重要
注意:根据世纪互联发布的公告,2026 年 8 月 18 日,中国地区的 Azure 中将正式停用所有 Microsoft Defender for Cloud 功能。
Internet 曝光分析是一项关键功能,可帮助组织确定哪些云资源会有意或无意地向公共 Internet 公开,并根据风险和风险范围确定修正的优先级。
Defender for Cloud 使用互联网暴露程度来确定错误配置的风险级别,从而在风险态势评估领域获得高质量的态势洞察,以及在 Defender for Cloud 态势中的信号优先级排序。
Defender for Cloud 如何识别互联网暴露
Defender for Cloud 通过分析多个因素来确定资源是否暴露于互联网。
- 控制平面配置(例如公共 IP、负载均衡器)
- 网络路径可访问性(分析路由、安全性和防火墙规则)
检测 Internet 暴露可以像检查虚拟机(VM)是否具有公共 IP 地址一样简单。 但是,这个过程可能更为复杂。 Defender for Cloud 会尝试在复杂的多云体系结构中定位暴露于 Internet 的资源。 例如,VM 可能不会直接暴露于 Internet,而是位于负载均衡器后面,负载均衡器会在多个服务器之间分布流量,以确保不会出现单个服务器不堪重负的情况。
下表列出了 Microsoft Defender for Cloud 对 Internet 风险评估的资源:
| 类别 | 服务/资源 |
|---|---|
| 虚拟机 | Azure VM |
| 虚拟机群集 | Azure 虚拟机规模集 |
| 数据库 (DB) | Azure SQL Azure PostgreSQL Azure MySQL Azure SQL 托管实例 Azure MariaDB Azure Cosmos DB Azure Synapse |
| 存储 | Azure 存储 |
| AI | Azure OpenAI 服务 Azure AI 服务 Azure 认知搜索 |
| 容器 | Azure Kubernetes 服务 (AKS) |
| API | Azure API 管理操作 |
下表列出了 Defender for Cloud 用于评估互联网曝光的网络组件:
| 类别 | 服务/资源 |
|---|---|
| 蔚蓝 | 应用程序网关 负载均衡器 Azure 防火墙 网络安全组 vNet/Subnets |
Internet 暴露宽度
注释
Internet 曝光宽度(包括风险因素)仅适用于包括 Azure VM/VMSS 计算实例的计算实例。
互联网暴露宽度表示基于资源(例如虚拟机)在公共互联网中暴露程度的风险。 它在帮助安全团队理解资源是否暴露给互联网及其暴露的广度或窄度方面起着关键作用,从而影响攻击路径和安全建议中提供的安全洞察的重要性和优先级。
工作原理
Defender for Cloud 会自动分析面向 Internet 的资源,并根据网络规则将它们标记为 公开范围 或 窄曝光 。 输出会被标记为宽泛暴露和
- 涉及广泛公开资源的攻击路径现在在标题中明确指明了这一点,例如“公开的 Internet 的虚拟机对存储帐户具有很高的权限”。
- 然后,计算的曝光宽度用于确定攻击路径生成和基于风险的建议,通过向以下体验添加特定标签,帮助你正确确定调查结果的严重性。
- Cloud Security Explorer 上提供了新的“曝光宽度”见解,允许用户查询广泛公开的所有受支持的资源。
如何查看暴露于互联网的资源
Defender for Cloud 提供了几种不同的方法来查看面向 Internet 的资源。
- 建议 - Defender for Cloud 会根据在 Internet 上的暴露情况对建议进行优先级排序。