Archivi categoria: Azure Security

Microsoft Defender ATP: la protezione dei sistemi Linux

Molte realtà aziendali dispongono di infrastrutture composte da sistemi operativi server eterogenei ed è nota la difficoltà nel dover adottare e gestire piattaforme di sicurezza differenti per garantire una protezione di tutto il parco macchine. Microsoft in questo ambito ha recentemente annunciato la disponibilità di Microsoft Defender Advanced Threat Protection (ATP), la piattaforma di sicurezza per gli endpoint aziendali progettata per prevenire, rilevare, investigare e rispondere alle minacce di sicurezza, anche per i sistemi Linux. In questo articolo viene riportato come proteggere le macchine Linux con questa soluzione e viene fornita una panoramica di come Microsoft Defender Security Center permette di monitorare e gestire la sicurezza dell’intero spettro di piattaforme client e server negli ambienti aziendali (Windows, Windows Server, macOS e Linux).

Negli ultimi anni Microsoft ha costantemente evoluto la piattaforma di sicurezza degli endpoint Microsoft Defender Advanced Threat Protection (ATP), al punto da essere stata riconosciuta come leader, ottenendo anche il posizionamento più alto nella capacità di esecuzione, nell’ultimo quadrante di Gartner “Endpoint Protection Platforms”.

Figura 1 – Gartner Magic Quadrant “Endpoint Protection Platforms” (2019)

La possibilità di proteggere anche i sistemi Linux la rende una soluzione ancora più completa, in grado di offrire:

  • Potenti funzionalità preventive. La soluzione fornisce una protezione real-time per le seguenti tipologie di file system: btrfs, ecryptfs, ext2, ext3, ext4, fuse, fuseblk, jfs, nfs, overlay, ramfs, reiserfs, tmpfs, udf, e vfat.
  • Un’esperienza completa da riga di comando per configurare e gestire l’agente, avviare scansioni e gestire le minacce.
  • Un’integrazione nel monitoraggio degli avvisi all’interno del Microsoft Defender Security Center.

Requisiti di sistema

Prima di procedere con il deployment della soluzione è opportuno verificare che siano rispettati tutti i requisiti richiesti da Microsoft Defender ATP in ambiente Linux.

Le distribuzioni Linux e le relative versioni attualmente supportate sono le seguenti:

  • Red Hat Enterprise Linux 7.2 o superiore
  • CentOS 7.2 o superiore
  • Ubuntu 16.04 LTS o superiore
  • Debian 9 o superiore
  • SUSE Linux Enterprise Server 12 o superiore
  • Oracle Linux 7.2 o superior

La versione minima del kernel supportata è la 3.10.0-327 e deve essere abilitata la funzionalità fanotify.  Fanotify è un sistema di notifica dell’accesso ai file integrato in molti kernel Linux che consente a Microsoft Defender ATP di effettuare la scansione dei file e, se necessario, di bloccare l’accesso alle minacce. L’utilizzo di questa funzionalità deve essere totalmente dedicato a Microsoft Defender ATP, in quanto l’utilizzo congiunto di questa funzionalità da parte di altre soluzioni di sicurezza, può portare a risultati imprevedibili, incluso il blocco del sistema operativo.

Requisiti di rete

Per un corretto funzionamento di Microsoft Defender ATP sui sistemi Linux è necessario consentire una corretta comunicazione di rete verso URL specifici. In questo foglio di calcolo vengono elencati da parte di Microsoft i servizi e gli URL associati a cui il sistema protetto deve essere in grado di connettersi. Per maggiori dettagli a riguardo è possibile consultare questo documento specifico di Microsoft.

Microsoft Defender ATP prevede l’utilizzo dei seguenti sistemi proxy:

  • Transparent Proxy
  • Configurazione manuale del proxy statico

Non sono invece supportati PAC file, WPAD e proxy autenticati. Si ricorda inoltre che non sono supportati nemmeno meccanismi di SSL inspection per ragioni di sicurezza.

Metodi di deployment

L’attivazione di Microsoft Defender ATP sui sistemi Linux può essere fatta manualmente oppure tramite strumenti di management di terze parti, tra cui Ansible e Puppet, per i quali Microsoft documenta nel dettaglio la procedura da seguire. Entrambi gli strumenti prevedono le seguenti fasi:

  • Download dell’onboarding package dal Microsoft Defender Security Center.

Figura 2 – Download dell’onboarding package dal portale Microsoft Defender Security Center

  • Creazione del manifest (Puppet) oppure del YAML file (Ansible).
  • Distribuzione che prevede l’enrollment dell’agent e delle relative configurazioni.

Al termine del processo di installazione sarà possibile gestire totalmente il componente Microsoft Defender ATP direttamente tramite bash.

