Archivi categoria: Azure Security

Come rafforzare la security posture nel cloud pubblico, in ambienti ibridi e multi-cloud grazie a Defender for Cloud

L’adozione di infrastrutture e di servizi in ambienti cloud, utili per le imprese per accelerare il percorso di trasformazione digitale, ci impone di adeguare anche le soluzioni, i processi e le pratiche che vengono adottate per garantire e mantenere un elevato grado di sicurezza delle proprie risorse IT. Il tutto deve avvenire in modo indipendente dai modelli di deployment utilizzati, andando a rafforzare la security posture complessiva del proprio ambiente e fornendo una protezione avanzata dalle minacce per tutti i workload, ovunque essi risiedano. In questo articolo viene riportato come la soluzione Defender for Cloud è in grado di controllare e migliorare gli aspetti legati alla sicurezza dell’ambiente IT dove vengono utilizzate risorse nel cloud pubblico, in ambienti ibridi e multi-cloud.

Le sfide della sicurezza nelle infrastrutture moderne

Tra le principali sfide che si devono affrontare in ambito sicurezza adottando infrastrutture moderne che utilizzano componenti nel cloud troviamo:

Workload in rapida e costante evoluzione. Questo aspetto è certamente un’arma a doppio taglio del cloud in quanto, da un lato gli utenti finali hanno la possibilità di ottenere di più dalle soluzioni in ambienti cloud, dall’altro diventa complesso garantire che i servizi in rapida e costante evoluzione siano sempre all’altezza dei propri standard e che seguano tutte le best practice di sicurezza.
Attacchi alla sicurezza sempre più sofisticati. Indipendentemente da dove si trovano in esecuzione i propri workload, gli attacchi alla sicurezza adottano tecniche sofisticate ed avanzate che richiedono di implementare protezioni affidabili per contrastare la loro efficacia.
Risorse e competenze in ambito sicurezza non sempre all’altezza per intervenire a fronte di alert di sicurezza e per assicurare che gli ambienti siano adeguatamente protetti. Infatti, la sicurezza IT è un fronte in continua evoluzione e rimanere aggiornati è una sfida costante e difficile da raggiungere.

I pilastri della sicurezza contemplati da Microsoft Defender for Cloud

Le funzionalità di Microsoft Defender for Cloud sono in grado di contemplare due grandi pilastri della sicurezza per le architetture moderne che adottano componenti cloud: Cloud Security Posture Management (CSPM) e Cloud workload protection (CWP).

Figura 1 – I pilastri della sicurezza contemplati da Microsoft Defender for Cloud

Cloud Security Posture Management (CSPM)

In ambito Cloud Security Posture Management (CSPM) Defender for Cloud è in grado di fornire le seguenti funzionalità:

- Visibilità: per valutare la situazione attuale in merito alla sicurezza.
- Guida all’hardening: per poter migliorare la sicurezza in modo efficiente ed efficace

Grazie ad un assessment continuo Defender for Cloud è in grado di scoprire continuamente nuove risorse che vengono distribuite e valuta se sono configurate in base alle best practice di sicurezza. In caso contrario, le risorse vengono contrassegnate e si ottiene un elenco prioritario di consigli relativi a ciò che è opportuno correggere per migliorare la loro protezione. Questo elenco di raccomandazioni è preso e supportato da Azure Security Benchmark, il set di linee guida specifico per Azure creato da Microsoft, che contiene le best practice di sicurezza e di conformità basate su framework comuni, con particolare attenzione alla sicurezza incentrata sul cloud. Questo benchmark può contemplare i controlli del Center for Internet Security (CIS) e del National Institute of Standards and Technology (NIST) ed è personalizzabile secondo gli standard che si vogliono rispettare.

Figura 2 – Esempi di raccomandazioni

Defender for Cloud assegna un punteggio globale all’ambiente, definito Secure Score, che permette di valutare il profilo di rischio (più alto è il punteggio, più basso è il livello di rischio identificato) e di agire per intraprendere delle azioni di remediation.

