Anche questo mese torna la mia rubrica dedicata all’evoluzione dei servizi di management e security in ambito Azure, con uno sguardo attento agli scenari ibridi e multicloud abilitati da Azure Arc e potenziati dall’utilizzo dell’Intelligenza Artificiale.
Questa serie di articoli mensili si propone di:
- offrire una panoramica delle novità più rilevanti introdotte da Microsoft;
- condividere consigli operativi e best practice raccolti dal campo, per aiutare architect e responsabili IT a gestire con efficacia ambienti complessi e distribuiti;
- seguire l’evoluzione verso un modello di gestione centralizzato, proattivo e basato sull’AI, in linea con la visione di Microsoft dell’AI-powered Management.
Gli ambiti principali affrontati in questa rubrica, accompagnati dagli strumenti e servizi di riferimento, sono descritti in questo articolo.
Security posture delle infrastrutture ibride e multicloud
Microsoft Defender for Cloud
Aggiornamento della logica delle raccomandazioni CIEM
Nel contesto della dismissione di Microsoft Entra Permissions Management, Microsoft Defender for Cloud aggiorna la logica delle raccomandazioni CIEM su Azure, Amazon Web Services (AWS) e Google Cloud Platform (GCP), con l’obiettivo di aumentare la precisione e ridurre il rumore nelle segnalazioni. Tra i cambiamenti principali: l’identificazione delle identità inattive si basa ora su assegnazioni di ruolo non utilizzate (anziché sull’attività di sign-in), la finestra di osservazione viene estesa a 90 giorni (in precedenza 45), e le identità create negli ultimi 90 giorni non vengono valutate come inattive. In termini operativi, questo aggiornamento tende a rendere le raccomandazioni più aderenti al rischio reale, ma può anche modificare numero e tipologia delle segnalazioni visibili nei tenant multicloud.
AWS CloudTrail ingestion (preview)
In preview è disponibile l’ingestion degli eventi di gestione di AWS CloudTrail in Microsoft Defender for Cloud. Abilitando la raccolta, Defender for Cloud arricchisce le analisi di Cloud Infrastructure Entitlement Management (CIEM) includendo l’attività osservata (management events) insieme ai segnali di entitlement già disponibili (ad esempio i dati di Access Advisor). Questo contesto d’uso aggiuntivo contribuisce a rendere più accurate le raccomandazioni di sicurezza in Amazon Web Services (AWS), migliorando l’identificazione di permessi inutilizzati, identità dormienti e possibili percorsi di escalation dei privilegi. La funzionalità supporta sia account AWS singoli sia AWS Organizations con logging centralizzato, semplificando l’adozione in organizzazioni multi-account.
Microsoft Security Private Link (preview)
Microsoft Defender for Cloud introduce Microsoft Security Private Link in modalità preview, con l’obiettivo di abilitare una connettività privata tra la piattaforma di sicurezza e i workload protetti. L’integrazione avviene tramite la creazione di private endpoint all’interno della Virtual Network, così che il traffico verso i servizi di Defender rimanga sulla rete backbone di Microsoft, evitando l’esposizione su Internet pubblico e riducendo la superficie d’attacco legata a endpoint pubblici. Nella fase attuale, il supporto dei private endpoint è disponibile per il piano Defender for Containers, risultando particolarmente interessante per scenari con cluster Kubernetes in ambienti “network-restricted” e requisiti di egress controllato.
Integrazione con Endor Labs
L’integrazione tra Microsoft Defender for Cloud ed Endor Labs è ora in General Availability (GA). La novità rafforza l’analisi delle vulnerabilità introducendo un approccio di Software Composition Analysis (SCA) basato sulla reachability, che evidenzia le vulnerabilità potenzialmente sfruttabili lungo il percorso “dal codice al runtime”. In pratica, l’integrazione aiuta i team a prioritizzare in modo più efficace le remediation, distinguendo ciò che è “presente” in librerie o dipendenze da ciò che è effettivamente raggiungibile e sfruttabile nelle applicazioni in esecuzione, riducendo il carico operativo e migliorando la qualità del triage.
Cloud posture management aggiunge protezione serverless per Azure e AWS (preview)
Microsoft Defender for Cloud estende in preview le funzionalità del piano Defender Cloud Security Posture Management (CSPM) ai workload serverless in Azure e in Amazon Web Services (AWS), sia nel portale Azure sia nel Defender portal. La capacità introduce discovery automatico e valutazione della postura di sicurezza per componenti come Azure Functions, Azure Web Apps e AWS Lambda, offrendo inventario centralizzato e raccomandazioni su configurazioni non appropriate, vulnerabilità e dipendenze non sicure. È un passo rilevante per scenari moderni “event-driven” e a microservizi, dove il perimetro tradizionale è più sfumato e la governance richiede visibilità continua e controlli coerenti anche su risorse non server-based.
Conclusioni
Le novità di questo mese riguardano Microsoft Defender for Cloud e confermano una direzione molto chiara: aumentare la qualità del segnale, migliorare la copertura multicloud e ridurre l’attrito operativo, soprattutto negli ambienti ibridi e distribuiti. L’aggiornamento della logica delle raccomandazioni CIEM (Cloud Infrastructure Entitlement Management) va proprio in questa direzione, rendendo più affidabile l’identificazione di identità inattive e permessi inutilizzati grazie a una finestra di osservazione più ampia e criteri più aderenti all’utilizzo reale. Sul fronte AWS, l’ingestion dei management events di CloudTrail (preview) aggiunge un contesto prezioso per affinare le analisi e individuare con maggiore accuratezza percorsi di escalation e privilegi non necessari, mentre l’arrivo di Microsoft Security Private Link (preview) apre scenari interessanti per chi deve operare in ambienti “network-restricted” con requisiti stringenti di egress e minimizzazione dell’esposizione pubblica. Infine, l’integrazione con Endor Labs in GA e l’estensione del CSPM ai workload serverless (preview) evidenziano l’evoluzione verso una postura di sicurezza sempre più “code-to-cloud”, capace di prioritizzare meglio le remediation e di garantire visibilità e governance anche nei modelli moderni event-driven.