Figura 3 – Esecuzione del comando mdadp da una macchina Linux con il componente installato

Completato il processo di onboarding sarà possibile gestire le macchine Linux dal portale Microsoft Defender Security Center, come avviene per gli altri sistemi operativi.

Figura 4 – Device Linux presenti nel portale Microsoft Defender Security Center

A fronte di rilevazioni malware gli avvisi vengono riportati all’interno del Microsoft Defender Security Center:

Figura 5 – Timeline di rilevazione con il file di test Eicar su macchina Linux

Aggiornamenti del software

Microsoft pubblica regolarmente aggiornamenti software per migliorare le prestazioni, la sicurezza e fornire nuove funzionalità per Microsoft Defender ATP per Linux. Un aspetto sul quale prestare attenzione è che ogni versione di Microsoft Defender ATP per Linux ha una data di scadenza, dopo la quale non continuerà più a proteggere il sistema, pertanto è necessario aggiornare il prodotto prima di quella data. Per la procedura di aggiornamento della soluzione è possibile consultare questo documento di Microsoft.

Quando si aggiorna il sistema operativo Linux a una nuova major release, è necessario prima disinstallare Microsoft Defender ATP per Linux, installare l’aggiornamento e infine riconfigurare Microsoft Defender ATP sul sistema.

Configurazione della soluzione

Negli ambienti aziendali che dispongono di più sistemi, Microsoft Defender ATP per Linux può essere facilmente gestito tramite dei profili di configurazione. Il profilo di configurazione altro non è che un file con estensione “.json” composto da diverse voci, identificate da una chiave (che denota il nome della preferenza) e seguite da un valore. I valori possono essere semplici, come un valore numerico, oppure complessi, come un elenco nidificato di preferenze.

Questi profili è possibile distribuirli dallo strumento di gestione a disposizione, andando a gestire il tutto in modo centralizzato. Le preferenze distribuite avranno la precedenza su quelle impostate localmente sul sistema in modo da poter governare al meglio le differenti impostazioni. Per maggiori dettagli sulla struttura di questo profilo e sulle metodologie da utilizzare per la relativa distribuzione è possibile consultare questo articolo di Microsoft.

Conclusioni

Nonostante ci sia chi afferma che per le macchine Linux non siano necessarie soluzioni di sicurezza, personalmente ritengo che anche sui sistemi Linux sia opportuno attivare una adeguata protezione come per qualsiasi altro sistema operativo. Microsoft Defender ATP per Linux è in continua espansione e sono previste nuove interessanti funzionalità nei prossimi mesi per arricchire la soluzione con nuove e avanzate funzionalità di protezione. L’aggiunta di Linux alle piattaforme supportate nativamente da Microsoft Defender ATP segna una svolta importante per tutti i clienti che hanno l’esigenza di includere anche questi sistemi in una strategia di protezione unificata. Microsoft Defender Security Center offre infatti una soluzione centralizzata per il monitor e la gestione della sicurezza dell’intero parco macchine server e client.

Please follow and like us:

Azure Security Center: la protezione di Azure Storage

Azure Security Center, la soluzione cloud che consente di prevenire, rilevare e rispondere alle minacce di sicurezza che interessano architetture ibride, permette di avere un livello di protezione avanzato anche per le risorse storage presenti in Azure. La soluzione consente di rilevare tentativi insoliti e potenzialmente dannosi di accedere oppure di utilizzare Azure Storage. In questo articolo viene riportato come proteggere in modo efficace lo storage in Azure con questa soluzione, esaminando le novità recentemente annunciate in questo ambito.

Azure Security Center (ASC) è possibile attivarlo in due tiers differenti:

  • Free tier. In questo tier ASC è totalmente gratuito ed effettua un assessment continuo, fornendo delle raccomandazioni relative alla sicurezza dell’ambiente Azure.
  • Standard tier. Rispetto al tier free aggiunge funzionalità avanzate di rilevamento delle minacce, utilizzando l’analisi comportamentale e l’apprendimento automatico per identificare attacchi ed exploit zero-day. Attraverso tecniche di machine learning e tramite la creazione di whitelist è possibile controllare l’esecuzione delle applicazioni per ridurre l’esposizione agli attacchi di rete e ai malware. Inoltre, il livello standard aggiunge la possibilità di effettuare in modo integrato un Vulnerability Assessment per le macchine virtuali in Azure. Lo standard Security Center Standard supporta diverse risorse Azure tra cui: VMs, Virtual machine scale sets, App Service, SQL servers, e Storage accounts.

Advanced Threat Protection (ATP) per Azure Storage rientra quindi tra le varie funzionalità di Azure Security Center Standard.

