Archivi categoria: Azure Security Center

Azure Security Center: come personalizzare la soluzione per soddisfare i propri requisiti di sicurezza

Azure Security Center è una soluzione nel cloud che consente di prevenire, rilevare e rispondere alle minacce di sicurezza che interessano sia le risorse in ambiente Azure che workloads in ambienti ibridi. Tramite l’assegnazione di un punteggio globale al proprio ambiente permette di valutare il profilo di rischio e di agire per intraprendere delle azioni di remediation al fine di migliorare le security posture. La soluzione si basa su delle raccomandazioni generiche, ma in alcuni casi è opportuno personalizzarla per contemplare al meglio le proprie politiche di sicurezza. In questo articolo viene riportato come è possibile introdurre questo livello di personalizzazione al fine di aumentare il valore fornito da Azure Security Center.

Utilizzo delle custom security policy

Le raccomandazioni di default presenti nella soluzione sono derivanti da best practices generiche del settore e da specifici standard normativi.

Figura 1 – Punteggio e raccomandazioni standard presenti in Azure Security Center

Recentemente è stata introdotta la possibilità di aggiungere le proprie initiatives personalizzate, al fine di ricevere delle raccomandazioni qualora non siano rispettate le policy di sicurezza stabilite in modo specifico per il proprio ambiente. Le iniziative personalizzate che vengono create sono totalmente integrate nella soluzione e saranno contemplate sia nel Secure Score che nelle dashboard di compliance.

Per creare una initiative personalizzata è possibile seguire la procedura in seguito riportata:

Figura 2 – Avvio del processo di creazione di una custom initiative

All’interno delle initiatives è possibile includere delle Azure Policy integrate nella soluzione oppure le proprie policy personalizzate.

Nell’esempio sotto riportato l’initiative include le seguenti due policy:

  • Una custom che impedisce la creazione di peering verso una rete di Hub che si trova in un determinato resource group.
  • Una bult-in che verifica che siano applicati i Network Security Group a tutte le subnet.

Figura 3 – Creazione di una custom initiative

In seguito, è necessario procedere con l’assegnazione dell’initiative custom:

Figura 4 – Avvio del processo di assegnazione

 

Figura 5 – Assegnazione della custom initiative

 

Figura 6 – Visualizzazione della custom initiative assegnata

La visualizzazione delle raccomandazioni presenti all’interno di Security Center non è immediata, ma attualmente richiede circa 1 ora e la si può consultare nella seguente sezione:

Figura 7 – Custom initiative nella sezione Regulatory compliance

 

Disabilitazione di security policy di default

In determinate circostanze può risultare opportuno disabilitare determinati controlli presenti di default nella soluzione Azure Security Center, in quanto non si ritengono adeguati al proprio ambiente e non si vogliono generare inutilmente delle segnalazioni. Per farlo è possibile effettuare gli step seguenti:

Figura 8 – Accesso alle default policy di Security Center

 

Figura 9 – Selezione dell’assegnazione delle default policy di Security Center

 

Figura 10 – Disabilitazione di una specifica policy presente di default

 

Conclusioni

Azure Security Center mette a disposizione in modo nativo una serie di controlli per verificare costantemente la presenza di condizioni ritenute anomale e che possono avere un impatto diretto sulla sicurezza dell’ambiente. La possibilità di introdurre un livello di personalizzazione nella soluzione, la rende più flessibile e permette di verificare e applicare su larga scala dei criteri di compliance in ambito sicurezza specifici per il proprio ambiente. Per migliorare le security posture è fondamentale valutare l’adozione di questa soluzione e applicando un buon livello di personalizzazione se ne aumenta notevolmente il suo valore.

Azure Security: come effettuare un Vulnerability Assessment tramite Azure Security Center

Azure Security Center, la soluzione cloud che consente di prevenire, rilevare e rispondere alle minacce di sicurezza che interessano le risorse Azure e i workloads in ambienti ibridi, è stata recentemente arricchita con la possibilità di effettuare in modo integrato un Vulnerability Assessment per le macchine virtuali in Azure. In questo articolo viene riportato come è possibile portare a termine un processo di valutazione delle vulnerabilità tramite Azure Security Center, esaminando le caratteristiche della soluzione.