Figura 3 – Esempio di Secure score

Cloud workload protection (CWP)

Per quanto concerne questo ambito, Defender for Cloud eroga avvisi di sicurezza basati su Microsoft Threat Intelligence. Inoltre, include una ampia gamma di protezioni avanzate ed intelligenti per i workload, fornite tramite piani di Microsoft Defender specifici per le differenti tipologie di risorse presenti nelle subscription ed in ambienti ibridi e multi-cloud:

Figura 4 – Workload protetti da Defender for Cloud

Defender for Cloud permette quindi di soddisfare le seguenti tre esigenze, ritenute fondamentali durante la gestione della sicurezza delle risorse e dei workload che risiedono nel cloud ed in ambienti on-premises:

Figura 5 – Esigenze di sicurezza contemplate da Microsoft Defender for Cloud

Defender for Cloud include inoltre, come parte delle funzionalità di sicurezza avanzate, soluzioni di vulnerability assessment per le macchine virtuali, i container registry e i server SQL. Alcune scansioni vengono effettuate mediante la soluzione Qualys, che è possibile utilizzare senza licenze specifiche e senza account dedicati, ma il tutto è incluso e gestito mediante Defender for Cloud.

Quali ambienti è possibile proteggere con Defender for Cloud?

Defender for Cloud è un servizio nativo di Azure, che consente di proteggere non solo le risorse presenti in Azure, ma anche ambienti ibridi e multi-cloud.

Figura 6 – Protezione trasversale su ambienti differenti

Protezione degli ambienti Azure

Azure IaaS e servizi Azure PaaS: Defender for Cloud è in grado di rilevare le minacce destinate alle macchine virtuali e ai servizi presenti in Azure, inclusi Azure App Service, Azure SQL, Azure Storage Account, ed altri. Inoltre, consente di rilevare le anomalie nei registri di attività di Azure (Azure activity logs) tramite l’integrazione nativa con Microsoft Defender for Cloud Apps (conosciuto come Microsoft Cloud App Security).
Azure data services: Defender for Cloud include funzionalità che consentono di classificare automaticamente i dati in Azure SQL. Inoltre, è possibile effettuare degli assessment per rilevare potenziali vulnerabilità nei servizi Azure SQL e Storage, accompagnate da raccomandazioni su come mitigarle.
Network: l’applicazione di Network Security Group (NSG) per filtrare il traffico da e verso le risorse attestate sulle virtual network di Azure è fondamentale per garantire la sicurezza della rete. Tuttavia, possono esserci alcuni casi in cui il traffico effettivo che attraversa i NSG interessa solamente un sottoinsieme delle regole NSG definite. In questi casi, la funzionalità di Adaptive network hardening consente di migliorare ulteriormente la security posture rafforzando le regole NSG. Mediante un algoritmo di apprendimento automatico che tiene conto del traffico effettivo, della configurazione, dell’intelligence sulle minacce e di altri indicatori di compromissione, è in grado di fornire consigli per adeguare la configurazione dei NSG in modo da consentire solo il traffico strettamente necessario.

Protezione di ambienti ibridi

Oltre a proteggere l’ambiente Azure, è possibile estendere le funzionalità di Defender for Cloud anche ad ambienti ibridi per proteggere in particolare i server che non risiedono su Azure. Mediante Azure Arc è possibile estendere i piani di Microsoft Defender alle macchine che non risiedono in Azure.

Protezione delle risorse in esecuzione su altri cloud pubblici

Microsoft Defender for Cloud può contemplare anche risorse presenti in Amazon Web Services (AWS) e Google Cloud Platform (GCP). Per proteggere con questa soluzione le risorse su altri cloud pubblici è stato rilasciato un nuovo meccanismo nativo che, mediante un approccio agentless, consente di connettersi agli ambienti AWS e GCP. Questa nuova metodologia di interfacciamento sfrutta le API di AWS e GCP e non ha dipendenza da altre soluzioni, come ad esempio AWS Security Hub.

Caso reale di protezione con Defender for Cloud

Ipotizzando un ambiente di un cliente con risorse dislocate in Azure, on-premises ed in AWS, con Defender for Cloud è possibile estendere la protezione a tutte le risorse, in modo indipendente da dove risiedono.

Infatti, connettendo un account Amazon Web Services (AWS) ad una sottoscrizione Azure, risulta possibile abilitare le seguenti protezioni:

Le funzionalità CSPM di Defender for Cloud vengono estese anche alle risorse AWS, consentendo di valutare le risorse presenti nel cloud Amazon, in base ai consigli di sicurezza specifici di AWS. Inoltre, le risorse vengono valutate per la conformità agli standard specifici di AWS come: AWS CIS, AWS PCI DSS e AWS Foundational Security Best Practices. Il tutto viene considerato andando a influenzare il security score complessivo.
Microsoft Defender for Servers offre il rilevamento delle minacce e abilita le difese avanzate anche per le istanze EC2 Windows e Linux.
Microsoft Defender for Kubernetes estende le difese avanzate ai cluster Amazon EKS Linux e consente il rilevamento delle minacce sui container presenti in quelle infrastrutture.

