Come rafforzare la security posture nel cloud pubblico, in ambienti ibridi e multi-cloud grazie a Defender for Cloud

L’adozione di infrastrutture e di servizi in ambienti cloud, utili per le imprese per accelerare il percorso di trasformazione digitale, ci impone di adeguare anche le soluzioni, i processi e le pratiche che vengono adottate per garantire e mantenere un elevato grado di sicurezza delle proprie risorse IT. Il tutto deve avvenire in modo indipendente dai modelli di deployment utilizzati, andando a rafforzare la security posture complessiva del proprio ambiente e fornendo una protezione avanzata dalle minacce per tutti i workload, ovunque essi risiedano. In questo articolo viene riportato come la soluzione Defender for Cloud è in grado di controllare e migliorare gli aspetti legati alla sicurezza dell’ambiente IT dove vengono utilizzate risorse nel cloud pubblico, in ambienti ibridi e multi-cloud.

Le sfide della sicurezza nelle infrastrutture moderne

Tra le principali sfide che si devono affrontare in ambito sicurezza adottando infrastrutture moderne che utilizzano componenti nel cloud troviamo:

  • Workload in rapida e costante evoluzione. Questo aspetto è certamente un’arma a doppio taglio del cloud in quanto, da un lato gli utenti finali hanno la possibilità di ottenere di più dalle soluzioni in ambienti cloud, dall’altro diventa complesso garantire che i servizi in rapida e costante evoluzione siano sempre all’altezza dei propri standard e che seguano tutte le best practice di sicurezza.
  • Attacchi alla sicurezza sempre più sofisticati. Indipendentemente da dove si trovano in esecuzione i propri workload, gli attacchi alla sicurezza adottano tecniche sofisticate ed avanzate che richiedono di implementare protezioni affidabili per contrastare la loro efficacia.
  • Risorse e competenze in ambito sicurezza non sempre all’altezza per intervenire a fronte di alert di sicurezza e per assicurare che gli ambienti siano adeguatamente protetti. Infatti, la sicurezza IT è un fronte in continua evoluzione e rimanere aggiornati è una sfida costante e difficile da raggiungere.

I pilastri della sicurezza contemplati da Microsoft Defender for Cloud

Le funzionalità di Microsoft Defender for Cloud sono in grado di contemplare due grandi pilastri della sicurezza per le architetture moderne che adottano componenti cloud: Cloud Security Posture Management (CSPM) e Cloud workload protection (CWP).

Figura 1 – I pilastri della sicurezza contemplati da Microsoft Defender for Cloud

Cloud Security Posture Management (CSPM)

In ambito Cloud Security Posture Management (CSPM) Defender for Cloud è in grado di fornire le seguenti funzionalità:

    • Visibilità: per valutare la situazione attuale in merito alla sicurezza.
    • Guida all’hardening: per poter migliorare la sicurezza in modo efficiente ed efficace

Grazie ad un assessment continuo Defender for Cloud è in grado di scoprire continuamente nuove risorse che vengono distribuite e valuta se sono configurate in base alle best practice di sicurezza. In caso contrario, le risorse vengono contrassegnate e si ottiene un elenco prioritario di consigli relativi a ciò che è opportuno correggere per migliorare la loro protezione. Questo elenco di raccomandazioni è preso e supportato da Azure Security Benchmark, il set di linee guida specifico per Azure creato da Microsoft, che contiene le best practice di sicurezza e di conformità basate su framework comuni, con particolare attenzione alla sicurezza incentrata sul cloud. Questo benchmark può contemplare i controlli del Center for Internet Security (CIS) e del National Institute of Standards and Technology (NIST) ed è personalizzabile secondo gli standard che si vogliono rispettare.

Figura 2 – Esempi di raccomandazioni

Defender for Cloud assegna un punteggio globale all’ambiente, definito Secure Score, che permette di valutare il profilo di rischio (più alto è il punteggio, più basso è il livello di rischio identificato) e di agire per intraprendere delle azioni di remediation.

Figura 3 – Esempio di Secure score

Cloud workload protection (CWP)

Per quanto concerne questo ambito, Defender for Cloud eroga avvisi di sicurezza basati su Microsoft Threat Intelligence. Inoltre, include una ampia gamma di protezioni avanzate ed intelligenti per i workload, fornite tramite piani di Microsoft Defender specifici per le differenti tipologie di risorse presenti nelle subscription ed in ambienti ibridi e multi-cloud:

Figura 4 – Workload protetti da Defender for Cloud

Defender for Cloud permette quindi di soddisfare le seguenti tre esigenze, ritenute fondamentali durante la gestione della sicurezza delle risorse e dei workload che risiedono nel cloud ed in ambienti on-premises:

Figura 5 – Esigenze di sicurezza contemplate da Microsoft Defender for Cloud

Defender for Cloud include inoltre, come parte delle funzionalità di sicurezza avanzate, soluzioni di vulnerability assessment per le macchine virtuali, i container registry e i server SQL. Alcune scansioni vengono effettuate mediante la soluzione Qualys, che è possibile utilizzare senza licenze specifiche e senza account dedicati, ma il tutto è incluso e gestito mediante Defender for Cloud.