Figura 1 – Confronto tra le funzionalità dei differenti tiers di ASC

Per migliorare le security posture del proprio ambiente Azure è fortemente consigliata l’abilitazione del tier Standard di Security Center.

La funzionalità di Advanced Threat Protection (ATP) per Azure Storage è stata annunciata lo scorso anno, permettendo di rilevare minacce comuni come malware, accesso da fonti sospette (inclusi nodi TOR), attività di esfiltrazione dei dati e altro ancora, ma il tutto limitatamente ai blob containers. Recentemente è stata incluso il supporto anche per Azure Files e Azure Data Lake Storage Gen2. Questo permette ai clienti di proteggere anche i dati archiviati in file shares e gli archivi di dati progettati per l’analisi dei big data aziendali.

L’attivazione di questa funzionalità dal portale Azure è molto semplice ed è possibile farla a livello di subscription protetta da Security Center oppure in modo selettivo sui singoli storage account.

Per abilitare questa protezione su tutti gli storage account della subscription è necessario accedere alla sezione “Pricing & Settings” di Security Center e attivare la protezione degli Storage Accounts.

Figura 2 – Attivazione ATP per Azure Storage a livello di subscription

Se si preferisce abilitarla solo su determinati storage account è necessario attivarla nelle rispettive impostazioni di Advanced security.

Figura 3 – Attivazione ATP sul singolo storage account

Quando si verificano anomalie su uno storage account gli avvisi di sicurezza vengono inviati tramite posta elettronica agli amministratori delle subscription Azure, con i dettagli sulle attività sospette rilevate e i relativi consigli su come indagare e risolvere le minacce.

I dettagli inclusi nella notifica dell’evento includono:

  • La natura dell’anomalia
  • Il nome dello storage account
  • L’ora dell’evento
  • La tipologia dello storage
  • Le potenziali cause
  • I passi consigliati per indagare quanto riscontrato
  • Le azioni da intraprendere per rimediare da quanto accaduto

Figura 4 – Esempio di avviso di sicurezza inviato a fronte di una rilevazione di una minaccia

Per validare il corretto funzionamento della soluzione è stato in questo esempio utilizzato il test file EICAR. Si tratta di un file sviluppato dall’European Institute for Computer Anti-Virus Research (EICAR) che serve per validare in sicurezza le soluzioni di protezione.

Gli avvisi di sicurezza è possibile consultarli e gestirli direttamente da Azure Security Center, dove vengono visualizzati i relativi dettagli e le azioni per indagare le minacce attuali ed affrontare quelle future.

Figura 5 – Esempio di avviso di sicurezza presente nel Security alerts tile di ASC

Per ottenere la lista completa dei possibili avvisi generati da tentativi insoliti e potenzialmente dannosi di accedere oppure utilizzare gli storage account è possibile accedere alla sezione Threat protection for data services in Azure Security Center.

Questa protezione risulta molto utile anche in presenza di architettura che prevedono l’utilizzo del servizio Azure File Sync (AFS), che permette di centralizzare le cartelle di rete della propria infrastruttura in Azure Files.

Conclusioni

Sempre più frequentemente le realtà aziendali trasferiscono i loro dati nel cloud, alla ricerca di architettura distribuite, elevate prestazioni e una ottimizzazione dei costi. Tutte le funzionalità offerte dal cloud pubblico richiedono di rafforzare la sicurezza informatica, in particolare vista la crescente complessità e sofisticatezza degli attacchi informatici. Grazie all’adozione di Advanced Threat Protection (ATP) per Azure Storage è possibile aumentare il livello di sicurezza dello storage utilizzato in ambiente Azure in modo semplice ed efficace.

Please follow and like us:

Azure Security Center: l’export di alert e raccomandazioni verso altre soluzioni

In Azure Security è stata introdotta una interessante funzionalità che permette di inviare le informazioni di security generate dal proprio ambiente verso altre soluzioni. Il tutto avviene tramite un meccanismo di esportazione continua degli alert e delle raccomandazioni verso Azure Event Hubs oppure verso workspace di Azure Monitor Log Analytics. Con questa funzionalità si aprono così nuovi scenari di integrazione per Azure Security Center. In questo articolo viene riportato come utilizzare questa funzionalità e vengono approfondite le sue caratteristiche.

Azure Security Center (ASC) effettua un assessment continuo dell’ambiente ed è in grado di fornire delle raccomandazioni relative alla sicurezza dell’ambiente. Come descritto in questo articolo è possibile personalizzare la soluzione per soddisfare i propri requisiti di sicurezza e le raccomandazioni che vengono generate. Nel tier standard queste raccomandazioni possono non essere limitate al solo ambiente Azure, ma sarà possibile contemplare anche ambienti ibridi e le risorse on-premises.