Queste protezioni si andranno ad aggiungere alle funzionalità sopra elencate disponibili per gli ambienti Azure e per le risorse che risiedono on-premises.

Conclusioni

Defender for Cloud è in grado di rispondere in modo efficace alle sfide, in ambito sicurezza, date dall’adozione di infrastrutture moderne. Grazie infatti all’impiego di Microsoft Defender for Cloud si dispone di una soluzione in grado di individuare i punti di debolezza in ambito security nelle configurazioni cloud, rafforzare la security posture complessiva dell’ambiente e proteggere i workload in ambienti ibridi e multi-cloud.

Azure Networking: i servizi di sicurezza per un approccio Zero Trust

Sono sempre più numerose le realtà aziendali che per sostenere il ritmo dettato dalla trasformazione digitale e per altre ragioni specifiche intraprendono un percorso di adozione di soluzioni cloud e di migrazione dei propri workload verso il cloud. Per garantire che le risorse presenti in ambiente cloud siano al sicuro è necessario adottare un nuovo modello di sicurezza che si adatti in modo più efficace alla complessità dell’ambiente moderno, contemplando ambienti ibridi e proteggendo applicazioni e dati indipendentemente da dove risiedono. In questo articolo vengono descritti alcuni dei principali servizi di sicurezza del networking di Azure che aiutano le organizzazioni a adottare il modello Zero Trust, un approccio alla sicurezza integrato e proattivo da applicare su differenti fronti.

Il framework Zero Trust elaborato da Microsoft si basa sui seguenti tre principi per proteggere le risorse:

Verify explicitly. Autenticare e autorizzare sempre, tenendo in considerazione diversi aspetti come: l’identità utente, la location, lo stato del dispositivo, il servizio oppure il workload, la classificazione dei dati e le anomalie.
Use least privileged access. Limitare l’accesso degli utenti mediante: accessi “just-in-time” (JIT) e “just-enough-access” (JEA), policy adattive basate sul rischio e protezione dei dati.
Assume breach. Ridurre al minimo l’esposizione e segmentare gli accessi andando a definire perimetri granulari. Utilizzare una crittografia end-to-end e fare analisi per: ottenere visibilità, rilevare minacce e migliorare le difese.

L’approccio Zero Trust presuppone una violazione e accetta la realtà che i malintenzionati possano essere ovunque. Per questa ragione tale modello consiglia di verificare tutti i tentativi di accesso, limitare l’accesso degli utenti (JIT e JEA) e rafforzare la protezione delle risorse. A tutte queste pratiche è però importante associare dei controlli sulle comunicazioni di rete, andando a segmentando la rete in zone più piccole per poi controllare quale traffico può fluire tra di esse. Un approccio dove i firewall di rete vengono implementati esclusivamente sulle reti perimetrali, filtrando il traffico tra zone attendibili e non attendibili diventa limitante per questo modello. Invece, è consigliato filtrare il traffico anche tra reti interne, host e applicazioni.

In Azure sono presenti diversi servizi di sicurezza relativi al networking, descritti nei paragrafi seguenti, che consentono di filtrare e controllare le comunicazioni di rete in modo granulare, supportando così il modello Zero Trust.

Network Security Group (NSG)

I Network Security Groups (NSG) sono lo strumento principale per controllare il traffico di rete in Azure. Tramite delle regole di deny e permit è possibile filtrare le comunicazioni tra differenti workload attestati su una virtual network di Azure. Inoltre, è possibile applicare filtri sulle comunicazioni con sistemi che risiedono nell’ambiente on-premises, connesso alla VNet Azure, oppure per le comunicazioni da e verso Internet. I Network Security Groups (NSG) possono essere applicati su una determinata subnet di una VNet Azure oppure direttamente sulle singole schede di rete delle macchine virtuali Azure. I NSG possono contenere regole con dei Service Tags, che consentono di raggruppare con dei nomi predefiniti delle categorie di indirizzi IP, incluse quelle assegnate a determinati servizi Azure (es. AzureMonitor, AppService, Storage, etc.).