Quali ambienti è possibile proteggere con Defender for Cloud?

Defender for Cloud è un servizio nativo di Azure, che consente di proteggere non solo le risorse presenti in Azure, ma anche ambienti ibridi e multi-cloud.

Figura 6 – Protezione trasversale su ambienti differenti

Protezione degli ambienti Azure

  • Azure IaaS e servizi Azure PaaS: Defender for Cloud è in grado di rilevare le minacce destinate alle macchine virtuali e ai servizi presenti in Azure, inclusi Azure App Service, Azure SQL, Azure Storage Account, ed altri. Inoltre, consente di rilevare le anomalie nei registri di attività di Azure (Azure activity logs) tramite l’integrazione nativa con Microsoft Defender for Cloud Apps (conosciuto come Microsoft Cloud App Security).
  • Azure data services: Defender for Cloud include funzionalità che consentono di classificare automaticamente i dati in Azure SQL. Inoltre, è possibile effettuare degli assessment per rilevare potenziali vulnerabilità nei servizi Azure SQL e Storage, accompagnate da raccomandazioni su come mitigarle.
  • Network: l’applicazione di Network Security Group (NSG) per filtrare il traffico da e verso le risorse attestate sulle virtual network di Azure è fondamentale per garantire la sicurezza della rete. Tuttavia, possono esserci alcuni casi in cui il traffico effettivo che attraversa i NSG interessa solamente un sottoinsieme delle regole NSG definite. In questi casi, la funzionalità di Adaptive network hardening consente di migliorare ulteriormente la security posture rafforzando le regole NSG. Mediante un algoritmo di apprendimento automatico che tiene conto del traffico effettivo, della configurazione, dell’intelligence sulle minacce e di altri indicatori di compromissione, è in grado di fornire consigli per adeguare la configurazione dei NSG in modo da consentire solo il traffico strettamente necessario.

Protezione di ambienti ibridi

Oltre a proteggere l’ambiente Azure, è possibile estendere le funzionalità di Defender for Cloud anche ad ambienti ibridi per proteggere in particolare i server che non risiedono su Azure. Mediante Azure Arc è possibile estendere i piani di Microsoft Defender alle macchine che non risiedono in Azure.

Protezione delle risorse in esecuzione su altri cloud pubblici

Microsoft Defender for Cloud può contemplare anche risorse presenti in Amazon Web Services (AWS) e Google Cloud Platform (GCP). Per proteggere con questa soluzione le risorse su altri cloud pubblici è stato rilasciato un nuovo meccanismo nativo che, mediante un approccio agentless, consente di connettersi agli ambienti AWS e GCP. Questa nuova metodologia di interfacciamento sfrutta le API di AWS e GCP e non ha dipendenza da altre soluzioni, come ad esempio AWS Security Hub.

Caso reale di protezione con Defender for Cloud

Ipotizzando un ambiente di un cliente con risorse dislocate in Azure, on-premises ed in AWS, con Defender for Cloud è possibile estendere la protezione a tutte le risorse, in modo indipendente da dove risiedono.

Infatti, connettendo un account Amazon Web Services (AWS) ad una sottoscrizione Azure, risulta possibile abilitare le seguenti protezioni:

  • Le funzionalità CSPM di Defender for Cloud vengono estese anche alle risorse AWS, consentendo di valutare le risorse presenti nel cloud Amazon, in base ai consigli di sicurezza specifici di AWS. Inoltre, le risorse vengono valutate per la conformità agli standard specifici di AWS come: AWS CIS, AWS PCI DSS e AWS Foundational Security Best Practices. Il tutto viene considerato andando a influenzare il security score complessivo.
  • Microsoft Defender for Servers offre il rilevamento delle minacce e abilita le difese avanzate anche per le istanze EC2 Windows e Linux.
  • Microsoft Defender for Kubernetes estende le difese avanzate ai cluster Amazon EKS Linux e consente il rilevamento delle minacce sui container presenti in quelle infrastrutture.

Queste protezioni si andranno ad aggiungere alle funzionalità sopra elencate disponibili per gli ambienti Azure e per le risorse che risiedono on-premises.

Conclusioni

Defender for Cloud è in grado di rispondere in modo efficace alle sfide, in ambito sicurezza, date dall’adozione di infrastrutture moderne. Grazie infatti all’impiego di Microsoft Defender for Cloud si dispone di una soluzione in grado di individuare i punti di debolezza in ambito security nelle configurazioni cloud, rafforzare la security posture complessiva dell’ambiente e proteggere i workload in ambienti ibridi e multi-cloud.