的 Log Analytics 工作区，它们也可以流式传输到 Event Hub，以供第三方安全信息和事件管理（SIEM）系统使用。

建议还可以基于与其他云提供商（如 AWS 和 GCP）的连接而接收，你将在下一章中学习如何加入这些提供商。另一种摄取外部建议的方式是通过第三方合作伙伴，它们通常通过应用程序接口（API）发送这些建议。

Defender for Cloud 使用 Log Analytics 代理，该代理配置为将信息发送到特定的 Log Analytics 工作区。无论虚拟机的位置（在 Azure 中还是其他地方），代理都必须始终安装，以便 Defender for Cloud 对机器的安全事件有更多的可见性。在Windows系统中，Defender for Cloud 会安装 Log Analytics 代理。除了 Linux 的代理之外，Defender for Cloud 还会创建 omsagent 守护进程，该守护进程在 omsagent 帐户下运行。该帐户在代理安装过程中自动创建。

文末总结

Microsoft Defender for Cloud 是一款功能强大的云安全解决方案，通过云安全态势管理和工作负载保护等功能，为企业和组织提供了全面的云安全保护。本文深入介绍了它的工作原理和架构，展示了它在云安全领域的重要性和作用。

通过先进的机器学习和人工智能技术，Microsoft Defender for Cloud 实现了高效的威胁检测和实时响应，保护云端工作负载和数据免受各种安全威胁的侵害。它的多层次防御机制和完整的云安全防护体系，为用户提供了可靠的安全保障。

无论你是企业安全专家还是普通用户，Microsoft Defender for Cloud 都能帮助你保护云端环境的安全。借助该解决方案，你可以放心地将业务和数据迁移到云端，并有效应对日益增长的安全威胁和风险。