Nelle regole dei Network Security Groups possono essere referenziati anche gli Application Security Groups (ASG). Si tratta di gruppi che contengono schede di rete di macchine virtuali presenti su Azure. Gli ASG consentono di raggruppare con nomi mnemonici più server, utili in particolare per workload dinamici. Gli Application Security Groups consentono quindi di non dover più gestire nelle regole degli NSG gli indirizzi IP delle macchine virtuali Azure, purché questi IP siano relativi a VMs attestate sulla stessa VNet.

Sebbene ci sia la possibilità di attivare soluzioni firewall a livello di sistema operativo guest, i NSG di Azure sono in grado di garantire la protezione anche se la macchina virtuale in Azure viene compromessa. Infatti, un utente malintenzionato che ottiene l’accesso alla macchina virtuale e ne eleva i privilegi potrebbe essere in grado di disabilitare il firewall sull’host. I NSG, essendo implementati al di fuori della macchina virtuale, forniscono forti garanzie contro gli attacchi al sistema di firewalling a bordo delle macchine virtuali.

Figura 1 – Visualizzazione grafica della segregazione del traffico di rete tramite NSG

Azure Firewall

Azure Firewall è un servizio di sicurezza di rete, gestito e basato su cloud, in grado di proteggere le risorse attestate sulle Virtual Network di Azure e di governare in modo centralizzato i relativi flussi di rete. Inoltre, ha funzionalità intrinseche di alta disponibilità e di scalabilità.

Azure Firewall Premium garantisce tutte le funzionalità presenti nel tier Standard di Azure Firewall e in più aggiunge le seguenti funzionalità tipiche di un next generation firewall.

Figura 2 – Panoramica delle funzionalità di Azure Firewall Premium

Le best practice dettate dal modello Zero Trust prevedono di crittografare sempre i dati in transito per ottenere una crittografia end-to-end. Tuttavia, dal punto di vista operativo, spesso si ha la necessità di avere una maggiore visibilità per applicare servizi di sicurezza aggiuntivi ai dati non crittografati. Con le funzionalità di Azure Firewall Premium tutto ciò è possibile. Infatti, la versione Premium permette di ottenere un livello di protezione ulteriore dalle minacce di sicurezza, mediante funzionalità come TLS Inspection e IDPS che garantiscono un maggior controllo del traffico di rete al fine di intercettare e bloccare la diffusione di malware e virus. Per ulteriori dettagli riguardanti le funzionalità di Azure Firewall Premium è possibile consultare questo articolo.

DDoS protection

Il modello Zero Trust si pone l’obiettivo di autenticare e autorizzare qualsiasi componente che risiede sulla rete. Nonostante ciò, qualsiasi sistema in grado di ricevere pacchetti di rete è vulnerabile agli attacchi DDoS, anche quelli che utilizzano un’architettura Zero Trust. Di conseguenza, è fondamentale che qualsiasi implementazione Zero Trust adotti anche una soluzione per la protezione dagli attacchi DDoS.

In Azure la protezione da attacchi DDoS è disponibile in due differenti tiers: Basic oppure Standard.

La protezione Basic è abilitata di default nella piattaforma Azure, la quale effettua costantemente il monitor del traffico e applica in tempo reale delle mitigazioni agli attacchi di rete più comuni. Questo tier fornisce lo stesso livello di protezione adottato e collaudato dai servizi online di Microsoft ed è attiva per gli indirizzi IP Pubblici di Azure (Pv4 e IPv6). Non è richiesta alcun tipo di configurazione per il tier Basic.

L’Azure DDoS Protection di tipologia Standard fornisce delle funzionalità di mitigation aggiuntive rispetto al tier Basic, che sono ottimizzate in modo specifico per le risorse dislocate nelle virtual network di Azure. Le policy di protezione sono auto-configurate e vengono ottimizzate effettuando un monitoraggio specifico del traffico di rete e applicando degli algoritmi di machine learning, che consentono di profilare nel modo più opportuno e flessibile il proprio applicativo studiando il traffico generato. Nel momento in cui vengono superate le soglie impostate nella policy di DDoS, viene in automatico avviato il processo di DDoS mitigation, il quale viene sospeso nel momento in cui si scende al di sotto delle soglie di traffico stabilite. Queste policy vengono applicate a tutti gli IP pubblici Azure associati alle risorse presenti nelle virtual network, come: macchine virtuali, Azure Load Balancer, Azure Application Gateway, Azure Firewall, VPN Gateway e istanze Azure Service Fabric.