Security Center standard genera anche degli alert nel momento in cui vengono rilevate potenziali minacce di sicurezza sulle risorse presenti nel proprio ambiente. ASC stabilisce le priorità, elenca gli alert, fornisce le informazioni necessarie per esaminare rapidamente i problemi e riporta consigli su come risolvere eventuali attacchi.

Azure Event Hubs è una piattaforma di streaming di big data e un servizio per l’ingestion di eventi. Può ricevere ed elaborare milioni di eventi al secondo. I dati inviati a un Event Hub possono essere trasformati e archiviati utilizzando qualsiasi provider di analisi in tempo reale oppure adattatori batch o di archiviazione.

La nuova funzionalità che è stata introdotta in Azure Security Center si chiama Continuos Export, supporta scenari enterprise e consente di effettuare quanto segue:

  • Export verso Azure Event Hubs per ottenere una integrazione con SIEMs di terze parti ed Azure Data Explorer.
  • Export verso un workspace Log Analytics per avere una integrazione con Azure Monitor, utile per analizzare meglio i dati, utilizzare Alert rule, Microsoft Power BI e dashboards personalizzate.
  • Export in un file CSV, per singole esportazioni di dati (one shot).

La configurazione è semplice e la si può effettuare tramite la seguente procedura.

In Azure Security Center si seleziona la subscription per la quale si vuole configurare l’esportazione dei dati e nella sidebar delle impostazioni si seleziona Continuos Export:

Figura 1 – Continuous Export nei settings di ASC della subscription

In questo caso si è scelto di configurare l’esportazione verso un workspace di Log Analytics. Si possono selezionare quali raccomandazioni esportare ed il relativo livello di severity. Anche per gli alert di security si può scegliere per quale livello farne l’esportazione. L’export crea un oggetto, pertanto è opportuno specificare in quale resource group posizionarlo. Sarà infine necessario selezionare il workspace target di Log Analytics.

Figura 2 – Configurazione dei parametri per fare il Continuous Export

Selezionando il link per l’integrazione con Azure Monitor c’è la possibilità di creare in modo automatico delle Alert rule già preimpostate.

Figura 3 – Creazione automatica di alert rule in Azure Monitor

Di default queste alert rule non configurano degli Action Group, pertanto è consigliabile modificarle per scatenare un trigger in base alle proprie esigenze.

Queste le due alert rule create di default:

Figura 4 – Alert rule di Azure Monitor create di default

In alternativa, dopo aver fatto confluire le raccomandazioni e gli alert di ASC in un workspace, è possibile configurare in Azure Monitor delle Alert rule personalizzate basate su query di Log Analytics.

Gli alert di security e le raccomandazioni di ASC vengono memorizzate nelle tabelle SecurityAlert e SecurityRecommendations del workspace. Il nome della solution di Log Analytics contenente queste tabelle è in relazione al tier di ASC, che può essere quindi Security and Audit (tier standard) oppure SecurityCenterFree (tier free).

Figura 4 – Tabelle in Log Analytics

La configurazione di Continuos Export verso Event Hubs è del tutto simile e risulta essere la metodologia migliore per integrare le raccomandazioni e gli alerts di Azure Security Center con soluzioni SIEM di terze parti. In seguito, vengono riportati i connettori per le principali soluzioni SIEM di terze parti:

In Azure Sentinel è invece disponibile il Data connector nativo per contemplare gli alerts di Azure Security Center.

Per configurare l’export verso Azure Data Explorer è possibile usare la procedura riportata in questa documentazione Microsoft.

Conclusioni

Grazie a questa nuova funzionalità introdotta in Azure Security Center è possibile consolidare tutti gli alert e le raccomandazioni generati dalla soluzione verso altri strumenti, aprendo così nuovi possibili scenari di integrazione anche con soluzioni di terze parti. Il tutto è reso possibile tramite un meccanismo facilmente configurabile, che consente di essere immediatamente notificati e di intraprendere rapidamente le azioni necessarie. Questi aspetti sono fondamentali quando si trattano informazioni relative alla sicurezza.

Please follow and like us:

Azure Security Center: come personalizzare la soluzione per soddisfare i propri requisiti di sicurezza

Azure Security Center è una soluzione nel cloud che consente di prevenire, rilevare e rispondere alle minacce di sicurezza che interessano sia le risorse in ambiente Azure che workloads in ambienti ibridi. Tramite l’assegnazione di un punteggio globale al proprio ambiente permette di valutare il profilo di rischio e di agire per intraprendere delle azioni di remediation al fine di migliorare le security posture. La soluzione si basa su delle raccomandazioni generiche, ma in alcuni casi è opportuno personalizzarla per contemplare al meglio le proprie politiche di sicurezza. In questo articolo viene riportato come è possibile introdurre questo livello di personalizzazione al fine di aumentare il valore fornito da Azure Security Center.

