Archivi categoria: Azure Security Center

Come migliorare le security posture adottando Azure Security Center

L’adozione ottimale di soluzioni cloud, utile per accelerare la trasformazione digitale delle imprese, deve prevedere un processo in grado di assicurare e mantenere un elevato grado di sicurezza delle proprie risorse IT, indipendentemente dai modelli di deployment implementati. Disporre di un unico sistema per la gestione della sicurezza dell’infrastruttura, in grado di rafforzare le security posture del proprio ambiente e di fornire una protezione avanzata dalle minacce per i carichi di lavoro, ovunque essi risiedano, diventa un elemento indispensabile. La soluzione Azure Security Center consente di raggiungere questi obiettivi ed è in grado di affrontare le principali sfide in ambito sicurezza. In questo articolo vengono riportate le caratteristiche della soluzione che consentono di migliorare e di controllare gli aspetti legati alla sicurezza dell’ambiente IT.

Le sfide della sicurezza nel cloud

Tra le principali sfide che si devono affrontare in ambito sicurezza adottando soluzioni cloud troviamo:

  • Carichi di lavoro sempre in rapida evoluzione. Questo aspetto è certamente un’arma a doppio taglio del cloud in quanto da un lato, gli utenti finali hanno la possibilità di ottenere di più dalle soluzioni, dall’altro diventa complesso garantire che i servizi in continua evoluzione siano all’altezza dei propri standard e che seguano tutte le best practice di sicurezza.
  • Attacchi sempre più sofisticati. Indipendentemente da dove sono in esecuzione i propri carichi di lavoro, gli attacchi di sicurezza adottano tecniche sofisticate ed avanzate che richiedono di implementare procedure affidabili per contrastare la loro efficacia.
  • Risorse e competenze in ambito sicurezza non sempre all’altezza per far fronte agli alert di sicurezza ed assicurare che gli ambienti siano protetti. La sicurezza è un fronte in continua evoluzione e rimanere aggiornati è una sfida costante e difficile da raggiungere.

Azure Security Center è in grado di rispondere in modo efficace alle sfide sopra elencate consentendo di prevenire, rilevare e far fronte alle minacce di sicurezza che interessano le risorse Azure e i workloads in ambienti ibridi e multicloud. Il tutto viene eseguito alla velocità del cloud, in quanto la soluzione è totalmente integrata in modo nativo nella piattaforma Azure ed è in grado di garantire un provisioning semplice ed automatico.

I pilastri della sicurezza contemplati da Azure Security Center

Le funzionalità di Azure Security Center (ASC) sono in grado di sostenere due grandi pilastri della sicurezza del cloud:

  • Cloud Security Posture Management (CSPM): ASC è disponibile gratuitamente per tutte le sottoscrizioni Azure. L’abilitazione avviene nel momento in cui si visita per la prima volta la dashboard di ASC nel portale di Azure oppure abilitandolo a livello di codice tramite API. In questa modalità (Azure Defender OFF) vengono offerte funzionalità relative all’ambito CSPM, tra le quali:
    • Un assessment continuo che riporta delle raccomandazioni relative alla sicurezza dell’ambiente Azure. ASC scopre continuamente nuove risorse che vengono distribuite e valuta se sono configurate in base alle best practice di sicurezza. In caso contrario, le risorse vengono contrassegnate e si ottiene un elenco prioritario di consigli relativi a ciò che è opportuno correggere per ottenere la loro protezione. Questo elenco di raccomandazioni è preso e supportato da Azure Security Benchmark, il set di linee guida specifico per Azure creato da Microsoft, che contiene le best practice di sicurezza e di conformità basate su framework comuni. Questo benchmark si basa sui controlli del Center for Internet Security (CIS) e del National Institute of Standards and Technology (NIST), con particolare attenzione alla sicurezza incentrata sul cloud.
    • L’assegnazione di un punteggio globale al proprio ambiente, che permette di valutare il profilo di rischio e di agire per intraprendere delle azioni di remediation.
  • Cloud workload protection (CWP): Azure Defender è la piattaforma CWP integrata in ASC che offre una protezione avanzata ed intelligente delle risorse e dei carichi di lavoro che risiedono in Azure ed in ambienti ibridi e multicloud. L’abilitazione di Azure Defender offre una gamma di funzionalità di sicurezza aggiuntive come descritto nei paragrafi seguenti.

Figura 1 – I pilastri di Azure Security Center

Quali tipi di risorse si possono proteggere con Azure Defender?

Abilitando Azure Defender vengono estese le funzionalità della modalità gratuita, anche ai workloads in esecuzione in cloud privati, presso altri cloud pubblici e in ambienti ibridi, fornendo una gestione globale e una protezione unificata.

Figura 2 – Ambiti di protezione di Azure Security Center

Tra le principali funzionalità di Azure Defender troviamo:

  • Microsoft Defender for Endpoint. ASC si integra con Microsoft Defender for Endpoint per fornire funzionalità complete di Endpoint Detection and Response (EDR). Grazie a questa integrazione è possibile usufruire delle seguenti funzionalità:
    • Onboarding automatizzato: attivata l’integrazione viene abilitato automaticamente il sensore di Microsoft Defender for Endpoint per i server monitorati da Security Center, ad eccezione dei sistemi Linux e Windows Server 2019, per i quali è necessario compiere delle configurazioni specifiche. I sistemi server monitorati da ASC saranno presenti anche nella console di Microsoft Defender for Endpoint.
    • Nella console di ASC saranno visualizzati anche gli alerts di Microsoft Defender for Endpoint, in modo da mantenere tutte le segnalazioni in un’unica console centralizzata.
  • Vulnerability Assessment per macchine virtuali e container registries. La scansione delle vulnerabilità inclusa in ASC viene effettuata tramite la soluzione Qualys, la quale risulta essere riconosciuta come leader per identificare in tempo reale eventuali vulnerabilità presenti sui sistemi. Per usufruire di questa funzionalità non è richiesta nessuna licenza aggiuntiva.
  • Protezione hybrid cloud e multicloud. Grazie al fatto che Azure Defender for Servers sfrutta Azure Arc è possibile semplificare il processo di onboarding, ed abilitare la protezione delle macchine virtuali in esecuzione in ambienti AWS, GCP oppure in cloud ibridi. Il tutto include diverse funzionalità, tra le quali, il provisioning automatico degli agenti, la gestione delle policy, delle vulnerabilità e l’EDR (Endpoint Detection and Response) integrato. Inoltre, grazie al supporto multicloud di Azure Defender for SQL è possibile monitorare costantemente le implementazioni di SQL Server per rilevare minacce e vulnerabilità note. Anche queste funzionalità sono fruibili per SQL Server attivati in ambiente on-premises, su macchine virtuali in Azure ed anche in deployment multicloud, contemplando Amazon Web Services (AWS) e Google Cloud Platform (GCP).
  • Access and application controls (AAC). Si tratta di una soluzione in grado di controllare quali applicazioni vengono eseguite sui sistemi, grazie alla quale è possibile effettuare le seguenti operazioni:
    • Essere avvisati a fronte di tentativi di esecuzione di applicazioni malevole, che potenzialmente potrebbero non essere individuate da soluzioni antimalware.
    • Rispettare la compliance aziendale, permettendo l’esecuzione solo di software regolarmente licenziato.
    • Evitare l’utilizzo di software non voluto oppure obsoleto all’interno della propria infrastruttura.
    • Controllare l’accesso ai dati sensibili che avviene utilizzando specifiche applicazioni.

