Kolik stoji Microsoft Defender for Cloud CSPM?

Zakladni CSPM (Secure Score, zakladni doporuceni) je zdarma pro vsechny Azure subskripce. Defender CSPM plan stoji priblizne $5/server/mesic a pridava analyzu utocnych cest, cloud security graf, agentless scanning a governance pravidla. Pro vetsinu organizaci se placeny CSPM plan vyplati pri sprave 20+ serveru nebo kdyz potrebujete regulatorni compliance dashboardy.

Jaky je rozdil mezi Secure Score a regulatory compliance score v Defender for Cloud?

Secure Score meri celkovy bezpecnostni stav vuci best practices Microsoftu -- je to jedno cislo 0-100 % napric vsemi doporucenimi. Regulatory compliance score sleduje soulad s konkretnimmi frameworky (CIS, NIST 800-53, ISO 27001, PCI DSS) s mapovanymi kontrolami. Vysoke Secure Score nezarucuje compliance a compliance score muze byt vysoke i pri chybejicich kritickych nemapovanych doporucenych.

Podporuje Defender for Cloud CSPM multi-cloud prostredi (AWS, GCP)?

Ano. Defender CSPM se dokaze pripojit k AWS uctum a GCP projektum pres automaticky provisionovane konektory. Poskytuje jednotne Secure Score, cross-cloud analyzu utocnych cest a sledovani regulatorni compliance napric vsemi tremi cloudy z jednoho Azure portal dashboardu. AWS konektor pouziva CloudFormation StackSets; GCP pouziva Workload Identity Federation.

Jak prioritizovat, ktera doporuceni Defender for Cloud resit nejdriv?

Zamerite se nejprve na doporuceni, ktera se objevuji v utocnych cestach -- to jsou ta, ktera utocnik muze retezit pro realne zneuziti. Pak resite High severity doporuceni ovlivnujici internet-facing zdroje. Pouzijte governance rules pro prirazeni vlastniku a deadline. Low severity informacni doporuceni ignorujte, dokud nedosahujete 80 % Secure Score.

Microsoft Defender for Cloud: Pruvodce nastavenim CSPM

Od ledna 2025 je NIS2 v platnosti a ceske firmy v regulovanych sektorech musi prokazat, ze maji kybernetickou bezpecnost pod kontrolou. Jeden z nejcastejsich dotazu, ktere od klientu slysim: "Jak dokazeme auditorovi, ze nase Azure prostredi je bezpecne?" Odpoved zacina u CSPM -- Cloud Security Posture Management -- a konkretne u Microsoft Defender for Cloud, ktery vam dava meritelny, opakovatelny pohled na bezpecnostni stav cele infrastruktury.

Co se zmenilo v roce 2025

Defender for Cloud prosел za posledni rok vyraznym vyvojem. Klicove zmeny, ktere maji primy dopad na kazdodenni spravu:

Analyza utocnych cest je nově soucasti placeneho planu Defender CSPM. Mapuje, jak by se utocnik mohl dostat od verejne pristupneho zdroje k citlivym datum -- pres misconfiguraci, spravovane identity a sitove propojeni.
Agentless scanning pro VM a kontejnerove registry. Uz neni nutne instalovat agenta na kazdy server jen pro zjisteni zranitelnosti. Agent stale ma smysl pro real-time detekci, ale onboarding je dramaticky jednodussi.
Secure Score rozsiren na 200+ doporuceni vcetne multi-cloud podpory (AWS, GCP). Z jednoho portalu vidite stav vsech prostred.
Regulatorni compliance dashboardy primo obsahuji mapovani na NIS2, DORA, PCI DSS 4.0 a ISO 27001:2022. Pro ceske firmy podlehajici zaroven NIS2 i DORA je mozne spustit obe hodnoceni z jedne iniciativy.
Integrace s Microsoft Copilot for Security umoznuje prirozene dotazy typu "Ukaz mi vsechny storage accounty s verejnym pristupem v produkci."