Utilizzo delle custom security policy

Le raccomandazioni di default presenti nella soluzione sono derivanti da best practices generiche del settore e da specifici standard normativi.

Figura 1 – Punteggio e raccomandazioni standard presenti in Azure Security Center

Recentemente è stata introdotta la possibilità di aggiungere le proprie initiatives personalizzate, al fine di ricevere delle raccomandazioni qualora non siano rispettate le policy di sicurezza stabilite in modo specifico per il proprio ambiente. Le iniziative personalizzate che vengono create sono totalmente integrate nella soluzione e saranno contemplate sia nel Secure Score che nelle dashboard di compliance.

Per creare una initiative personalizzata è possibile seguire la procedura in seguito riportata:

Figura 2 – Avvio del processo di creazione di una custom initiative

All’interno delle initiatives è possibile includere delle Azure Policy integrate nella soluzione oppure le proprie policy personalizzate.

Nell’esempio sotto riportato l’initiative include le seguenti due policy:

  • Una custom che impedisce la creazione di peering verso una rete di Hub che si trova in un determinato resource group.
  • Una bult-in che verifica che siano applicati i Network Security Group a tutte le subnet.

Figura 3 – Creazione di una custom initiative

In seguito, è necessario procedere con l’assegnazione dell’initiative custom:

Figura 4 – Avvio del processo di assegnazione

 

Figura 5 – Assegnazione della custom initiative

 

Figura 6 – Visualizzazione della custom initiative assegnata

La visualizzazione delle raccomandazioni presenti all’interno di Security Center non è immediata, ma attualmente richiede circa 1 ora e la si può consultare nella seguente sezione:

Figura 7 – Custom initiative nella sezione Regulatory compliance

 

Disabilitazione di security policy di default

In determinate circostanze può risultare opportuno disabilitare determinati controlli presenti di default nella soluzione Azure Security Center, in quanto non si ritengono adeguati al proprio ambiente e non si vogliono generare inutilmente delle segnalazioni. Per farlo è possibile effettuare gli step seguenti:

Figura 8 – Accesso alle default policy di Security Center

 

Figura 9 – Selezione dell’assegnazione delle default policy di Security Center

 

Figura 10 – Disabilitazione di una specifica policy presente di default

 

Conclusioni

Azure Security Center mette a disposizione in modo nativo una serie di controlli per verificare costantemente la presenza di condizioni ritenute anomale e che possono avere un impatto diretto sulla sicurezza dell’ambiente. La possibilità di introdurre un livello di personalizzazione nella soluzione, la rende più flessibile e permette di verificare e applicare su larga scala dei criteri di compliance in ambito sicurezza specifici per il proprio ambiente. Per migliorare le security posture è fondamentale valutare l’adozione di questa soluzione e applicando un buon livello di personalizzazione se ne aumenta notevolmente il suo valore.

Please follow and like us:

Azure Security: Best Practices per migliorare la security posture

La tendenza ad avere sempre più frequentemente soluzioni nel cloud e architetture ibride impone di adottare elevati standard di sicurezza per il proprio ambiente. Ma come è possibile ottenere un’efficace sicurezza del cloud per Azure e quali best practice è opportuno seguire? In questo articolo vengono riportate in modo sintetico le principali pratiche che è opportuno adottare in Azure per garantire un elevato livello di sicurezza e migliorare le security posture.

Attivazione MFA e restrizioni per gli accessi amministrativi

Per le utenze con diritti amministrativi è opportuno attivare l’autenticazione tramite meccanismi di Multi-factor Authentication (MFA). A questo proposito è molto interessante valutare meccanismi di autenticazione passwordless che prevedono che la password sia sostituita con qualcosa che si possiede più qualcosa che si è o che si conosce.

Microsoft attualmente offre tre distinti scenari di autenticazione passwordless:

Azure Active Directory offre la possibilità di attivare meccanismi di MFA, compresa l’autenticazione passwordless. Meccanismi di MFA basati sui messaggi di testo sono più facilmente aggirabili, quindi è bene indirizzarsi su meccanismi di Multi-factor Authentication differenti oppure passwordless.

Ridurre al minimo il numero di persone e il relativo periodo temporale, per l’accesso amministrativo alle risorse Azure, è una pratica da adottare perché riduce la possibilità che un attore malintenzionato ottenga un accesso amministrativo oppure che un utente autorizzato influisca inavvertitamente su una specifica risorsa. Per consentire l’esecuzione di azioni amministrative agli utenti autorizzati si può offrire un accesso privilegiato just-in-time (JIT) alle risorse Azure ed Azure AD. A questo scopo l’adozione del servizio Azure Active Directory (Azure AD) Privileged Identity Management (PIM) che consente di gestire, controllare e monitorare gli accessi alle risorse aziendali è una buona pratica da adottare.