Il tutto è reso possibile grazie a politiche di apprendimento automatico, adattate ai propri carichi di lavoro, che vengono utilizzate per creare elenchi di autorizzazioni e negazioni.

  • Threat protection alerts. Grazie alle funzionalità integrate di analisi comportamentale, a Microsoft Intelligent Security Graph e all’apprendimento automatico è possibile identificare attacchi avanzati ed exploit zero-day. Quando Azure Defender rileva una minaccia in qualsiasi area del proprio ambiente, genera un avviso di sicurezza. Questi avvisi descrivono i dettagli delle risorse interessate, i passaggi di correzione suggeriti e in alcuni casi viene fornita la possibilità di attivare in risposta delle Logic App. Tutti gli avvisi di sicurezza possono essere esportati in Azure Sentinel, in SIEM di terze parti oppure in altri strumenti SOAR (Security Orchestration, Automation and Response) o di IT Service Management.
  • Network map. Per monitorare continuamente lo stato di sicurezza della rete, ASC mette a disposizione una mappa che consente di visualizzare la topologia dei workloads e di valutare se ogni nodo è configurato correttamente. Controllando come sono collegati i nodi è possibile bloccare più facilmente le connessioni indesiderate che potrebbero potenzialmente rendere più facile per un utente malintenzionato attaccare la propria rete.

La dashboard di Azure Defender in ASC permette di avere visibilità e di intraprendere controlli specifici sulle funzionalità CWP per il proprio ambiente:

Figura 3 – Dashboard di Azure Defender

Azure Defender è gratuito per i primi 30 giorni, al termine dei quali se si sceglie di continuare ad utilizzare il servizio, saranno addebitati i costi secondo quanto riportato in questo documento.

Conclusioni

Azure Security Center consente di rafforzare la security posture della propria infrastruttura IT. Grazie alle funzionalità offerte è possibile implementare a livello globale best practice ed ottenere una visione d’insieme in ambito sicurezza. La soluzione coniuga la conoscenza maturata da Microsoft nella gestione dei propri servizi con nuove e potenti tecnologie idonee a trattare e gestire in modo consapevole ed efficace il tema della sicurezza.

La protezione di ambienti multi-cloud con Azure Security Center

La tendenza delle aziende di adottare una strategia multi-cloud è sempre più diffusa, ma questo modello operativo rende particolarmente sfidante ottenere elevati standard di sicurezza per il proprio ambiente. Per rispondere a questa esigenza Microsoft ha ufficialmente reso disponibile il supporto per la sicurezza multi-cloud nella soluzione Azure Security Center, consentendo di contemplare anche le risorse di Amazon Web Services (AWS) e di Google Cloud Platform (GCP). In questo articolo vengono riportare le caratteristiche di questa soluzione che consente di ottenere un elevato grado di sicurezza e migliorare le security posture in ambienti multi-cloud.

Azure Security Center (ASC) è stato originariamente sviluppato con la pretesa di essere lo strumento migliore per proteggere le risorse in ambiente Azure. La necessità dei clienti di proteggere le risorse dislocate su più cloud pubblici è però molto diffusa e per questa ragione il team di prodotto ha deciso di ampliare le capacità di azione, semplificando così gli strumenti di gestione della sicurezza in ambienti multi-cloud. Azure Security Center è in grado di proteggere non solo le risorse in ambienti ibridi ma anche di contemplare architetture multi-cloud, includendo AWS e GCP.

Figura 1 – Multi-cloud e hybrid protection in Azure Security Center

Queste le funzionalità che vengono messe a disposizione degli utilizzatori per coprire scenari multi-cloud:

  • Connettendo i propri account AWS oppure GCP ad Azure Security Center è possibile ottenere una visione multi-cloud unificata per quanto riguarda le security posture del proprio ambiente. In particolare, se le soluzioni AWS Security Hub oppure GCP Security Command Center rilevano configurazioni non corrette, queste segnalazioni vengono contemplate nel modello Secure Score e nella valutazione sulle conformità rispetto a specifiche normative (Regulatory Compliance), presenti in Azure Security Center.
  • Grazie al fatto che Azure Defender for Servers sfrutta Azure Arc è possibile semplificare il processo di onboarding, ed abilitare la protezione delle macchine virtuali in esecuzione in ambienti AWS, GCP oppure in cloud ibridi. Il tutto include diverse funzionalità, tra le quali, il provisioning automatico degli agenti, la gestione delle policy, delle vulnerabilità e l’EDR (Endpoint Detection and Response) integrato. In particolare, per la funzionalità di vulnerability assessment è possibile effettuare scansioni manuali o su larga scala, ed analizzare le vulnerabilità rilevate, sui sistemi sottoposti a scansione, tramite un’esperienza unificata.

Queste funzionalità si completano con il supporto multi-cloud, anch’esso recentemente annunciato, di Azure Defender for SQL, che permette di monitora costantemente le implementazioni di SQL Server per rilevare minacce e vulnerabilità note. Queste funzionalità sono fruibili per SQL Server attivati in ambiente on-premises, su macchine virtuali in Azure ed anche in deployment multi-cloud, contemplando Amazon Web Services (AWS) e Google Cloud Platform (GCP).

La soluzione Azure Arc ricopre un ruolo fondamentale in tutto ciò e permette di estendere i servizi ed i principi di gestione di Azure a qualsiasi infrastruttura. Per ottenere questo risultato Microsoft ha deciso di estensione il modello Azure Resource Manager per poter supportare anche ambienti ibridi e multi-cloud, facilitando in questo modo l’implementazione delle funzionalità di security presenti in Azure su tutti i componenti dell’infrastruttura.

Figura 2 – Azure Arc per ambienti ibridi e multi-cloud

Il processo di onboarding e le capacità offerte variano a seconda del cloud pubblico che si intende inglobare in Azure Security Center. Nei paragrafi seguenti vengono riportate le caratteristiche sia per Amazon Web Services (AWS) che per Google Cloud Platform (GCP).

Amazon Web Services (AWS)

Il processo di onboarding del proprio account AWS effettua l’integrazione della soluzione AWS Security Hub con Azure Security Center. In questo modo è possibile ottenere una visibilità ed una protezione completa di questi ambienti cloud per fornire:

  • Provisioning automatico degli agenti. ASC utilizza Azure Arc per la distribuzione dell’agente di Log Analytics a bordo delle istanze AWS.
  • Gestione delle policy.
  • Gestione delle vulnerabilità.
  • EDR (Endpoint Detection and Response) integrato.
  • Rilevamento di errori di configurazione che impattano sulla sicurezza.
  • Una singola visualizzazione in grado di mostrare le raccomandazioni di ASC ed i rilevamenti di AWS Security Hub.
  • Uno score di ASC che contempla anche le risorse AWS.
  • Valutazioni relative alle conformità normativa anche per le risorse AWS.