Casova narocnost: 1-2 dny pro zakladni zapnuti CSPM, 4-8 hodin pro vlastni secure score politiky Naklady: Defender CSPM: ~$15/server/mesic (Foundational CSPM je zdarma), Defender for Servers P2: ~$15/server/mesic Predpoklady: Azure subscription s roli Security Admin, Log Analytics workspace, Microsoft Defender for Cloud povoleny na urovni subscription

Proc je CSPM klicovy

Kdyz nasadite novou Azure Landing Zone a poprve spustite Defender for Cloud assessment, Secure Score typicky dopadne kolem 34 %. To neni proto, ze by Landing Zone byla spatne navrzena. Je to proto, ze vychozi nastaveni Azure jsou benevolentni -- storage accounty povoluji pristup pres sdilene klice, NSG nejsou prirazeny ke kazdemu subnetu, diagnosticke logy se nepreposillaji do centralniho workspace a JIT pristup k VM neni zapnuty.

Vsechny tyto polozky se pocitaji do Secure Score. A kdyz auditor z NUKIB nebo externiho auditu vidi cislo pod 60 %, je to cervena vlajka.

Na jednom klientskem prostredi jsme behem jednoho tydenniho sprintu posunuli skore z 34 % na 87 %. Zbyvajicich 13 % byly dokumentovane vyjimky -- legacy workloady bez podpory TLS 1.2 a appliance tretich stran vyzadujici verejnou IP.

Implementace: Konfigurace CSPM

Zapnuti Defender planu na urovni subscription

Zakladni CSPM (Foundational) je zdarma a dava vam Secure Score plus zakladni doporuceni. Placeny Defender CSPM plan pridava analyzu utocnych cest, agentless scanning a cloud security graph.

# Zapnuti Defender CSPM (placeny plan s analyzou utocnych cest)
az security pricing create \
  --name CloudPosture \
  --tier Standard
 
# Zapnuti Defender for Servers Plan 2
az security pricing create \
  --name VirtualMachines \
  --tier Standard \
  --subplan P2
 
# Zapnuti Defender for Storage
az security pricing create \
  --name StorageAccounts \
  --tier Standard
 
# Overeni zapnutych planu
az security pricing list \
  --query "[?pricingTier=='Standard'].{Nazev:name, Tier:pricingTier, SubPlan:subPlan}" \
  -o table

Auto-provisioning pro Log Analytics

Bez auto-provisioningu jsou nove VM neviditelne pro Defender for Cloud prvnich par hodin po nasazeni. To je presne okno, ktere utocnik vyuzije.

# Zapnuti automatickeho nasazeni agenta
az security auto-provisioning-setting update \
  --name default \
  --auto-provision on
 
# Nastaveni dedickovaneho workspace pro bezpecnostni data
az security workspace-setting create \
  --name default \
  --target-workspace "/subscriptions/a1b2c3d4-e5f6-7890-abcd-ef1234567890/resourceGroups/asc-alerts-rg/providers/Microsoft.OperationalInsights/workspaces/log-security-prod-westeurope"

Notifikace pro kriticke alerty

Alert, ktery nikdo nevidi, je horsi nez zadny alert. Nastavte email notifikace pro kriticke a vysoke severity.

# Konfigurace bezpecnostniho kontaktu
az security contact create \
  --name "default" \
  --email "bezpecnost@firma.cz" \
  --phone "+420123456789" \
  --alert-notifications on \
  --alerts-admins on

Vlastni Secure Score iniciativa

Vestavena iniciativa pokryva obecnou bezpecnostni hygienu. Pro specifické pozadavky vasi organizace -- napr. vynuceni tagovaci konvence nebo private endpoints na vsech PaaS sluzbách -- potrebujete vlastni iniciativu.

// Vlastni policy iniciativa pro organizacni CSPM kontroly
resource customInitiative 'Microsoft.Authorization/policySetDefinitions@2021-06-01' = {
  name: 'cspm-custom-org-kontroly'
  properties: {
    displayName: 'Organizacni CSPM Baseline Kontroly'
    description: 'Vlastni secure score kontroly nad ramec Microsoft vychozich'
    policyType: 'Custom'
    metadata: {
      category: 'Security Center'
      securityCenter: {
        RemediationDescription: 'Aplikujte organizacni baseline bezpecnostni kontroly'
        Severity: 'High'
      }
    }
    policyDefinitions: [
      {
        // Vyzadovat private endpoint na vsech SQL serverech
        policyDefinitionId: '/providers/Microsoft.Authorization/policyDefinitions/7698e800-9299-47a6-b3b6-5a0fee576ebb'
        policyDefinitionReferenceId: 'sqlPrivateEndpoint'
      }
      {
        // Vyzadovat TLS 1.2 na vsech storage accountech
        policyDefinitionId: '/providers/Microsoft.Authorization/policyDefinitions/fe83a0eb-a853-422d-abc7-2a9a5718de29'
        policyDefinitionReferenceId: 'storageTls12'
      }
    ]
  }
}

Dotaz na compliance stav pres Azure Resource Graph

Tento dotaz pouzivam pro tydeni reporting. Je rychlejsi nez cekat, az se portal renderuje, a dava cisla, ktera muzete primo vlozit do zpravy pro management.

