Come migliorare le security posture adottando Azure Security Center

L’adozione ottimale di soluzioni cloud, utile per accelerare la trasformazione digitale delle imprese, deve prevedere un processo in grado di assicurare e mantenere un elevato grado di sicurezza delle proprie risorse IT, indipendentemente dai modelli di deployment implementati. Disporre di un unico sistema per la gestione della sicurezza dell’infrastruttura, in grado di rafforzare le security posture del proprio ambiente e di fornire una protezione avanzata dalle minacce per i carichi di lavoro, ovunque essi risiedano, diventa un elemento indispensabile. La soluzione Azure Security Center consente di raggiungere questi obiettivi ed è in grado di affrontare le principali sfide in ambito sicurezza. In questo articolo vengono riportate le caratteristiche della soluzione che consentono di migliorare e di controllare gli aspetti legati alla sicurezza dell’ambiente IT.

Le sfide della sicurezza nel cloud

Tra le principali sfide che si devono affrontare in ambito sicurezza adottando soluzioni cloud troviamo:

• Carichi di lavoro sempre in rapida evoluzione. Questo aspetto è certamente un’arma a doppio taglio del cloud in quanto da un lato, gli utenti finali hanno la possibilità di ottenere di più dalle soluzioni, dall’altro diventa complesso garantire che i servizi in continua evoluzione siano all’altezza dei propri standard e che seguano tutte le best practice di sicurezza.
• Attacchi sempre più sofisticati. Indipendentemente da dove sono in esecuzione i propri carichi di lavoro, gli attacchi di sicurezza adottano tecniche sofisticate ed avanzate che richiedono di implementare procedure affidabili per contrastare la loro efficacia.
• Risorse e competenze in ambito sicurezza non sempre all’altezza per far fronte agli alert di sicurezza ed assicurare che gli ambienti siano protetti. La sicurezza è un fronte in continua evoluzione e rimanere aggiornati è una sfida costante e difficile da raggiungere.

Azure Security Center è in grado di rispondere in modo efficace alle sfide sopra elencate consentendo di prevenire, rilevare e far fronte alle minacce di sicurezza che interessano le risorse Azure e i workloads in ambienti ibridi e multicloud. Il tutto viene eseguito alla velocità del cloud, in quanto la soluzione è totalmente integrata in modo nativo nella piattaforma Azure ed è in grado di garantire un provisioning semplice ed automatico.

I pilastri della sicurezza contemplati da Azure Security Center

Le funzionalità di Azure Security Center (ASC) sono in grado di sostenere due grandi pilastri della sicurezza del cloud:

• Cloud Security Posture Management (CSPM): ASC è disponibile gratuitamente per tutte le sottoscrizioni Azure. L’abilitazione avviene nel momento in cui si visita per la prima volta la dashboard di ASC nel portale di Azure oppure abilitandolo a livello di codice tramite API. In questa modalità (Azure Defender OFF) vengono offerte funzionalità relative all’ambito CSPM, tra le quali:
  • Un assessment continuo che riporta delle raccomandazioni relative alla sicurezza dell’ambiente Azure. ASC scopre continuamente nuove risorse che vengono distribuite e valuta se sono configurate in base alle best practice di sicurezza. In caso contrario, le risorse vengono contrassegnate e si ottiene un elenco prioritario di consigli relativi a ciò che è opportuno correggere per ottenere la loro protezione. Questo elenco di raccomandazioni è preso e supportato da Azure Security Benchmark, il set di linee guida specifico per Azure creato da Microsoft, che contiene le best practice di sicurezza e di conformità basate su framework comuni. Questo benchmark si basa sui controlli del Center for Internet Security (CIS) e del National Institute of Standards and Technology (NIST), con particolare attenzione alla sicurezza incentrata sul cloud.
  • L’assegnazione di un punteggio globale al proprio ambiente, che permette di valutare il profilo di rischio e di agire per intraprendere delle azioni di remediation.

• Cloud workload protection (CWP): Azure Defender è la piattaforma CWP integrata in ASC che offre una protezione avanzata ed intelligente delle risorse e dei carichi di lavoro che risiedono in Azure ed in ambienti ibridi e multicloud. L’abilitazione di Azure Defender offre una gamma di funzionalità di sicurezza aggiuntive come descritto nei paragrafi seguenti.

Quali tipi di risorse si possono proteggere con Azure Defender?

Abilitando Azure Defender vengono estese le funzionalità della modalità gratuita, anche ai workloads in esecuzione in cloud privati, presso altri cloud pubblici e in ambienti ibridi, fornendo una gestione globale e una protezione unificata.