Nel momento in cui la connessione con AWS Security Hub risulta configurata correttamente:

  • ASC esegue la scansione dell’ambiente AWS alla ricerca di istanze EC2, ne viene fatto l’onboarding in Azure Arc, consentendo l’installazione dell’agente di Log Analytics. In questo modo si ottiene la protezione dalle minacce e si ricevono i consigli sulla sicurezza.
  • Il servizio ASC esegue la scansione di nuove istanze AWS EC2 ogni 6 ore e le integra in base alla configurazione fatta.
  • Lo standard AWS CIS viene mostrato nella dashboard sulle conformità normative di ASC.
  • Se le policy di AWS Security Hub sono abilitate, le relative raccomandazioni verranno visualizzate nel portale di ASC e nella dashboard sulle conformità normative, dopo alcuni minuti dal completamento del processo di onboarding.

Figura 3 – Raccomandazioni di AWS visualizzate nel portale di ASC

Per visualizzare le raccomandazioni attive per le proprie risorse in base alla tipologia, è possibile utilizzare la pagina di asset inventory di Security Center ed applicare il filtro specifico per la tipologia di risorsa AWS che interessa:

Figura 4 – Filtri di visualizzazione per le risorse AWS

Google Cloud Platform (GCP)

Il meccanismo di onboarding del proprio account GCP permette di integrare GCP Security Command con Azure Security Center e di avere una visibilità ed una protezione completa, in particolare fornendo:

  • Rilevamento di errori di configurazione che impattano sulla sicurezza.
  • Una singola visualizzazione in grado di mostrare le raccomandazioni di ASC ed i rilevamenti di GCP Security Command Center.
  • Uno score di ASC che contempla anche le risorse GCP.
  • Integrazione dei consigli di GCP Security Command Center basati sullo standard CIS all’interno della dashboard di conformità delle normative di Azure Security Center.

Nel momento in cui la connessione con GCP Security Command risulta completata:

  • Lo standard GCP CIS viene mostrato nella dashboard delle conformità normative di ASC.
  • Le raccomandazioni sulla sicurezza per le risorse dislocate in GCP verranno visualizzate nel portale di Azure Security Center e nella dashboard delle conformità normative dopo alcuni minuti dal completamento dell’onboarding.

Figura 5 – Raccomandazioni di GCP visualizzate nel portale di ASC

L’onboarding delle macchine virtuali GCP è al momento manuale, ma si possono adottare script per farlo su larga scala.

Nella pagina delle raccomandazioni di Azure Security Center sarà possibile visualizzare tutte le raccomandazioni di security delle risorse Azure insieme a quelle di AWS e di GCP, ottenendo così una visualizzazione multi-cloud.

Conclusioni

La possibilità di adottare Azure Security Center come soluzione centralizzata di controllo, dove confluiscono le informazioni di sicurezza provenienti anche da altri cloud pubblici, unita alle possibilità date dall’integrazione con Azure Arc, per estendere la protezione dei propri sistemi, permette di ottenere un elevato grado di sicurezza e di migliorare le security posture in ambienti multi-cloud. L’adozione di strategie multi-cloud sarà sempre più diffusa e Microsoft continuerà ad espandere Azure Security Center per fornire le migliori soluzioni per proteggere Azure, ambienti ibridi e modelli operativi multi-cloud.

Azure Security: come proteggere il servizio di distribuzione e di gestione delle risorse Azure

Per ottenere un elevato livello di sicurezza del proprio ambiente dislocato nel cloud pubblico è necessario prevedere una protezione sulle singole risorse che vengono attivate, ma è anche opportuno monitorare il servizio che permette la distribuzione e la gestione delle risorse stesse. Nel cloud pubblico di Microsoft il servizio di deployment e management è definito Azure Resource Manager, un servizio cruciale connesso a tutte le risorse Azure, pertanto un potenziale ed ambizioso bersaglio per gli aggressori. Microsoft, consapevole di questo aspetto, ha recentemente annunciato Azure Defender for Resource Manager. In questo articolo vengono riportate le caratteristiche di questa soluzione che consente di svolgere un’analisi avanzata di sicurezza, al fine di rilevare potenziali minacce ed essere avvisati a fronte di attività sospette che interessano Azure Resource Manager.

In Azure Defender esistono protezioni pensate appositamente per i singoli servizi Azure, come ad esempio per Azure SQL DB, Azure Storage, Azure VMs, e protezioni che interessano in modo trasversale tutti quei componenti che possono essere utilizzati dalle varie risorse Azure. Tra questi troviamo Azure Defender per Azure Network, Key Vault ed è stata annunciata recentemente anche la disponibilità di Azure Defender per Azure DNS e per Azure Resource Manager. Questi strumenti permettono di ottenere un ulteriore livello di protezione e controllo nel proprio ambiente Azure.

Figura 1 – Azure Defender Threat Protection per Workloads Azure

Azure Resource Manager fornisce il layer di gestione che consente di creare, aggiornare ed eliminare risorse nell’ambiente Azure. Fornisce inoltre funzionalità specifiche per la governance dell’ambiente Azure, come il controllo degli accessi, i lock ed i tag, che consentono di proteggere ed organizzare le risorse dopo la loro distribuzione.

Azure Defender for Resource Manager effettua automaticamente il monitor delle operazioni di gestione delle risorse Azure dell’organizzazione, indipendentemente dal fatto che queste vengano eseguite tramite il portale di Azure, le REST API di Azure, l’interfaccia da riga di comando oppure con altri client di programmazione di Azure.

Figura 2 – Protezione di Azure Defender for Resource Manager

Per attivare questo tipo di protezione è sufficiente abilitare il piano specifico di Azure Defender nelle impostazioni di Azure Security Center:

Figura 3 – Attivazione di Azure Defender for Resource Manager

Azure Defender for Resource Manager è in grado di attivare una protezione al verificarsi delle seguenti condizioni:

  • Operazioni di gestione delle risorse classificate come sospette, come ad esempio operazioni da indirizzi IP dubbi, disabilitazione del componente antimalware e script ambigui in esecuzione tramite le VM extensions.
  • Utilizzo di exploitation toolkits come Microburst oppure PowerZure.
  • Spostamento laterale dall’Azure management layer all’Azure resources data plane.

Un elenco completo degli alert che Azure Defender for Resource Manager è in grado di generare, si trova in questo documento Microsoft.

Gli avvisi di sicurezza generati da Azure Defender for Resource Manager si basano su potenziali minacce che vengono rilevate monitorando le operazioni di Azure Resource Manager utilizzando le seguenti fonti:

  • Azure Activity Log, il log della piattaforma Azure che fornisce informazioni sugli eventi a livello di sottoscrizione.
  • Log interni di Azure Resource Manager, non accessibile dai clienti, ma solo dal personale Microsoft.