# Azure Resource Graph: souhrn compliance stavu
az graph query -q "
  SecurityResources
  | where type == 'microsoft.security/assessments'
  | extend stavHodnoceni = properties.status.code
  | summarize
      Zdrave = countif(stavHodnoceni == 'Healthy'),
      Nezdrave = countif(stavHodnoceni == 'Unhealthy'),
      Neaplikovatelne = countif(stavHodnoceni == 'NotApplicable')
  | extend Celkem = Zdrave + Nezdrave + Neaplikovatelne
  | extend ProcentoZdravi = round(100.0 * Zdrave / Celkem, 1)
" --first 5

Vysledky z praxe

Po zapnuti Defender CSPM na Landing Zone se 4 subscription a priblizne 120 zdroji, tady je skutecny vystup Secure Score z CLI:

$ az security secure-score list --query "[0]" -o yaml
displayName: ASC score
currentScore: 43.5
maxScore: 50
percentageScore: 0.87
weight: 50

Srovnani nakladu free vs. placeny plan na zaklade reálnych faktur:

Funkce	Foundational (zdarma)	Defender CSPM ($15/server/mes.)
Secure Score	Ano	Ano
Bezpecnostni doporuceni	Zakladni podmnozina	Plna sada 200+
Analyza utocnych cest	Ne	Ano
Cloud security graph	Ne	Ano
Agentless scanning VM	Ne	Ano
Regulatorni compliance	Omezeny	NIS2, DORA, PCI DSS 4.0, ISO 27001
Data-aware posture	Ne	Detekce citlivych dat

Pro 30 serveru vychazi Defender CSPM plan na priblizne $450/mesic. Analyza utocnych cest samotna ospravedlnila tento naklad -- identifikovala retezec od verejne pristupne App Service (se znamym CVE v zavislosti) pres managed identity s roli Contributor na produkcnim Key Vaultu. To je typ nalezu, ktery staticka policy kontrola nikdy neodhali.

Klicove zavery

Zacnete s bezplatnym Foundational CSPM pro zakladni Secure Score. Placeny plan zapnete, az potrebujete analyzu utocnych cest nebo compliance dashboardy pro NIS2/DORA.
Secure Score pod 60 % je cervena vlajka. Pristupujte k tomu jako k padajicimu buildu -- nedeployujte do produkce, dokud neopravite.
Auto-provisioning je nutnost. Kazdy server bez agenta je slepé misto na hodiny az dny.
Vlastni iniciativy rozsiri Secure Score o kontroly specificke pro vasi organizaci -- tagování, private endpoints, sitova segmentace.
Dotazujte se pres Resource Graph, ne pres portal. Pro pravidelny reporting potrebujete opakovatelny, scriptovatelny dotaz.

Pro sirsi pohled na to, jak CSPM zapada do NIS2 compliance, podivejte se na nas NIS2 Azure compliance checklist -- evidence z CSPM je jednou z klicovych technickych kontrol, ktere auditori vyzaduji. Pokud potrebujete pomoc s hodnocenim bezpecnostniho stavu nebo nasazenim Defender for Cloud, podivejte se na nase sluzby cloudoveho zabezpeceni.

Co se zmenilo v roce 2025

Defender for Cloud prosел za posledni rok vyraznym vyvojem. Klicove zmeny, ktere maji primy dopad na kazdodenni spravu:

Analyza utocnych cest je nově soucasti placeneho planu Defender CSPM. Mapuje, jak by se utocnik mohl dostat od verejne pristupneho zdroje k citlivym datum -- pres misconfiguraci, spravovane identity a sitove propojeni.
Agentless scanning pro VM a kontejnerove registry. Uz neni nutne instalovat agenta na kazdy server jen pro zjisteni zranitelnosti. Agent stale ma smysl pro real-time detekci, ale onboarding je dramaticky jednodussi.
Secure Score rozsiren na 200+ doporuceni vcetne multi-cloud podpory (AWS, GCP). Z jednoho portalu vidite stav vsech prostred.
Regulatorni compliance dashboardy primo obsahuji mapovani na NIS2, DORA, PCI DSS 4.0 a ISO 27001:2022. Pro ceske firmy podlehajici zaroven NIS2 i DORA je mozne spustit obe hodnoceni z jedne iniciativy.
Integrace s Microsoft Copilot for Security umoznuje prirozene dotazy typu "Ukaz mi vsechny storage accounty s verejnym pristupem v produkci."