Un altro aspetto chiave da considerare è l’utilizzo di postazioni di lavoro sicure e isolate per i ruoli sensibili. In questo documento ufficiale Microsoft è possibile ottenere maggiori dettagli a riguardo.

Segmentazione e adozione del modello Zero Trust

Il modello di sicurezza, definito Zero trust e in contrasto con i modelli convenzionali basati sulla sicurezza perimetrale, prevede l’adozione di un approccio legato alla micro-segmentazione e alla definizione di perimetri granulari nella propria architettura di rete. Per contenere i rischi di sicurezza è bene adottare una strategia di segmentazione chiara e semplice, che permette alle parti interessate una chiara comprensione, per agevolare un monitor e una gestione efficace. Sarà poi utile assegnare le autorizzazioni necessarie e gli opportuni controlli di rete.

A questo proposito si riporta un design di riferimento per quanto riguarda il modello amministrativo di Azure:

Figura 1 – Reference Design – Azure Administration Model

Nella figura seguente viene mostrato il modello tipico di rete Hub-Spoke, dove l’Hub è una rete virtuale in Azure che funge da punto di connettività verso la rete on-premises e gli Spoke sono le reti virtuali che eseguono il peering con l’Hub e possono essere usate per isolare i carichi di lavoro.

Figura 2 – Reference Enterprise Design – Azure Network Security

Adozione di una opportuna “Firewall Strategy”

L’adozione di una soluzione firewall in ambiente Azure per proteggere e segregare al meglio i flussi di rete è ormai obbligata.

La scelta può prevedere l’adozione di:

  • Soluzioni Microsoft totalmente integrate nella piattaforma, come Azure Firewall, affiancato dal Web App Firewall (WAF) dell’Application Gateway, un load balancer applicativo (OSI layer 7) per il traffico web, che consente di governare il traffico HTTP e HTTPS delle applicazioni. Il modulo Web Application Firewall (WAF) per le pubblicazioni web consente di ottenere una protezione applicativa, basandosi su regole OWASP core rule sets. Il WAF protegge gli applicativi da vulnerabilità e da attacchi comuni, come ad esempio attacchi X-Site Scripting e SQL Injection. Tali soluzioni sono idonee per la maggior parte degli scenari e offrono funzionalità intrinseche di alta disponibilità e scalabilità oltre che una semplice configurazione e gestione centralizzata.
  • Soluzioni fornite da vendor di terze parti e disponibili nel marketplace di Azure. Le Network Virtual Appliances (NVAs) sono numerose, possono offrire funzionalità avanzate e consentono di dare una continuità nell’esperienza d’uso rispetto alle soluzioni già attive nell’ambiente on-premises. Tipicamente la configurazione di queste soluzioni è più articolata e il costo è tendenzialmente più elevato rispetto alle soluzioni Microsoft.

Scelta di una soluzione di DDoS Mitigation per gli applicativi critici

Molto importante è la protezione di tutti gli applicativi critici da attacchi informatici di tipologia denial-of-service distribuiti (attacchi DDoS – Distributed Denial of Service). Questi attacchi sono rivolti a far esaurire deliberatamente le risorse di un determinato sistema che eroga un servizio ai client, come ad esempio un sito web ospitato su dei web server, al punto da renderlo non più in grado di erogare il servizio a coloro che lo richiedono in modo legittimo.

In Azure la protezione da attacchi DDoS è disponibile in due differenti tiers: Basic oppure Standard.

Figura 3 – Comparativa delle funzionalità dei tiers disponibili per la protezione DDoS

La protezione Basic è abilitata di default nella piattaforma Azure, la quale effettua costantemente il monitor del traffico e applica in tempo reale delle mitigazioni agli attacchi di rete più comuni. Questo tier fornisce lo stesso livello di protezione adottato e collaudato dai servizi online di Microsoft ed è attiva per gli indirizzi IP Pubblici di Azure (Pv4 e IPv6). Non è richiesta alcun tipo di configurazione per il tier Basic.