Al fine di ottenere un’esperienza di indagine migliore e più approfondita è consigliabile far confluire gli Azure Activity Log in Azure Sentinel, seguendo la procedura descritta in questo documento Microsoft.

Simulando un attacco al layer di Azure Resource Manager utilizzando l’exploitation toolkits PowerZure, Azure Defender for Resource Manager genera un alert con severity elevata, come mostrato nell’immagine seguente:

Figura 4 – Alert generato da Azure Defender for Resource Manager

A fronte di un alert di questo tipo è possibile ricevere anche una notifica impostando in modo opportuno un action group in Azure Monitor. Inoltre, nel caso sia stata attivata l’integrazione tra Azure Security Center ed Azure Sentinel, lo stesso alert sarebbe presente anche in Azure Sentinel, con le relative informazioni necessarie per avviare il processo di investigazione e fornire una pronta risposta ad una problematica di questo tipo.

Conclusioni

Proteggere in modo efficace le risorse nell’ambiente Azure significa anche adottare gli strumenti idonei per fronteggiare potenziali attacchi che possono sfruttare i meccanismi di distribuzione e di gestione delle risorse stesse. Grazie al nuovo strumento Azure Defender for Resource Manager è possibile usufruire in modo totalmente integrato nella piattaforma Azure di una efficace protezione, senza dover installare specifici software oppure abilitare agenti aggiuntivi.

Come aumentare la sicurezza delle architetture a microservizi basate su Azure Kubernetes

Il diffondersi di nuove architetture applicative basate su microservizi impone l’adozione di soluzioni all’avanguardia che consentono di garantire un elevato livello di protezione e che permettono di rilevare e rispondere ad eventuali minacce di sicurezza. Azure Defender è in grado di offrire una protezione avanzata e mirata delle risorse e dei workload in ambienti ibridi ed in Azure. In questo articolo viene riportato come Azure Defender è in grado di garantire la protezione delle istanze di Azure Kubernetes Service (AKS) e la scansione delle immagini presenti in Azure Container Registry per rilevare eventuali vulnerabilità.

Azure Kubernetes Service (AKS) è il servizio Azure completamente gestito che permette l’attivazione di un cluster Kubernetes, ideale per semplificare il deployment e la gestione di architetture basate su microservizi. Grazie alle funzionalità offerte da AKS è possibile scalare automaticamente in base all’utilizzo, utilizzare controlli per garantire l’integrità dei servizi, implementare politiche di bilanciamento del carico e gestire i secret. In architetture basate su microservizi è frequente anche l’adozione del componente Azure Container Registry che consente di creare, archiviare e gestire le immagini dei container e gli artifacts in un registry privato. L’utilizzo di questo servizio gestito viene integrato con le pipeline di sviluppo e di deployment dei container.

Figura 1 – Esempio di architettura a microservizi basata su Azure Kubernetes

Azure Defender per Kubernetes

Attraverso l’analisi continua dell’ambiente AKS, Azure Security Center (ASC) è in grado di fornire una protezione dalle minacce in tempo reale per gli ambienti containerizzati e genera avvisi nel caso vengano rilevate minacce oppure attività dannose, sia a livello di host che a livello di cluster AKS.

La protezione da minacce di sicurezza per Azure Kubernetes Service avviene a diversi livelli:

  • Host level (fornito da Azure Defender for servers): tramite l’agente di Log Analytics vengono monitorati i nodi Linux del cluster AKS. In questo modo la soluzione è in grado di rilevare attività sospette come connessioni da indirizzi IP particolari e web shell detection. L’agente è inoltre in grado di monitorare specifiche attività relative ai container, come la creazione di container privilegiati, l’accesso ai server API e la presenza di server SSH in esecuzione all’interno di un container Docker. La lista completa degli alert che si possono attenere abilitando la protezione Host level è consultabile in questo documento.
  • AKS cluster level (fornito da Azure Defender for Kubernetes): a livello di cluster, la protezione dalle minacce si basa sull’analisi degli audit logs di Kubernetes. Si tratta di un monitor che non richiede la presenza di agenti specifici e che permette di generare alert, monitorando i servizi gestiti di AKS, come ad esempio la presenza di dashboard Kubernetes esposte e la creazione di ruoli con privilegi elevati. Per consultare la lista completa degli alert generati da questa protezione è possibile accedere a questo link.

In un ambiente AKS è consigliato da best-prectices abilitare anche l’Azure Policy add-on per Kubernetes oltre che ai servizi Azure Defender di protezione dalle minacce. In questo modo, grazie all’iterazione tra i vari componenti di piattaforma, in Azure Security Center è possibile analizzare quanto segue:

  • Audit logs provenienti dei server API
  • Eventi di security non elaborati (row) dall’agente di Log Analytics
  • Informazioni sulla configurazione del cluster AKS
  • Configurazioni dei workload

Figura 2 – Architettura ad alto livello che mostra l’interazione tra ASC, AKS ed Azure Policy

Azure Defender per container registry

Il servizio di protezione Azure Defender for container registries permette di valutare e gestire la presenza di vulnerabilità nelle immagini presenti in Azure Container Registry (ACR). Grazie allo strumento di scansione di Qualys è possibile effettuare una scansione approfondita delle immagini che avviene in tre momenti:

  • In caso di push: ogni volta che un’immagine viene inviata all’ACR, viene eseguita automaticamente la scansione.
  • In caso di estrazione recente: poiché ogni giorno vengono scoperte nuove vulnerabilità, viene analizza anche qualsiasi immagine per la quale è stata fatta un’estrazione negli ultimi 30 giorni.
  • Durante l’importazione: Azure Container Registry dispone di strumenti di importazione per far confluire le immagini al suo interno da Docker Hub, Microsoft Container Registry oppure da altri ACR. Tutte le immagini importate vengono prontamente analizzate.

Durante la scansione Qualys estrae l’immagine e la esegue in una sandbox isolata per rintracciare eventuali vulnerabilità note.

Nel caso vengano rilevate delle vulnerabilità sarà generata una notifica nella dashboard di Security Center. Questo alert sarà accompagnato da una classificazione di gravità e da indicazioni pratiche su come è possibile correggere le specifiche vulnerabilità rilevate in ciascuna immagine. Per verificare le immagini supportate dalla soluzione è possibile accedere a questo link.

Figura 3 – Diagramma di alto livello che mostra la protezione di ACR tramite ASC

Attivazione e costi

L’attivazione di questi servizi Azure Defender di protezione dalle minacce è possibile farla direttamente dal portale Azure:

Figura 4 – Attivazione dei servizi Azure Defender di protezione di Kubernetes e ACR

I moduli Azure Defender in Azure Security Center sono soggetti a costi specifici che possono essere calcolati utilizzando lo strumento Azure Pricing calculator. In particolare, il costo di Azure Defender per Kubernetes viene calcolato sul numero di core delle VMs che compongono il cluster AKS, mentre il costo di Azure Defender per Container registries è calcolato in base alle immagini soggette a scansione.