Casova narocnost: 1-2 dny pro zakladni zapnuti CSPM, 4-8 hodin pro vlastni secure score politiky Naklady: Defender CSPM: ~$15/server/mesic (Foundational CSPM je zdarma), Defender for Servers P2: ~$15/server/mesic Predpoklady: Azure subscription s roli Security Admin, Log Analytics workspace, Microsoft Defender for Cloud povoleny na urovni subscription

Proc je CSPM klicovy

Vsechny tyto polozky se pocitaji do Secure Score. A kdyz auditor z NUKIB nebo externiho auditu vidi cislo pod 60 %, je to cervena vlajka.

Implementace: Konfigurace CSPM

Zapnuti Defender planu na urovni subscription

Zakladni CSPM (Foundational) je zdarma a dava vam Secure Score plus zakladni doporuceni. Placeny Defender CSPM plan pridava analyzu utocnych cest, agentless scanning a cloud security graph.

# Zapnuti Defender CSPM (placeny plan s analyzou utocnych cest)
az security pricing create \
  --name CloudPosture \
  --tier Standard
 
# Zapnuti Defender for Servers Plan 2
az security pricing create \
  --name VirtualMachines \
  --tier Standard \
  --subplan P2
 
# Zapnuti Defender for Storage
az security pricing create \
  --name StorageAccounts \
  --tier Standard
 
# Overeni zapnutych planu
az security pricing list \
  --query "[?pricingTier=='Standard'].{Nazev:name, Tier:pricingTier, SubPlan:subPlan}" \
  -o table

Auto-provisioning pro Log Analytics

Bez auto-provisioningu jsou nove VM neviditelne pro Defender for Cloud prvnich par hodin po nasazeni. To je presne okno, ktere utocnik vyuzije.

# Zapnuti automatickeho nasazeni agenta
az security auto-provisioning-setting update \
  --name default \
  --auto-provision on
 
# Nastaveni dedickovaneho workspace pro bezpecnostni data
az security workspace-setting create \
  --name default \
  --target-workspace "/subscriptions/a1b2c3d4-e5f6-7890-abcd-ef1234567890/resourceGroups/asc-alerts-rg/providers/Microsoft.OperationalInsights/workspaces/log-security-prod-westeurope"

Notifikace pro kriticke alerty

Alert, ktery nikdo nevidi, je horsi nez zadny alert. Nastavte email notifikace pro kriticke a vysoke severity.

# Konfigurace bezpecnostniho kontaktu
az security contact create \
  --name "default" \
  --email "bezpecnost@firma.cz" \
  --phone "+420123456789" \
  --alert-notifications on \
  --alerts-admins on

Vlastni Secure Score iniciativa

// Vlastni policy iniciativa pro organizacni CSPM kontroly
resource customInitiative 'Microsoft.Authorization/policySetDefinitions@2021-06-01' = {
  name: 'cspm-custom-org-kontroly'
  properties: {
    displayName: 'Organizacni CSPM Baseline Kontroly'
    description: 'Vlastni secure score kontroly nad ramec Microsoft vychozich'
    policyType: 'Custom'
    metadata: {
      category: 'Security Center'
      securityCenter: {
        RemediationDescription: 'Aplikujte organizacni baseline bezpecnostni kontroly'
        Severity: 'High'
      }
    }
    policyDefinitions: [
      {
        // Vyzadovat private endpoint na vsech SQL serverech
        policyDefinitionId: '/providers/Microsoft.Authorization/policyDefinitions/7698e800-9299-47a6-b3b6-5a0fee576ebb'
        policyDefinitionReferenceId: 'sqlPrivateEndpoint'
      }
      {
        // Vyzadovat TLS 1.2 na vsech storage accountech
        policyDefinitionId: '/providers/Microsoft.Authorization/policyDefinitions/fe83a0eb-a853-422d-abc7-2a9a5718de29'
        policyDefinitionReferenceId: 'storageTls12'
      }
    ]
  }
}

Dotaz na compliance stav pres Azure Resource Graph

Tento dotaz pouzivam pro tydeni reporting. Je rychlejsi nez cekat, az se portal renderuje, a dava cisla, ktera muzete primo vlozit do zpravy pro management.

