In ambito networking Microsoft Azure mette a disposizione una serie di soluzioni, native della piattaforma, che consentono di ottenere un elevato grado di sicurezza se vengono adottate nel modo opportuno. Un importante valore aggiunto per raffinare e rafforzare la security posture della rete è dato da Microsoft Defender for Cloud, in quanto consente di contemplare, mediante funzionalità specifiche, anche determinati aspetti del networking. In questo articolo viene approfondito come Microsoft Defender for Cloud consente di verificare, raggiungere e mantenere una configurazione da best practice del networking di Azure.
Panoramica di Defender for Cloud
La soluzione Microsoft Defender for Cloud mette a disposizione una serie di funzionalità in grado di contemplare due importanti pilastri della sicurezza per le architetture moderne che adottano componenti cloud: Cloud Security Posture Management (CSPM) e Cloud workload protection (CWP).
In ambito Cloud Security Posture Management (CSPM) Defender for Cloud è in grado di fornire le seguenti funzionalità:
- Visibilità: per valutare l’attuale situazione relativa alla sicurezza.
- Guida all’hardening: per poter migliorare la sicurezza in modo efficiente ed efficace.
Grazie ad un assessment continuo Defender for Cloud è in grado di scoprire continuamente nuove risorse che vengono distribuite e valuta se sono configurate in base alle best practice di sicurezza. In caso contrario, le risorse vengono contrassegnate e si ottiene un elenco prioritario di consigli relativi a ciò che è opportuno correggere per migliorare la loro protezione. Questo processo avviene nello specifico anche per le risorse di rete e le raccomandazioni sono incentrare sulle varie soluzioni in ambito networking come ad esempio: next generation firewall, Network Security Group e JIT VM access. Un elenco completo delle raccomandazioni e delle relative azioni correttive, consigliate da Defender for Cloud per la rete, è possibile consultarlo in questo documento.
Per quanto concerne l’ambito Cloud Workload Protection (CWP), Defender for Cloud eroga avvisi di sicurezza basati su Microsoft Threat Intelligence. Inoltre, include una ampia gamma di protezioni avanzate ed intelligenti per i workload, fornite tramite piani di Microsoft Defender specifici per le differenti tipologie di risorse presenti nelle subscription ed in ambienti ibridi e multi-cloud.
Le funzionalità specifiche di Defender for Cloud in ambito networking
Per quanto riguarda il networking, Defender for Cloud oltre a fare un assessment continuo delle risorse e a generare eventuali raccomandazioni, include altre funzionalità specifiche:
Adaptive network hardening
I Network Security Groups (NSG) sono lo strumento principale per controllare il traffico di rete in Azure, attraverso il quale, tramite delle regole di deny e permit, è possibile filtrate le comunicazioni tra differenti workload attestati sulle virtual network di Azure. Tuttavia, possono esserci delle situazioni in cui il traffico di rete effettivo che attraversa un NSG corrisponde solo ad un sottoinsieme delle regole che sono state definite all’interno del NSG stesso. In questi casi, per migliorare ulteriormente la security posture è possibile perfezionare le regole presenti nei NSG, in base ai modelli di traffico di rete effettivi. La funzionalità di adaptive network hardening di Defender for Cloud verifica proprio questo e genera delle raccomandazioni per rafforzare ulteriormente le regole presenti nei NSG. Per ottenere questo risultato viene utilizzato un algoritmo di machine learning che tiene conto del traffico di rete effettivo, della configurazione presente, dell’intelligence sulle minacce e di altri indicatori di compromissione.
Network Map
Per monitorare continuamente lo stato di sicurezza della rete, Defender for Cloud mette a disposizione una mappa interattiva che consente di visualizzare graficamente la topologia della rete, includendo consigli e raccomandazioni per fare hardening delle risorse di rete. Inoltre, usando la mappa è possibile controllare le connessioni tra le macchine virtuali e le subnet, fino a valutare se ogni nodo è configurato correttamente dal punto di vista della rete. Andando a controllare come sono collegati i nodi è possibile individuare e bloccare più facilmente le connessioni indesiderate che potrebbero potenzialmente rendere più facile per un utente malintenzionato attaccare la propria rete. Per maggiori informazioni su questa funzionalità è possibile consultare la documentazione ufficiale Microsoft.
Per poter usufruire di queste specifiche funzionalità è necessario licenziare il piano Defender for Servers Plan 2.
Conclusioni
Una strategia vincente in ambito Azure networking, in grado di supportare anche il modello Zero Trust, la si può ottenere applicando un mix-and-match dei differenti servizi di sicurezza di rete per avere una protezione su più livelli. Al tempo stesso risulta molto utile poter far affidamento alle funzionalità di Defender for Cloud, anche per contemplare gli aspetti legati al networking, che tramite un assessment continuo ed una visibilità approfondita permettono di ottenere ambienti configurati secondo le best practice anche nel corso del tempo.