Conclusioni

Grazie alla copertura offerta dai servizi Azure Defender di Azure Security Center è possibile ottenere un elevato grado di protezione per le architetture applicative basate su microservizi, che utilizzano Azure Kubernetes Service (AKS) ed Azure Container Registry. Microsoft si dimostra un provider in grado di offrire servizi efficaci per l’esecuzione dei container in ambiente cloud, affiancati da moderni ed avanzati strumenti per la sicurezza, utili sia per risolvere rapidamente eventuali problemi in questo ambito che per migliorare le security posture del proprio ambiente.

L’integrazione tra Azure Security Center e Microsoft Defender ATP

Microsoft Defender Advanced Threat Protection (MDATP) è una piattaforma di sicurezza per gli endpoint aziendali progettata per prevenire, rilevare, investigare e rispondere alle minacce di sicurezza. In questo articolo viene approfondito come Azure Security Center (ASC) è in grado di integrarsi con questa piattaforma e quali sono gli aspetti da tenere in considerazione per unire le differenti potenzialità e contemplare in modo efficace la protezione dei server.

Microsoft Defender Advanced Threat Protection (MDATP)

Si riportano le principali caratteristiche della soluzione Microsoft Defender Advanced Threat Protection:

  • Sensori avanzati di rilevamento post-violazione: grazie ai sensori di Microsoft Defender ATP per server Windows è possibile raccogliere una vasta gamma di segnali comportamentali.
  • Possibilità di effettuare controlli post-violazione sfruttando le potenzialità del cloud: Microsoft Defender ATP è in grado di adattarsi rapidamente alle mutevoli minacce in quanto utilizza l’Intelligent Security Graph con segnali provenienti da Windows, Azure ed Office. Grazie a questo potente meccanismo è possibile rispondere rapidamente alle minacce sconosciute.
  • Threat intelligence: Microsoft Defender ATP genera alerts quando identifica strumenti, tecniche e procedure utilizzate degli aggressori. La soluzione utilizza dati generati dai “cacciatori” di minacce e dai team di sicurezza Microsoft, arricchiti dall’intelligence fornita dalla collaborazione con differenti partner in ambito sicurezza.

La console di Microsoft Defender Advanced Threat Protection (MDATP) è accessibile a questo indirizzo.

Caratteristiche e vantaggi dell’integrazione

ASC si integra con MDATP per fornire funzionalità complete di Endpoint Detection and Response (EDR). Grazie a questa integrazione è possibile usufruire delle seguenti funzionalità:

  • Onboarding automatizzato: attivata l’integrazione viene abilitato automaticamente il sensore di Microsoft Defender ATP per i server Windows monitorati da Security Center (ad eccezione dei sistemi Windows Server 2019, per i quali è necessario compiere delle configurazioni specifiche). I sistemi Windows Server monitorati da Azure Security Center saranno presenti anche nella console di Microsoft Defender ATP.
  • Nella console di Azure Security Center saranno visualizzati anche gli alerts di Windows Defender ATP, in modo da mantenere tutte le segnalazioni in un’unica console centralizzata. Per effettuare un’analisi di dettaglio delle segnalazioni è comunque consigliato accedere alla console di Microsoft Defender ATP, che fornisce ulteriori informazioni come i grafici degli incidenti. Dalla stessa console è anche possibile visualizzare per un sistema specifico la sequenza temporale di tutti i comportamenti rilevati, per un periodo storico fino a sei mesi.

Abilitazione dell’integrazione tra ASC e MDATP

Per abilitare questa integrazione è necessario utilizzare Azure Security Center (ASC) nel tier Standard, che include la licenza per attivare MDATP sui sistemi server.

  • Per le macchine virtuali in Azure è necessario avere il tier standard di ASC a livello di subscription:

Figura 1 – Attivazione tier standard di ASC a livello di subscription per VMs in Azure

  • Per le macchine virtuali che non risiedono in Azure, ma on-premises oppure in altri cloud, è sufficiente abilitare il tier standard di ASC a livello di workspace:

Figura 2 – Attivazione tier standard di ASC a livello di workspace per VMs non in Azure

Inoltre, è necessario abilitare la seguente impostazione da Azure Security Center:

Figura 3 – Abilitazione dell’integrazione tra ASC e MDATP

Per consultare le diverse possibilità per effettuare l’onboarding dei server è possibile accedere a questo documento Microsoft.

Quando si utilizza Azure Security Center per monitorare i server, viene creato automaticamente anche un tenant di Microsoft Defender ATP (di default in Europa). Se la soluzione Microsoft Defender ATP viene utilizzata prima di usare Azure Security Center, i dati verranno archiviati nella posizione specificata durante la creazione del tenant, anche se si effettua l’integrazione con ASC in un secondo momento. La posizione in cui vengono archiviati i dati non è possibile modificarla post deployment, ma se risulta necessario spostare i dati in un’altra posizione geografica occorre contattare il Supporto Microsoft.

Figura 4 – Data Storage retention

 

Rilevazione delle minacce

In presenza di questa integrazione, a fronte di una rilevazione di una minaccia da parte di MDATP, viene generato anche un alerts in Azure Security Center, che diventa la console centralizzata per la raccolta delle segnalazioni di security.

Figura 5 – SecurityAlert presente nel workspace di ASC

Le informazioni relative all’alert possono essere inviate anche per mail tramite Action Group:

Figura 6 – Segnalazione ricevuta tramite mail da ASC a fronte di una rilevazione di una minaccia

Per indagare in modo approfondito l’alert è possibile accedere al portale Microsoft Defender Security Center, dove si troveranno i relativi dettagli.

Figura 7 – Dettagli dell’alert dal portale Microsoft Defender Security Center

Conclusioni

Azure Security Center (ASC) e Microsoft Defender Advanced Threat Protection (MDATP) sono due soluzioni distinte, ma con importanti relazioni, sia per quanto riguarda gli aspetti relativi al licensing che per la gestione operativa della sicurezza dei sistemi server. Grazie a questa semplice integrazione è possibile gestire l’onboarding dei sistemi ed includere anche le segnalazioni di MDATP in ASC, in modo da poter monitorare in modo efficace il proprio ambiente e rispondere al meglio alle minacce di sicurezza sui sistemi server.

Azure Security Center: la protezione di Azure Storage

Azure Security Center, la soluzione cloud che consente di prevenire, rilevare e rispondere alle minacce di sicurezza che interessano architetture ibride, permette di avere un livello di protezione avanzato anche per le risorse storage presenti in Azure. La soluzione consente di rilevare tentativi insoliti e potenzialmente dannosi di accedere oppure di utilizzare Azure Storage. In questo articolo viene riportato come proteggere in modo efficace lo storage in Azure con questa soluzione, esaminando le novità recentemente annunciate in questo ambito.