La scansione delle vulnerabilità inclusa in Azure Security Center (ASC) viene effettuata tramite la soluzione Qualys, il quale risulta essere riconosciuto come strumento leader per identificare in tempo reale eventuali vulnerabilità presenti sui sistemi. Per poter utilizzare questa funzionalità è necessario aderire al tier standard di Security Center e nel caso specifico non sarà necessario prevedere costi aggiuntivi di licensing. Il tier Standard aggiunge anche funzionalità avanzate di rilevamento delle minacce (tra cui threat intelligence), analisi comportamentale, rilevamento delle anomalie e di incidenti di sicurezza e report di attribuzione delle minacce.

Qualora si voglia mantenere il tier Free di ASC è comunque possibile effettuate il deploy di soluzioni per effettuare una valutazione delle vulnerabilità, quali Qualys e Rapid7, ma è necessario prevedere la gestione dei costi di licensing, la distribuzione e la configurazione. Per maggiori dettagli in merito al costo di Azure Security Center e per un confronto tra il tier Free e quello Standard si rimanda alla documentazione ufficiale Microsoft.

La metodologia più rapida e immediata per effettuare una scansione delle vulnerabilità in Azure è utilizzare la soluzione Qualys integrata nel Standard Tier di Azure Security Center. Per abilitarla è sufficiente accedere alle Recommendations di ASC e selezionare “Enable the built-in vulnerability assessment solution on virtual machines (powered by Qualys)“, come mostrato dall’immagine seguente:

Figura 1 – Recommendation di Azure Security Center per abilitare la solution di vulnerability assessment

Selezionando questa opzione le macchine virtuali Azure vengono suddivise nelle seguenti categorie:

  • Healthy resources: sistemi dove è stato effettuato il deploy dell’estensione per portare a termine una scansione delle vulnerabilità.
  • Unhealthy resources: machine dove è possibile abilitare l’estensione per eseguire una scansione delle vulnerabilità.
  • Not applicable resources: sistemi dove non è presente l’estensione e che non è possibile l’abilitazione in quanto appartengono al tier free di ASC oppure perché il sistema operativo rientra tra quelli non supportati. Tra I sistemi operative supportati troviamo: RHEL 6.7/7.6, Ubuntu 14.04/18.04, Centos 6.10/7/7.6, Oracle Linux 6.8/7.6, SUSE 12/15, e Debian 7/8.

Figura 2 – Abilitazione della solution

Selezionando le macchine di interesse e premendo il pulsante Remediate verrà effettuato l’onboarding delle stesse nella soluzione built-in di Vulnerability Assessment. Ne consegue che sui sistemi sarà installata l’extension specifica e al termine dell’installazione sarà avviata in modo automatico la prima scansione. L’extesion si basa sull’Azure Virtual Machine agent e viene pertanto eseguita nel contesto Local Host sui sistemi Windows, e Root su quelli Linux.

Si riportano i nomi dell’extension che sarà presente sui sistemi abilitati, per le quali il provider sarà sempre Qualys:

  • Macchine Linux: “LinuxAgent.AzureSecurityCenter”
  • Macchine Windows: “WindowsAgent.AzureSecurityCenter”

Per quanto riguarda gli aggiornamenti dell’extension valgono le stesse regole che vengono applicate anche per altre extension e quindi le minor version dello scanner di Qualys saranno distribuite in modo automatico in seguito a una approfondita fase di test. In alcuni casi potrebbe essere necessarie delle azioni manuali per portare a termine l’aggiornamento.

Al termine della scansione eventuali vulnerabilità rilevate sui sistemi saranno riportate nelle Recommendations di ASC.

Figura 3 – Notifica di ASC che riporta la presenza di recommendations relative alle vulnerabilità intercettate

Selezionando la raccomandazione vengono riportati i dettagli di tutte le vulnerabilità rilevate, della severity e del relativo stato:

Figura 4 – Elenco delle vulnerabilità di security rilevate

Selezionando la singola vulnerabilità si possono consultare i dettagli, i potenziali impatti, le azioni per effettuare la remediation e i sistemi interessati.

Figura 5 – Informazioni riportate per ogni singola vulnerabilità rilevata

Conclusioni

Per rafforzare le security posture del proprio ambiente è sicuramente opportuno valutare l’adozione di Azure Security Center nel tier standard, che tra le varie funzionalità permette di controllare che siano applicati in modo rigoroso tutti i criteri di sicurezza e consente di monitorare costantemente i criteri di conformità. L’inclusione nella soluzione di uno strumento di valutazione delle vulnerabilità, fornito da Qualys, leader indiscusso del settore, aggiunge ulteriore valore alla soluzione, potendo attingere anche alla conoscenza maturata da questo vendor nella scoperta delle vulnerabilità.