Microsoft Defender for Cloud, precedentemente noto come Azure Security Center ed Azure Defender, è una soluzione di Cloud Security Posture Management (CSPM) e per la protezione dei workload, in grado di individuare i punti di debolezza in ambito security nelle configurazioni cloud, rafforzare la security posture complessiva dell’ambiente e proteggere i carichi di lavoro in ambienti ibridi e multi-cloud. Per le realtà che stanno adottando una strategia multi-cloud e che necessitano di elevati standard di sicurezza per il proprio ambiente è importante sapere che Microsoft Defender for Cloud può contemplare anche risorse presenti in Amazon Web Services (AWS) e Google Cloud Platform (GCP). In questo articolo viene riportato come proteggere ambienti AWS utilizzando Microsoft Defender for Cloud.
I pilastri della sicurezza contemplati da Microsoft Defender for Cloud
Le funzionalità di Microsoft Defender for Cloud sono in grado di contemplare due grandi pilastri della sicurezza del cloud:
- Cloud Security Posture Management (CSPM) in grado di fornire le seguenti funzionalità:
- Visibilità: per valutare la situazione attuale in merito alla sicurezza.
- Guida all’hardening: per poter migliorare la sicurezza in modo efficiente ed efficace
Grazie ad un assessment continuo Defender for Cloud è in grado di scoprire continuamente nuove risorse che vengono distribuite e valuta se sono configurate in base alle best practice di sicurezza. In caso contrario, le risorse vengono contrassegnate e si ottiene un elenco prioritario di consigli relativi a ciò che è opportuno correggere per migliorare la loro protezione. Questo elenco di raccomandazioni è preso e supportato da Azure Security Benchmark, il set di linee guida specifico per Azure creato da Microsoft, che contiene le best practice di sicurezza e di conformità basate su framework comuni, con particolare attenzione alla sicurezza incentrata sul cloud. Questo benchmark può contemplare i controlli del Center for Internet Security (CIS) e del National Institute of Standards and Technology (NIST).
Defender for Cloud assegna un punteggio globale all’ambiente ambiente, definito Secure Score, che permette di valutare il profilo di rischio (più alto è il punteggio, più basso è il livello di rischio identificato) e di agire per intraprendere delle azioni di remediation.
- Cloud workload protection (CWP): Defender for Cloud eroga avvisi di sicurezza basati su Microsoft Threat Intelligence. Inoltre, include una ampia gamma di protezioni avanzate ed intelligenti per i workload, fornite tramite piani di Microsoft Defender specifici per le differenti tipologie di risorse presenti nelle subscription ed in ambienti ibridi e multi-cloud.
Defender for Cloud permette quindi di soddisfare le seguenti tre esigenze, ritenute fondamentali durante la gestione della sicurezza delle risorse e dei workload che risiedono nel cloud ed in locale:
Figura 1 – Esigenze di sicurezza contemplate da Microsoft Defender for Cloud
La protezione delle risorse AWS
Per proteggere con questa soluzione le risorse su altri cloud pubblici esiste ormai da tempo un meccanismo che prevede l’utilizzo di connettori di interfacciamento con gli account AWS e GCP. Il processo di onboarding del proprio account AWS era basata sull’integrazione della soluzione AWS Security Hub, come descritto nel dettaglio in questo articolo.
Ora è stato rilasciato un nuovo meccanismo nativo che, mediante un approccio agentless, consente di connettersi agli ambienti AWS. Questa nuova metodologia di interfacciamento sfrutta le API di AWS e non ha dipendenza da altre soluzioni, come AWS Security Hub. L’esperienza di onboarding è progettata per funzionare facilmente su larga scala, semplicemente collegando il proprio master account AWS, che permette di effettuare automaticamente l’onboarding degli account esistenti e futuri.
Figura 2 – Connessione di AWS a Microsoft Defender for Cloud
Questo meccanismo estende facilmente le funzionalità di sicurezza avanzate di Defender for Cloud alle proprie risorse AWS e comprende le seguenti aree.