Azure Security Center (ASC) è possibile attivarlo in due tiers differenti:

  • Free tier. In questo tier ASC è totalmente gratuito ed effettua un assessment continuo, fornendo delle raccomandazioni relative alla sicurezza dell’ambiente Azure.
  • Standard tier. Rispetto al tier free aggiunge funzionalità avanzate di rilevamento delle minacce, utilizzando l’analisi comportamentale e l’apprendimento automatico per identificare attacchi ed exploit zero-day. Attraverso tecniche di machine learning e tramite la creazione di whitelist è possibile controllare l’esecuzione delle applicazioni per ridurre l’esposizione agli attacchi di rete e ai malware. Inoltre, il livello standard aggiunge la possibilità di effettuare in modo integrato un Vulnerability Assessment per le macchine virtuali in Azure. Lo standard Security Center Standard supporta diverse risorse Azure tra cui: VMs, Virtual machine scale sets, App Service, SQL servers, e Storage accounts.

Advanced Threat Protection (ATP) per Azure Storage rientra quindi tra le varie funzionalità di Azure Security Center Standard.

Figura 1 – Confronto tra le funzionalità dei differenti tiers di ASC

Per migliorare le security posture del proprio ambiente Azure è fortemente consigliata l’abilitazione del tier Standard di Security Center.

La funzionalità di Advanced Threat Protection (ATP) per Azure Storage è stata annunciata lo scorso anno, permettendo di rilevare minacce comuni come malware, accesso da fonti sospette (inclusi nodi TOR), attività di esfiltrazione dei dati e altro ancora, ma il tutto limitatamente ai blob containers. Recentemente è stata incluso il supporto anche per Azure Files e Azure Data Lake Storage Gen2. Questo permette ai clienti di proteggere anche i dati archiviati in file shares e gli archivi di dati progettati per l’analisi dei big data aziendali.

L’attivazione di questa funzionalità dal portale Azure è molto semplice ed è possibile farla a livello di subscription protetta da Security Center oppure in modo selettivo sui singoli storage account.

Per abilitare questa protezione su tutti gli storage account della subscription è necessario accedere alla sezione “Pricing & Settings” di Security Center e attivare la protezione degli Storage Accounts.

Figura 2 – Attivazione ATP per Azure Storage a livello di subscription

Se si preferisce abilitarla solo su determinati storage account è necessario attivarla nelle rispettive impostazioni di Advanced security.

Figura 3 – Attivazione ATP sul singolo storage account

Quando si verificano anomalie su uno storage account gli avvisi di sicurezza vengono inviati tramite posta elettronica agli amministratori delle subscription Azure, con i dettagli sulle attività sospette rilevate e i relativi consigli su come indagare e risolvere le minacce.

I dettagli inclusi nella notifica dell’evento includono:

  • La natura dell’anomalia
  • Il nome dello storage account
  • L’ora dell’evento
  • La tipologia dello storage
  • Le potenziali cause
  • I passi consigliati per indagare quanto riscontrato
  • Le azioni da intraprendere per rimediare da quanto accaduto

Figura 4 – Esempio di avviso di sicurezza inviato a fronte di una rilevazione di una minaccia

Per validare il corretto funzionamento della soluzione è stato in questo esempio utilizzato il test file EICAR. Si tratta di un file sviluppato dall’European Institute for Computer Anti-Virus Research (EICAR) che serve per validare in sicurezza le soluzioni di protezione.

Gli avvisi di sicurezza è possibile consultarli e gestirli direttamente da Azure Security Center, dove vengono visualizzati i relativi dettagli e le azioni per indagare le minacce attuali ed affrontare quelle future.

Figura 5 – Esempio di avviso di sicurezza presente nel Security alerts tile di ASC

Per ottenere la lista completa dei possibili avvisi generati da tentativi insoliti e potenzialmente dannosi di accedere oppure utilizzare gli storage account è possibile accedere alla sezione Threat protection for data services in Azure Security Center.

Questa protezione risulta molto utile anche in presenza di architettura che prevedono l’utilizzo del servizio Azure File Sync (AFS), che permette di centralizzare le cartelle di rete della propria infrastruttura in Azure Files.

Conclusioni

Sempre più frequentemente le realtà aziendali trasferiscono i loro dati nel cloud, alla ricerca di architettura distribuite, elevate prestazioni e una ottimizzazione dei costi. Tutte le funzionalità offerte dal cloud pubblico richiedono di rafforzare la sicurezza informatica, in particolare vista la crescente complessità e sofisticatezza degli attacchi informatici. Grazie all’adozione di Advanced Threat Protection (ATP) per Azure Storage è possibile aumentare il livello di sicurezza dello storage utilizzato in ambiente Azure in modo semplice ed efficace.

Azure Management services: le novità di Aprile 2020

A partire da questo mese si rinnova la serie di articoli rilasciati dalla nostra community relativi alle novità degli Azure management services. Saranno articoli, pubblicati con cadenza mensile, dedicati esclusivamente a questi argomenti per aver un maggior livello di approfondimento.

Il management si riferisce alle attività e ai processi necessari per mantenere al meglio le applicazioni aziendali e le risorse che le supportano. Azure offre numerosi servizi e strumenti fortemente correlati tra di loro per fornire una esperienza di management completa. Questi servizi non sono dedicati esclusivamente alle risorse Azure, ma possono potenzialmente essere utilizzati anche per ambienti dislocati on-premises o presso altri cloud pubblici.

Il diagramma seguente mostra le diverse aree relative al management, che saranno contemplate in questa serie di articoli, per poter rimanere aggiornati su questi temi ed effettuare al meglio il deployment ed il mantenimento delle applicazioni e delle risorse.

Figura 1 – Overview dei Management services in Azure

Monitor

Azure Monitor per containers: supporto del monitoring sull’utilizzo delle GPU su node pool GPU-enabled di AKS

Azure Monitor per containers ha introdotto la possibilità di effettuare il monitor sull’utilizzo delle GPU in ambienti Azure Kubernetes Service (AKS) con nodi che sfruttano le GPU. Al momento sono supportati come vendors NVIDIA e AMD.
Questa funzionalità di monitoring può essere utile per:

  • Controllare la disponibilità di GPU sui nodi, l’utilizzo della GPU memory e lo stato delle richieste di GPU da parte dei pods.
  • Visualizzare le informazioni raccolte tramite il workbook built-in disponibile nella workbook gallery.
  • Generare alert sullo stato dei pod

Export di alert e raccomandazioni verso altre soluzioni

In Azure Security è stata introdotta una interessante funzionalità che permette di inviare le informazioni di security generate dal proprio ambiente verso altre soluzioni. Il tutto avviene tramite un meccanismo di esportazione continua degli alert e delle raccomandazioni verso Azure Event Hubs oppure verso workspace di Azure Monitor Log Analytics. Con questa funzionalità si aprono così nuovi scenari di integrazione per Azure Security Center. La funzionalità è chiamata Continuos Export e viene descritta in modo dettagliato in questo articolo.

