Per ottenere un elevato livello di sicurezza del proprio ambiente dislocato nel cloud pubblico è necessario prevedere una protezione sulle singole risorse che vengono attivate, ma è anche opportuno monitorare il servizio che permette la distribuzione e la gestione delle risorse stesse. Nel cloud pubblico di Microsoft il servizio di deployment e management è definito Azure Resource Manager, un servizio cruciale connesso a tutte le risorse Azure, pertanto un potenziale ed ambizioso bersaglio per gli aggressori. Microsoft, consapevole di questo aspetto, ha recentemente annunciato Azure Defender for Resource Manager. In questo articolo vengono riportate le caratteristiche di questa soluzione che consente di svolgere un’analisi avanzata di sicurezza, al fine di rilevare potenziali minacce ed essere avvisati a fronte di attività sospette che interessano Azure Resource Manager.
In Azure Defender esistono protezioni pensate appositamente per i singoli servizi Azure, come ad esempio per Azure SQL DB, Azure Storage, Azure VMs, e protezioni che interessano in modo trasversale tutti quei componenti che possono essere utilizzati dalle varie risorse Azure. Tra questi troviamo Azure Defender per Azure Network, Key Vault ed è stata annunciata recentemente anche la disponibilità di Azure Defender per Azure DNS e per Azure Resource Manager. Questi strumenti permettono di ottenere un ulteriore livello di protezione e controllo nel proprio ambiente Azure.
Figura 1 – Azure Defender Threat Protection per Workloads Azure
Azure Resource Manager fornisce il layer di gestione che consente di creare, aggiornare ed eliminare risorse nell’ambiente Azure. Fornisce inoltre funzionalità specifiche per la governance dell’ambiente Azure, come il controllo degli accessi, i lock ed i tag, che consentono di proteggere ed organizzare le risorse dopo la loro distribuzione.
Azure Defender for Resource Manager effettua automaticamente il monitor delle operazioni di gestione delle risorse Azure dell’organizzazione, indipendentemente dal fatto che queste vengano eseguite tramite il portale di Azure, le REST API di Azure, l’interfaccia da riga di comando oppure con altri client di programmazione di Azure.
Figura 2 – Protezione di Azure Defender for Resource Manager
Per attivare questo tipo di protezione è sufficiente abilitare il piano specifico di Azure Defender nelle impostazioni di Azure Security Center:
Figura 3 – Attivazione di Azure Defender for Resource Manager
Azure Defender for Resource Manager è in grado di attivare una protezione al verificarsi delle seguenti condizioni:
- Operazioni di gestione delle risorse classificate come sospette, come ad esempio operazioni da indirizzi IP dubbi, disabilitazione del componente antimalware e script ambigui in esecuzione tramite le VM extensions.
- Utilizzo di exploitation toolkits come Microburst oppure PowerZure.
- Spostamento laterale dall’Azure management layer all’Azure resources data plane.
Un elenco completo degli alert che Azure Defender for Resource Manager è in grado di generare, si trova in questo documento Microsoft.
Gli avvisi di sicurezza generati da Azure Defender for Resource Manager si basano su potenziali minacce che vengono rilevate monitorando le operazioni di Azure Resource Manager utilizzando le seguenti fonti:
- Azure Activity Log, il log della piattaforma Azure che fornisce informazioni sugli eventi a livello di sottoscrizione.
- Log interni di Azure Resource Manager, non accessibile dai clienti, ma solo dal personale Microsoft.
Al fine di ottenere un’esperienza di indagine migliore e più approfondita è consigliabile far confluire gli Azure Activity Log in Azure Sentinel, seguendo la procedura descritta in questo documento Microsoft.
Simulando un attacco al layer di Azure Resource Manager utilizzando l’exploitation toolkits PowerZure, Azure Defender for Resource Manager genera un alert con severity elevata, come mostrato nell’immagine seguente:
Figura 4 – Alert generato da Azure Defender for Resource Manager
A fronte di un alert di questo tipo è possibile ricevere anche una notifica impostando in modo opportuno un action group in Azure Monitor. Inoltre, nel caso sia stata attivata l’integrazione tra Azure Security Center ed Azure Sentinel, lo stesso alert sarebbe presente anche in Azure Sentinel, con le relative informazioni necessarie per avviare il processo di investigazione e fornire una pronta risposta ad una problematica di questo tipo.
Conclusioni
Proteggere in modo efficace le risorse nell’ambiente Azure significa anche adottare gli strumenti idonei per fronteggiare potenziali attacchi che possono sfruttare i meccanismi di distribuzione e di gestione delle risorse stesse. Grazie al nuovo strumento Azure Defender for Resource Manager è possibile usufruire in modo totalmente integrato nella piattaforma Azure di una efficace protezione, senza dover installare specifici software oppure abilitare agenti aggiuntivi.