# Azure Resource Graph: souhrn compliance stavu
az graph query -q "
  SecurityResources
  | where type == 'microsoft.security/assessments'
  | extend stavHodnoceni = properties.status.code
  | summarize
      Zdrave = countif(stavHodnoceni == 'Healthy'),
      Nezdrave = countif(stavHodnoceni == 'Unhealthy'),
      Neaplikovatelne = countif(stavHodnoceni == 'NotApplicable')
  | extend Celkem = Zdrave + Nezdrave + Neaplikovatelne
  | extend ProcentoZdravi = round(100.0 * Zdrave / Celkem, 1)
" --first 5

Vysledky z praxe

Po zapnuti Defender CSPM na Landing Zone se 4 subscription a priblizne 120 zdroji, tady je skutecny vystup Secure Score z CLI:

$ az security secure-score list --query "[0]" -o yaml
displayName: ASC score
currentScore: 43.5
maxScore: 50
percentageScore: 0.87
weight: 50

Srovnani nakladu free vs. placeny plan na zaklade reálnych faktur:

Funkce	Foundational (zdarma)	Defender CSPM ($15/server/mes.)
Secure Score	Ano	Ano
Bezpecnostni doporuceni	Zakladni podmnozina	Plna sada 200+
Analyza utocnych cest	Ne	Ano
Cloud security graph	Ne	Ano
Agentless scanning VM	Ne	Ano
Regulatorni compliance	Omezeny	NIS2, DORA, PCI DSS 4.0, ISO 27001
Data-aware posture	Ne	Detekce citlivych dat

Klicove zavery

Zacnete s bezplatnym Foundational CSPM pro zakladni Secure Score. Placeny plan zapnete, az potrebujete analyzu utocnych cest nebo compliance dashboardy pro NIS2/DORA.
Secure Score pod 60 % je cervena vlajka. Pristupujte k tomu jako k padajicimu buildu -- nedeployujte do produkce, dokud neopravite.
Auto-provisioning je nutnost. Kazdy server bez agenta je slepé misto na hodiny az dny.
Vlastni iniciativy rozsiri Secure Score o kontroly specificke pro vasi organizaci -- tagování, private endpoints, sitova segmentace.
Dotazujte se pres Resource Graph, ne pres portal. Pro pravidelny reporting potrebujete opakovatelny, scriptovatelny dotaz.

Microsoft Defender for Cloud: Pruvodce nastavenim CSPM

Co se zmenilo v roce 2025

Proc je CSPM klicovy

Implementace: Konfigurace CSPM

Zapnuti Defender planu na urovni subscription

Auto-provisioning pro Log Analytics

Notifikace pro kriticke alerty

Vlastni Secure Score iniciativa

Dotaz na compliance stav pres Azure Resource Graph

Vysledky z praxe

Klicove zavery

O autorovi

Nejcastejsi dotazy

NIS2 Azure compliance: Checklist pro architekty

Zero Trust v Azure: Navrh Conditional Access politik

Azure Landing Zone Governance: Policy ve velkém

Microsoft Defender for Cloud: Pruvodce nastavenim CSPM

Co se zmenilo v roce 2025

Proc je CSPM klicovy

Implementace: Konfigurace CSPM

Zapnuti Defender planu na urovni subscription

Auto-provisioning pro Log Analytics

Notifikace pro kriticke alerty

Vlastni Secure Score iniciativa

Dotaz na compliance stav pres Azure Resource Graph

Vysledky z praxe

Klicove zavery

O autorovi

Nejcastejsi dotazy

NIS2 Azure compliance: Checklist pro architekty

Zero Trust v Azure: Navrh Conditional Access politik

Azure Landing Zone Governance: Policy ve velkém

O autorovi

Nejcastejsi dotazy

Mohlo by vás zajímat

NIS2 Azure compliance: Checklist pro architekty

Zero Trust v Azure: Navrh Conditional Access politik

Azure Landing Zone Governance: Policy ve velkém

O autorovi

Nejcastejsi dotazy

Mohlo by vás zajímat

NIS2 Azure compliance: Checklist pro architekty

Zero Trust v Azure: Navrh Conditional Access politik

Azure Landing Zone Governance: Policy ve velkém