Funzionalità di Workflow automation

Azure Security Center include la possibilità di disporre di workflow per la risposta agli incidenti di security. Tali processi potrebbero includere notifiche, l’avvio di un processo di change management e l’applicazione di specifiche operazioni di remediation. La raccomandazione è di automatizzare il maggior numero possibile di procedure in quanto l’automation può migliorare la sicurezza garantendo che le fasi del processo vengano eseguite in modo rapido, coerente e in base ai requisiti predefiniti. In Azure Security Center è stata resa disponibile la funzionalità di workflow automation. Può essere utilizzata per scatenare in modo automatico il trigger di Logic Apps sulla base di alerts di security e sulle raccomandazioni. Inoltre, l’esecuzione manuale di trigger è disponibile per gli alerts di security e per le raccomandazioni che hanno disponibile l’opzione di quick fix.

Integrazione con Windows Admin Center

Risulta ora possibile includere direttamente da Windows Admin Center in Azure Security Center i sistemi Windows Server che risiedono on-premises.

Azure Monitor Application Insights: monitor di applicazioni Java codeless

Il monitor di applicazioni Java è ora reso possibile senza apportare modifiche al codice, grazie ad Azure Monitor Application Insights. In preview è infatti disponibile il nuovo agente codeless Java. Tra le librerie e i frameworks supportati dal nuovo agente Java troviamo:

  • gRPC.
  • Netty/Webflux.
  • JMS.
  • Cassandra.
  • MongoDB.

Ritiro della solution di Office 365

Per la solution “Azure Monitor Office 365 management (Preview)”, che consente di effettuare l’invio dei log di Office 365 verso Azure Monitor Log Analytics è previsto il ritiro il 30 Luglio 2020. Questa solution è stata sostituita dalla solution di Office 365 presente in Azure Sentinel e dalla solution “Azure AD reporting and monitoring”. La combinazione di queste due solution è in grado di offrire una miglior experience nella configurazione e nel relativo utilizzo.

Azure Monitor per Containers: supporto per Azure Red Hat OpenShift

Azure Monitor per Containers ora supporta in preview anche il monitor per cluster Kubernetes ospitati su Azure Red Hat OpenShift versione 4.x & OpenShift versione 4.x.

Azure Monitor Logs: limitazioni su query concorrenti

Per garantire un’esperienza coerente per tutti gli utenti nella consultazione dei Log di Azure Monitor, verranno gradualmente implementati nuovi limiti di concorrenza. Questo contribuirà a proteggersi dall’invio di un numero eccessivo di query contemporaneamente, che potrebbe potenzialmente sovraccaricare le risorse di sistema e compromettere la reattività. Questi limiti sono progettati per intervenire e limitare solo scenari di utilizzo estremi, ma non dovrebbero essere rilevanti per l’uso tipico della soluzione.

Secure

Azure Security Center

Disponibilità del Dynamic compliance packages

La regulatory compliance dashboard di Azure Security Center include ora il dynamic compliance packages per tracciare ulteriori standard di settore e normativi. I dynamic compliance packages possono essere aggiunti a livello di subscription oppure di management group dalla pagina delle policy di Security Center. Dopo aver inserito uno standard o un benchmark, questo viene visualizzato nella dashboard di conformità normativa con tutti i relativi dati. Sarà inoltre disponibile per il download un report di riepilogo per tutti gli standard che sono stati integrati.

Incluse le raccomandazioni di Identity nel tier free di Azure Security Center

Le raccomandazioni di security relative all’identity e all’accesso sono state incluse nel tier free di Azure Security Center. Questo aspetto consente di aumentare gratuitamente le funzionalità in ambito cloud security posture management (CSPM). Prima di questa moditifca, tali raccomandazioni erano disponibili solo nel tier Standard di Azure Security Center. Si riportano alcuni esempi di raccomandazioni relative all’identity e all’accesso:

  • “Multifactor authentication should be enabled on accounts with owner permissions on your subscription.”
  • “A maximum of three owners should be designated for your subscription.”
  • “Deprecated accounts should be removed from your subscription.”

Protect

Azure Backup

Cross Region Restore (CRR) per le macchine virtuali Azure

Grazie all’introduzione di questa nuova funzionalità in Azure Backup viene introdotta la possibilità di avviare a piacimento i ripristini in una regione secondaria, rendendoli completamente controllati dal cliente. Per farlo è necessario che il Recovery Service vault che detiene i backup sia impostato in ridondanza geografica; in questo modo i dati di backup nella region primaria sono replicati geograficamente nella regione secondaria associata ad Azure (paired region).

Azure Files share snapshot management

In Azure Backup è stata introdotta la possibilità di creare snapshots di Azure Files share, giornaliere, settimanali, mensili, e annuali e mantenerle fino a 10 anni.

Figura 2 – Azure Files share snapshot management

Supporto per la sostituzione dei dischi esistenti per le VM con immagini personalizzate

In Azure Backup è stato introdotto il supporto, durante le fasi del ripristino, per sostituire i dischi esistenti nelle macchine virtuali create con immagini personalizzate.

SAP HANA backup

In Azure Backup la protezione dei DB di SAP HANA presenti nelle macchine virtuali è disponibile in tutte le principali region di Azure. Tale funzionalità consente di avere in modo integrato e senza dover prevedere una infrastruttura di backup specifica la protezione dei database SAP HANA. Questa soluzione risulta ufficialmente certificata da SAP.

Valutazione di Azure

Per testare e valutare in modo gratuito i servizi offerti da Azure è possibile accedere a questa pagina.

Azure Security Center: come personalizzare la soluzione per soddisfare i propri requisiti di sicurezza

Azure Security Center è una soluzione nel cloud che consente di prevenire, rilevare e rispondere alle minacce di sicurezza che interessano sia le risorse in ambiente Azure che workloads in ambienti ibridi. Tramite l’assegnazione di un punteggio globale al proprio ambiente permette di valutare il profilo di rischio e di agire per intraprendere delle azioni di remediation al fine di migliorare le security posture. La soluzione si basa su delle raccomandazioni generiche, ma in alcuni casi è opportuno personalizzarla per contemplare al meglio le proprie politiche di sicurezza. In questo articolo viene riportato come è possibile introdurre questo livello di personalizzazione al fine di aumentare il valore fornito da Azure Security Center.

Utilizzo delle custom security policy

Le raccomandazioni di default presenti nella soluzione sono derivanti da best practices generiche del settore e da specifici standard normativi.

Figura 1 – Punteggio e raccomandazioni standard presenti in Azure Security Center

Recentemente è stata introdotta la possibilità di aggiungere le proprie initiatives personalizzate, al fine di ricevere delle raccomandazioni qualora non siano rispettate le policy di sicurezza stabilite in modo specifico per il proprio ambiente. Le iniziative personalizzate che vengono create sono totalmente integrate nella soluzione e saranno contemplate sia nel Secure Score che nelle dashboard di compliance.

Per creare una initiative personalizzata è possibile seguire la procedura in seguito riportata:

Figura 2 – Avvio del processo di creazione di una custom initiative

All’interno delle initiatives è possibile includere delle Azure Policy integrate nella soluzione oppure le proprie policy personalizzate.

Nell’esempio sotto riportato l’initiative include le seguenti due policy:

  • Una custom che impedisce la creazione di peering verso una rete di Hub che si trova in un determinato resource group.
  • Una bult-in che verifica che siano applicati i Network Security Group a tutte le subnet.