Tra le principali funzionalità di Azure Defender troviamo:

• Microsoft Defender for Endpoint. ASC si integra con Microsoft Defender for Endpoint per fornire funzionalità complete di Endpoint Detection and Response (EDR). Grazie a questa integrazione è possibile usufruire delle seguenti funzionalità:
  • Onboarding automatizzato: attivata l’integrazione viene abilitato automaticamente il sensore di Microsoft Defender for Endpoint per i server monitorati da Security Center, ad eccezione dei sistemi Linux e Windows Server 2019, per i quali è necessario compiere delle configurazioni specifiche. I sistemi server monitorati da ASC saranno presenti anche nella console di Microsoft Defender for Endpoint.
  • Nella console di ASC saranno visualizzati anche gli alerts di Microsoft Defender for Endpoint, in modo da mantenere tutte le segnalazioni in un’unica console centralizzata.

• Vulnerability Assessment per macchine virtuali e container registries. La scansione delle vulnerabilità inclusa in ASC viene effettuata tramite la soluzione Qualys, la quale risulta essere riconosciuta come leader per identificare in tempo reale eventuali vulnerabilità presenti sui sistemi. Per usufruire di questa funzionalità non è richiesta nessuna licenza aggiuntiva.

• Protezione hybrid cloud e multicloud. Grazie al fatto che Azure Defender for Servers sfrutta Azure Arc è possibile semplificare il processo di onboarding, ed abilitare la protezione delle macchine virtuali in esecuzione in ambienti AWS, GCP oppure in cloud ibridi. Il tutto include diverse funzionalità, tra le quali, il provisioning automatico degli agenti, la gestione delle policy, delle vulnerabilità e l’EDR (Endpoint Detection and Response) integrato. Inoltre, grazie al supporto multicloud di Azure Defender for SQL è possibile monitorare costantemente le implementazioni di SQL Server per rilevare minacce e vulnerabilità note. Anche queste funzionalità sono fruibili per SQL Server attivati in ambiente on-premises, su macchine virtuali in Azure ed anche in deployment multicloud, contemplando Amazon Web Services (AWS) e Google Cloud Platform (GCP).

• Access and application controls (AAC). Si tratta di una soluzione in grado di controllare quali applicazioni vengono eseguite sui sistemi, grazie alla quale è possibile effettuare le seguenti operazioni:
  • Essere avvisati a fronte di tentativi di esecuzione di applicazioni malevole, che potenzialmente potrebbero non essere individuate da soluzioni antimalware.
  • Rispettare la compliance aziendale, permettendo l’esecuzione solo di software regolarmente licenziato.
  • Evitare l’utilizzo di software non voluto oppure obsoleto all’interno della propria infrastruttura.
  • Controllare l’accesso ai dati sensibili che avviene utilizzando specifiche applicazioni.

Il tutto è reso possibile grazie a politiche di apprendimento automatico, adattate ai propri carichi di lavoro, che vengono utilizzate per creare elenchi di autorizzazioni e negazioni.

• Threat protection alerts. Grazie alle funzionalità integrate di analisi comportamentale, a Microsoft Intelligent Security Graph e all’apprendimento automatico è possibile identificare attacchi avanzati ed exploit zero-day. Quando Azure Defender rileva una minaccia in qualsiasi area del proprio ambiente, genera un avviso di sicurezza. Questi avvisi descrivono i dettagli delle risorse interessate, i passaggi di correzione suggeriti e in alcuni casi viene fornita la possibilità di attivare in risposta delle Logic App. Tutti gli avvisi di sicurezza possono essere esportati in Azure Sentinel, in SIEM di terze parti oppure in altri strumenti SOAR (Security Orchestration, Automation and Response) o di IT Service Management.

• Network map. Per monitorare continuamente lo stato di sicurezza della rete, ASC mette a disposizione una mappa che consente di visualizzare la topologia dei workloads e di valutare se ogni nodo è configurato correttamente. Controllando come sono collegati i nodi è possibile bloccare più facilmente le connessioni indesiderate che potrebbero potenzialmente rendere più facile per un utente malintenzionato attaccare la propria rete.

• Protezione specifica per diversi ambiti. Azure Defender permette di proteggere in modo specifico differenti artifacts e di ricevere degli avvisi relativi alla sicurezza. Differenti sono le protezioni che si possono abilitare, tra le quali:
  • Azure Defender for servers
  • Azure Defender for App Service
  • Azure Defender for Storage
  • Azure Defender for SQL
  • Azure Defender for Kubernetes
  • Azure Defender for container registries
  • Azure Defender for Key Vault
  • Azure Defender for Resource Manager
  • Azure Defender for DNS

La dashboard di Azure Defender in ASC permette di avere visibilità e di intraprendere controlli specifici sulle funzionalità CWP per il proprio ambiente:

Azure Defender è gratuito per i primi 30 giorni, al termine dei quali se si sceglie di continuare ad utilizzare il servizio, saranno addebitati i costi secondo quanto riportato in questo documento.

Conclusioni

Azure Security Center consente di rafforzare la security posture della propria infrastruttura IT. Grazie alle funzionalità offerte è possibile implementare a livello globale best practice ed ottenere una visione d’insieme in ambito sicurezza. La soluzione coniuga la conoscenza maturata da Microsoft nella gestione dei propri servizi con nuove e potenti tecnologie idonee a trattare e gestire in modo consapevole ed efficace il tema della sicurezza.