L’Azure DDoS Protection di tipologia Standard fornisce delle funzionalità di mitigation aggiuntive rispetto al tier Basic, che sono ottimizzate in modo specifico per le risorse dislocate nelle virtual network di Azure. Le policy di protezione sono auto-configurate e vengono ottimizzate effettuando un monitoraggio specifico del traffico di rete e applicando degli algoritmi di machine learning, che consentono di profilare nel modo più opportuno e flessibile il proprio applicativo studiando il traffico generato. Nel momento in cui vengono superate le soglie impostate nella policy di DDoS, viene in automatico avviato il processo di DDoS mitigation, il quale viene sospeso nel momento in cui si scende al di sotto delle soglie di traffico stabilite. Queste policy vengono applicate a tutti gli IP pubblici Azure (IPv4) associati alle risorse presenti nelle virtual network, come: macchine virtuali, Azure Load Balancer, Azure Application Gateway, Azure Firewall, VPN Gateway e istanze Azure Service Fabric.

Adozione di Azure Security Center

Azure Security Center è una soluzione nel cloud che consente di prevenire, rilevare e rispondere alle minacce di sicurezza che interessano le risorse Azure e workloads in ambienti ibridi. Per migliorare le security posture del proprio ambiente Azure è fondamentale valutare l’adozione di questa soluzione che viene offerta in due possibili tiers:

  • Free tier. In questo tier Azure Security Center è totalmente gratuito ed effettua un assessment continuo, fornendo delle raccomandazioni relative alla sicurezza dell’ambiente Azure.
  • Standard tier. Rispetto al tier free aggiunge funzionalità avanzate di rilevamento delle minacce, utilizzando l’analisi comportamentale e l’apprendimento automatico per identificare attacchi e exploit zero-day. Attraverso tecniche di machine learning e tramite la creazione di whitelist è possibile controllare l’esecuzione delle applicazioni per ridurre l’esposizione agli attacchi di rete e ai malware. Inoltre, il livello standard aggiunge la possibilità di effettuare in modo integrato un Vulnerability Assessment per le macchine virtuali in Azure. Lo standard Security Center Standard supporta diverse risorse Azure tra cui: VMs, Virtual machine scale sets, App Service, SQL servers, e Storage accounts.

Figura 4 – Confronto tra i tiers di Azure Security Center

Azure Security Center assegna un punteggio al proprio ambiente, utile per monitorare il profilo di rischio e cercare di migliorare costantemente le security posture, applicando delle azioni di remediation. Buona norma è verificare con cadenza regolare (almeno mensile) il security score fornito da Azure Security Center e programmare le iniziative finalizzate a migliorare specifici ambiti. Inoltre, è consigliato verificare attentamente gli alert che Security Center nel tier standard genera quando rileva potenziali minacce di sicurezza sulle proprie risorse. Security Center stabilisce le priorità, elenca gli alert, fornisce le informazioni necessarie per esaminare rapidamente i problemi e fornisce consigli su come risolvere eventuali attacchi.

Introdurre la sicurezza durante nelle fasi di sviluppo e rilascio

L’adozione di modelli DevOps per implementare applicazioni e servizi in Azure consentono, oltre che fornire la massima agilità, di ottenere benefici in termini di sicurezza. Nei modelli DevOps è possibile coinvolgere nelle fasi di sviluppo e gestione i team dedicati al controllo della qualità e della sicurezza durante tutto il ciclo di vita dell’applicazione. Utilizzando processi di Infrastructure-as-Code (IaC) è infatti possibile definire e monitorare la conformità su larga scala.

Non utilizzare tecnologie legacy

In ambiente Azure non è consigliata l’adozione delle classiche soluzioni Network Intrusion Detection System (NIDS) e Network Intrusion Prevention Systems (NIPS) in quanto la piattaforma è in grado di filtrare nativamente i pacchetti malformati. Le soluzioni NIDS / NIPS classiche si basano in genere su approcci obsoleti basati sulla firma che possono essere facilmente elusi durante tentativi di attacco e in genere producono un alto tasso di falsi positivi.

Conclusioni

Raggiungere un elevato livello di sicurezza degli ambienti Azure è una sfida importante che deve necessariamente essere vinta e prevede un costante lavoro di controllo, revisione e aggiornamento delle security posture. In questo articolo sono state riportate quelle che sono ritenute le principali best practice di sicurezza date da una diretta esperienza sul campo, che è sempre bene arricchirle adottando ulteriori accorgimenti.

Please follow and like us:

Azure Security: come effettuare un Vulnerability Assessment tramite Azure Security Center

Azure Security Center, la soluzione cloud che consente di prevenire, rilevare e rispondere alle minacce di sicurezza che interessano le risorse Azure e i workloads in ambienti ibridi, è stata recentemente arricchita con la possibilità di effettuare in modo integrato un Vulnerability Assessment per le macchine virtuali in Azure. In questo articolo viene riportato come è possibile portare a termine un processo di valutazione delle vulnerabilità tramite Azure Security Center, esaminando le caratteristiche della soluzione.