Figura 3 – Creazione di una custom initiative

In seguito, è necessario procedere con l’assegnazione dell’initiative custom:

Figura 4 – Avvio del processo di assegnazione

 

Figura 5 – Assegnazione della custom initiative

 

Figura 6 – Visualizzazione della custom initiative assegnata

La visualizzazione delle raccomandazioni presenti all’interno di Security Center non è immediata, ma attualmente richiede circa 1 ora e la si può consultare nella seguente sezione:

Figura 7 – Custom initiative nella sezione Regulatory compliance

 

Disabilitazione di security policy di default

In determinate circostanze può risultare opportuno disabilitare determinati controlli presenti di default nella soluzione Azure Security Center, in quanto non si ritengono adeguati al proprio ambiente e non si vogliono generare inutilmente delle segnalazioni. Per farlo è possibile effettuare gli step seguenti:

Figura 8 – Accesso alle default policy di Security Center

 

Figura 9 – Selezione dell’assegnazione delle default policy di Security Center

 

Figura 10 – Disabilitazione di una specifica policy presente di default

 

Conclusioni

Azure Security Center mette a disposizione in modo nativo una serie di controlli per verificare costantemente la presenza di condizioni ritenute anomale e che possono avere un impatto diretto sulla sicurezza dell’ambiente. La possibilità di introdurre un livello di personalizzazione nella soluzione, la rende più flessibile e permette di verificare e applicare su larga scala dei criteri di compliance in ambito sicurezza specifici per il proprio ambiente. Per migliorare le security posture è fondamentale valutare l’adozione di questa soluzione e applicando un buon livello di personalizzazione se ne aumenta notevolmente il suo valore.

Azure Security: come effettuare un Vulnerability Assessment tramite Azure Security Center

Azure Security Center, la soluzione cloud che consente di prevenire, rilevare e rispondere alle minacce di sicurezza che interessano le risorse Azure e i workloads in ambienti ibridi, è stata recentemente arricchita con la possibilità di effettuare in modo integrato un Vulnerability Assessment per le macchine virtuali in Azure. In questo articolo viene riportato come è possibile portare a termine un processo di valutazione delle vulnerabilità tramite Azure Security Center, esaminando le caratteristiche della soluzione.

La scansione delle vulnerabilità inclusa in Azure Security Center (ASC) viene effettuata tramite la soluzione Qualys, il quale risulta essere riconosciuto come strumento leader per identificare in tempo reale eventuali vulnerabilità presenti sui sistemi. Per poter utilizzare questa funzionalità è necessario aderire al tier standard di Security Center e nel caso specifico non sarà necessario prevedere costi aggiuntivi di licensing. Il tier Standard aggiunge anche funzionalità avanzate di rilevamento delle minacce (tra cui threat intelligence), analisi comportamentale, rilevamento delle anomalie e di incidenti di sicurezza e report di attribuzione delle minacce.

Qualora si voglia mantenere il tier Free di ASC è comunque possibile effettuate il deploy di soluzioni per effettuare una valutazione delle vulnerabilità, quali Qualys e Rapid7, ma è necessario prevedere la gestione dei costi di licensing, la distribuzione e la configurazione. Per maggiori dettagli in merito al costo di Azure Security Center e per un confronto tra il tier Free e quello Standard si rimanda alla documentazione ufficiale Microsoft.

La metodologia più rapida e immediata per effettuare una scansione delle vulnerabilità in Azure è utilizzare la soluzione Qualys integrata nel Standard Tier di Azure Security Center. Per abilitarla è sufficiente accedere alle Recommendations di ASC e selezionare “Enable the built-in vulnerability assessment solution on virtual machines (powered by Qualys)“, come mostrato dall’immagine seguente:

Figura 1 – Recommendation di Azure Security Center per abilitare la solution di vulnerability assessment

Selezionando questa opzione le macchine virtuali Azure vengono suddivise nelle seguenti categorie:

  • Healthy resources: sistemi dove è stato effettuato il deploy dell’estensione per portare a termine una scansione delle vulnerabilità.
  • Unhealthy resources: machine dove è possibile abilitare l’estensione per eseguire una scansione delle vulnerabilità.
  • Not applicable resources: sistemi dove non è presente l’estensione e che non è possibile l’abilitazione in quanto appartengono al tier free di ASC oppure perché il sistema operativo rientra tra quelli non supportati. Tra I sistemi operative supportati troviamo: RHEL 6.7/7.6, Ubuntu 14.04/18.04, Centos 6.10/7/7.6, Oracle Linux 6.8/7.6, SUSE 12/15, e Debian 7/8.

Figura 2 – Abilitazione della solution

Selezionando le macchine di interesse e premendo il pulsante Remediate verrà effettuato l’onboarding delle stesse nella soluzione built-in di Vulnerability Assessment. Ne consegue che sui sistemi sarà installata l’extension specifica e al termine dell’installazione sarà avviata in modo automatico la prima scansione. L’extesion si basa sull’Azure Virtual Machine agent e viene pertanto eseguita nel contesto Local Host sui sistemi Windows, e Root su quelli Linux.

Si riportano i nomi dell’extension che sarà presente sui sistemi abilitati, per le quali il provider sarà sempre Qualys:

  • Macchine Linux: “LinuxAgent.AzureSecurityCenter”
  • Macchine Windows: “WindowsAgent.AzureSecurityCenter”

Per quanto riguarda gli aggiornamenti dell’extension valgono le stesse regole che vengono applicate anche per altre extension e quindi le minor version dello scanner di Qualys saranno distribuite in modo automatico in seguito a una approfondita fase di test. In alcuni casi potrebbe essere necessarie delle azioni manuali per portare a termine l’aggiornamento.

Al termine della scansione eventuali vulnerabilità rilevate sui sistemi saranno riportate nelle Recommendations di ASC.

Figura 3 – Notifica di ASC che riporta la presenza di recommendations relative alle vulnerabilità intercettate

Selezionando la raccomandazione vengono riportati i dettagli di tutte le vulnerabilità rilevate, della severity e del relativo stato:

Figura 4 – Elenco delle vulnerabilità di security rilevate

Selezionando la singola vulnerabilità si possono consultare i dettagli, i potenziali impatti, le azioni per effettuare la remediation e i sistemi interessati.

Figura 5 – Informazioni riportate per ogni singola vulnerabilità rilevata

Conclusioni

Per rafforzare le security posture del proprio ambiente è sicuramente opportuno valutare l’adozione di Azure Security Center nel tier standard, che tra le varie funzionalità permette di controllare che siano applicati in modo rigoroso tutti i criteri di sicurezza e consente di monitorare costantemente i criteri di conformità. L’inclusione nella soluzione di uno strumento di valutazione delle vulnerabilità, fornito da Qualys, leader indiscusso del settore, aggiunge ulteriore valore alla soluzione, potendo attingere anche alla conoscenza maturata da questo vendor nella scoperta delle vulnerabilità.