Figura 3 – Piani di protezione disponibili
Cloud Security Posture Management (CSPM) per AWS
Le funzionalità CSPM di Defender for Cloud vengono estese alle proprie risorse AWS. Questo piano agentless valuta le risorse AWS in base alle raccomandazioni di sicurezza specifiche di AWS e queste vengono contemplate nel calcolo del security score globale. Per fornire una visione complessiva sullo stato di sicurezza dei propri ambienti multi-cloud, anche le raccomandazioni relative alla sicurezza di AWS sono integrate nel portale Defender for Cloud, insieme ai consigli di Azure. Sono stati implementate da Microsoft oltre 160 raccomandazioni pronte all’uso per i servizi IaaS e PaaS e tre standard normativi tra cui AWS CIS, AWS PCI DSS e AWS Foundational Security Best Practices. Tutto questo consente di rafforzare la propria security posture contemplando al meglio anche le risorse AWS. Inoltre, è possibile personalizzare i modelli esistenti oppure crearne dei nuovi che contengono le proprie raccomandazioni ed i propri standard per verificare la compliance dei requisiti interni.
Figura 4 – Raccomandazioni per AWS integrate in Defender for Cloud
Cloud workload protection (CWP) per AWS
Per AWS al momento è prevista la protezione avanzata per i seguenti workload:
- Protezione dei server: Microsoft Defender for server offre il rilevamento delle minacce e la difese avanzate anche per le istanze EC2, sia per sistemi Windows sia per sistemi Linux. Questo piano include la licenza integrata per Microsoft Defender for Endpoint e diverse funzionalità, tra le quali: Security baselines e assessment a livello di SO, Vulnerability assessment, Adaptive Application Controls (AAC) e File Integrity Monitoring (FIM).
- Protezione dei container: Microsoft Defender for Containers estende il rilevamento delle minacce per i container e le difese avanzate di Defender for Kubernetes ai cluster Amazon EKS (Elastic Kubernetes Service). Affinché Defender for Kubernetes sia in grado di proteggere i cluster AWS EKS, è necessaria la presenza di Azure Arc-enabled Kubernetes e dell’extension di Defender.
Figura 5 – Alert e raccomandazioni per i cluster EKS
NOTA: Per coloro che hanno hai già configurato un connettore AWS tramite i connector cloud classici, è consigliato connettere nuovamente l’account utilizzando il nuovo meccanismo.
Costo della soluzione
Se si decide di attivare questa integrazione valgono le seguenti indicazioni sui costi:
- Il piano CSPM è gratuito. Per fornire le raccomandazioni il piano CSPM interroga le API delle risorse AWS più volte al giorno. Queste chiamate API di sola lettura non comportano alcun addebito, ma vengono registrate in CloudTrail nel caso in cui sia stato abilitato il trail per gli eventi di lettura. Come riportato nella documentazione AWS, questo non comporta costi aggiuntivi per il mantenimento. Occorre però fare attenzione ed eventualmente filtrare questi eventi se sono previsti delle esportazioni di dati (ad esempio per farli confluire in un SIEM esterno).
- Il piano Defender for Containers verrà fatturato allo stesso prezzo del piano Defender for Kubernetes per le risorse di Azure.
- Per ogni macchina AWS connessa ad Azure mediante Azure Arc, il piano Defender per server viene fatturato allo stesso prezzo del piano Microsoft Defender per server per le macchine Azure.
Conclusioni
Microsoft Defender for Cloud, originariamente sviluppato con la pretesa di essere lo strumento migliore per proteggere le risorse in ambiente Azure, estendere e perfeziona le proprie funzionalità per contemplare anche altri cloud pubblici. In particolare, grazie al nuovo meccanismo di integrazione con AWS è possibile adottare in modo nativo una soluzione di CSPM ed abilitare la protezione dalle minacce per i workload di elaborazione in Amazon Web Services (AWS). Questo consente di ottenere un elevato grado di sicurezza, di migliorare le security posture in ambienti multi-cloud e di semplificare la gestione degli strumenti utili per governare la sicurezza.