La scansione delle vulnerabilità inclusa in Azure Security Center (ASC) viene effettuata tramite la soluzione Qualys, il quale risulta essere riconosciuto come strumento leader per identificare in tempo reale eventuali vulnerabilità presenti sui sistemi. Per poter utilizzare questa funzionalità è necessario aderire al tier standard di Security Center e nel caso specifico non sarà necessario prevedere costi aggiuntivi di licensing. Il tier Standard aggiunge anche funzionalità avanzate di rilevamento delle minacce (tra cui threat intelligence), analisi comportamentale, rilevamento delle anomalie e di incidenti di sicurezza e report di attribuzione delle minacce.

Qualora si voglia mantenere il tier Free di ASC è comunque possibile effettuate il deploy di soluzioni per effettuare una valutazione delle vulnerabilità, quali Qualys e Rapid7, ma è necessario prevedere la gestione dei costi di licensing, la distribuzione e la configurazione. Per maggiori dettagli in merito al costo di Azure Security Center e per un confronto tra il tier Free e quello Standard si rimanda alla documentazione ufficiale Microsoft.

La metodologia più rapida e immediata per effettuare una scansione delle vulnerabilità in Azure è utilizzare la soluzione Qualys integrata nel Standard Tier di Azure Security Center. Per abilitarla è sufficiente accedere alle Recommendations di ASC e selezionare “Enable the built-in vulnerability assessment solution on virtual machines (powered by Qualys)“, come mostrato dall’immagine seguente:

Figura 1 – Recommendation di Azure Security Center per abilitare la solution di vulnerability assessment

Selezionando questa opzione le macchine virtuali Azure vengono suddivise nelle seguenti categorie:

  • Healthy resources: sistemi dove è stato effettuato il deploy dell’estensione per portare a termine una scansione delle vulnerabilità.
  • Unhealthy resources: machine dove è possibile abilitare l’estensione per eseguire una scansione delle vulnerabilità.
  • Not applicable resources: sistemi dove non è presente l’estensione e che non è possibile l’abilitazione in quanto appartengono al tier free di ASC oppure perché il sistema operativo rientra tra quelli non supportati. Tra I sistemi operative supportati troviamo: RHEL 6.7/7.6, Ubuntu 14.04/18.04, Centos 6.10/7/7.6, Oracle Linux 6.8/7.6, SUSE 12/15, e Debian 7/8.

Figura 2 – Abilitazione della solution

Selezionando le macchine di interesse e premendo il pulsante Remediate verrà effettuato l’onboarding delle stesse nella soluzione built-in di Vulnerability Assessment. Ne consegue che sui sistemi sarà installata l’extension specifica e al termine dell’installazione sarà avviata in modo automatico la prima scansione. L’extesion si basa sull’Azure Virtual Machine agent e viene pertanto eseguita nel contesto Local Host sui sistemi Windows, e Root su quelli Linux.

Si riportano i nomi dell’extension che sarà presente sui sistemi abilitati, per le quali il provider sarà sempre Qualys:

  • Macchine Linux: “LinuxAgent.AzureSecurityCenter”
  • Macchine Windows: “WindowsAgent.AzureSecurityCenter”

Per quanto riguarda gli aggiornamenti dell’extension valgono le stesse regole che vengono applicate anche per altre extension e quindi le minor version dello scanner di Qualys saranno distribuite in modo automatico in seguito a una approfondita fase di test. In alcuni casi potrebbe essere necessarie delle azioni manuali per portare a termine l’aggiornamento.

Al termine della scansione eventuali vulnerabilità rilevate sui sistemi saranno riportate nelle Recommendations di ASC.

Figura 3 – Notifica di ASC che riporta la presenza di recommendations relative alle vulnerabilità intercettate

Selezionando la raccomandazione vengono riportati i dettagli di tutte le vulnerabilità rilevate, della severity e del relativo stato:

Figura 4 – Elenco delle vulnerabilità di security rilevate

Selezionando la singola vulnerabilità si possono consultare i dettagli, i potenziali impatti, le azioni per effettuare la remediation e i sistemi interessati.

Figura 5 – Informazioni riportate per ogni singola vulnerabilità rilevata

Conclusioni

Per rafforzare le security posture del proprio ambiente è sicuramente opportuno valutare l’adozione di Azure Security Center nel tier standard, che tra le varie funzionalità permette di controllare che siano applicati in modo rigoroso tutti i criteri di sicurezza e consente di monitorare costantemente i criteri di conformità. L’inclusione nella soluzione di uno strumento di valutazione delle vulnerabilità, fornito da Qualys, leader indiscusso del settore, aggiunge ulteriore valore alla soluzione, potendo attingere anche alla conoscenza maturata da questo vendor nella scoperta delle vulnerabilità.

Please follow and like us: