Azure Security: come effettuare un Vulnerability Assessment tramite Azure Security Center

Azure Security Center, la soluzione cloud che consente di prevenire, rilevare e rispondere alle minacce di sicurezza che interessano le risorse Azure e i workloads in ambienti ibridi, è stata recentemente arricchita con la possibilità di effettuare in modo integrato un Vulnerability Assessment per le macchine virtuali in Azure. In questo articolo viene riportato come è possibile portare a termine un processo di valutazione delle vulnerabilità tramite Azure Security Center, esaminando le caratteristiche della soluzione.

La scansione delle vulnerabilità inclusa in Azure Security Center (ASC) viene effettuata tramite la soluzione Qualys, il quale risulta essere riconosciuto come strumento leader per identificare in tempo reale eventuali vulnerabilità presenti sui sistemi. Per poter utilizzare questa funzionalità è necessario aderire al tier standard di Security Center e nel caso specifico non sarà necessario prevedere costi aggiuntivi di licensing. Il tier Standard aggiunge anche funzionalità avanzate di rilevamento delle minacce (tra cui threat intelligence), analisi comportamentale, rilevamento delle anomalie e di incidenti di sicurezza e report di attribuzione delle minacce.

Qualora si voglia mantenere il tier Free di ASC è comunque possibile effettuate il deploy di soluzioni per effettuare una valutazione delle vulnerabilità, quali Qualys e Rapid7, ma è necessario prevedere la gestione dei costi di licensing, la distribuzione e la configurazione. Per maggiori dettagli in merito al costo di Azure Security Center e per un confronto tra il tier Free e quello Standard si rimanda alla documentazione ufficiale Microsoft.

La metodologia più rapida e immediata per effettuare una scansione delle vulnerabilità in Azure è utilizzare la soluzione Qualys integrata nel Standard Tier di Azure Security Center. Per abilitarla è sufficiente accedere alle Recommendations di ASC e selezionare “Enable the built-in vulnerability assessment solution on virtual machines (powered by Qualys)“, come mostrato dall’immagine seguente:

Figura 1 – Recommendation di Azure Security Center per abilitare la solution di vulnerability assessment

Selezionando questa opzione le macchine virtuali Azure vengono suddivise nelle seguenti categorie:

  • Healthy resources: sistemi dove è stato effettuato il deploy dell’estensione per portare a termine una scansione delle vulnerabilità.
  • Unhealthy resources: machine dove è possibile abilitare l’estensione per eseguire una scansione delle vulnerabilità.
  • Not applicable resources: sistemi dove non è presente l’estensione e che non è possibile l’abilitazione in quanto appartengono al tier free di ASC oppure perché il sistema operativo rientra tra quelli non supportati. Tra I sistemi operative supportati troviamo: RHEL 6.7/7.6, Ubuntu 14.04/18.04, Centos 6.10/7/7.6, Oracle Linux 6.8/7.6, SUSE 12/15, e Debian 7/8.

Figura 2 – Abilitazione della solution

Selezionando le macchine di interesse e premendo il pulsante Remediate verrà effettuato l’onboarding delle stesse nella soluzione built-in di Vulnerability Assessment. Ne consegue che sui sistemi sarà installata l’extension specifica e al termine dell’installazione sarà avviata in modo automatico la prima scansione. L’extesion si basa sull’Azure Virtual Machine agent e viene pertanto eseguita nel contesto Local Host sui sistemi Windows, e Root su quelli Linux.

Si riportano i nomi dell’extension che sarà presente sui sistemi abilitati, per le quali il provider sarà sempre Qualys:

  • Macchine Linux: “LinuxAgent.AzureSecurityCenter”
  • Macchine Windows: “WindowsAgent.AzureSecurityCenter”

Per quanto riguarda gli aggiornamenti dell’extension valgono le stesse regole che vengono applicate anche per altre extension e quindi le minor version dello scanner di Qualys saranno distribuite in modo automatico in seguito a una approfondita fase di test. In alcuni casi potrebbe essere necessarie delle azioni manuali per portare a termine l’aggiornamento.

Al termine della scansione eventuali vulnerabilità rilevate sui sistemi saranno riportate nelle Recommendations di ASC.

Figura 3 – Notifica di ASC che riporta la presenza di recommendations relative alle vulnerabilità intercettate

Selezionando la raccomandazione vengono riportati i dettagli di tutte le vulnerabilità rilevate, della severity e del relativo stato:

Figura 4 – Elenco delle vulnerabilità di security rilevate

Selezionando la singola vulnerabilità si possono consultare i dettagli, i potenziali impatti, le azioni per effettuare la remediation e i sistemi interessati.

Figura 5 – Informazioni riportate per ogni singola vulnerabilità rilevata

Conclusioni

Per rafforzare le security posture del proprio ambiente è sicuramente opportuno valutare l’adozione di Azure Security Center nel tier standard, che tra le varie funzionalità permette di controllare che siano applicati in modo rigoroso tutti i criteri di sicurezza e consente di monitorare costantemente i criteri di conformità. L’inclusione nella soluzione di uno strumento di valutazione delle vulnerabilità, fornito da Qualys, leader indiscusso del settore, aggiunge ulteriore valore alla soluzione, potendo attingere anche alla conoscenza maturata da questo vendor nella scoperta delle vulnerabilità.