Azure Firewall Manager

Il modello di sicurezza Zero Trust ci indirizza nell’adozione di un approccio legato alla micro-segmentazione e alla definizione di perimetri granulari nella propria architettura di rete. Per agevolare questo approccio è possibile utilizzare Azure Firewall Manager, uno strumento che, mettendo a disposizione un unico pannello di controllo centralizzato, è in grado di semplificare la configurazione e la gestione delle network security policy, le quali spesso devono essere distribuite su più istanze di Azure Firewall. Oltre alla gestione delle policy di Azure Firewall, Azure Firewall Manager consente di associare alle reti virtuali un piano di protezione dagli attacchi DDoS.

Inoltre, Azure Firewall Manager consente di utilizzare offerte SECaaS (Security as a Service) di terze parti per proteggere l’accesso a Internet degli utenti.

Sinergie e raccomandazioni per l’utilizzo dei vari servizi di protezione

Al fine di ottenere una protezione di rete efficace si riportano alcune raccomandazioni che è consigliato tenere in considerazione per l’utilizzo dei vari componenti di sicurezza relativi al networking di Azure:

I Network Security Groups (NSG) e l’Azure Firewall sono tra di loro complementari e utilizzandoli in modo congiunto si ottiene un grado di difesa elevato. I NSG è consigliato utilizzarli per filtrare il traffico tra le risorse che risiedono all’interno di una VNet, mentre l’Azure Firewall è utile per fornire una protezione di rete e applicativa tra differenti Virtual Network.
Per aumentare la sicurezza dei servizi Azure PaaS è consigliato utilizzare i Private Link, i quali possono essere utilizzati in concomitanza ad Azure Firewall per consolidare e centralizzare i log degli accessi.
Nel caso si voglia effettuare una pubblicazione applicativa protetta (HTTP/S in inbound) è opportuno utilizzare il Web Application Firewall presente nelle soluzioni di Application Delivery di Azure, affiancandolo quindi ad Azure Firewall. Web Application Firewall (WAF), consente di ottenere una protezione da vulnerabilità e da attacchi comuni, come ad esempio attacchi X-Site Scripting e SQL Injection.
Azure Firewall può essere affiancato anche da soluzioni WAF/DDoS di terze parti.
Oltre ad Azure Firewall è possibile valutare l’adozione di Network Virtual Appliances (NVAs) fornite da vendor di terze parti e disponibili nel marketplace di Azure.

Tutti questi servizi di protezione, opportunamente configurati in una topologia di rete Hub-Spoke consentono di effettuare una segregazione del traffico di rete, ottenendo un elevato livello di controllo e sicurezza.

Figura 3 – Esempio di una architettura Hub-Spoke con i vari servizi di sicurezza

Inoltre, prevedendo l’integrazione con i servizi di sicurezza di Azure, come Microsoft Defender for Cloud, Microsoft Sentinel ed Azure Log Analytics, è possibile ottimizzare ulteriormente la gestione delle security posture e la protezione dei workload.

Conclusioni

Il modello di sicurezza definito Zero trust dagli analisti di Forrester Research è ormai un imperativo per la protezione dei propri ambienti. Azure mette a disposizione una vasta gamma di servizi che consentono di ottenere elevati livelli di sicurezza, agendo su differenti fronti per sostenere questo modello. Per affrontare questo percorso di adozione del modello Zero Trust, una strategia vincente in ambito Azure networking la si può ottenere applicando un mix-and-match dei differenti servizi di sicurezza di rete per avere una protezione su più livelli.

Come aumentare la sicurezza delle architetture applicative basate su container

Le applicazioni moderne basate su microservizi sono sempre più diffuse ed i container sono un interessante elemento costitutivo per la creazione di architetture applicative agili, scalabili ed efficienti. I microservizi offrono grandi vantaggi, grazie alla presenza di modelli di progettazione software ben noti e collaudati che si possono applicare, ma generano anche nuove sfide. Una di queste è sicuramente legata alla sicurezza di queste architetture, che impongono l’adozione di soluzioni all’avanguardia per raggiungere un elevato livello di protezione. In questo articolo viene riportato come la soluzione nativa del cloud per la protezione dei container, chiamata Microsoft Defender for Containers, è in grado di garantire la protezione delle architetture applicative basate su container, offrendo capacità avanzate per la rilevazione e per rispondere alle minacce di sicurezza.

Funzionalità offerte dalla soluzione

Grazie a Microsoft Defender for Containers è possibile migliorare, monitorare e mantenere la sicurezza dei cluster, dei container e delle relative applicazioni. Infatti, tale piano consente di ottenere i seguenti benefici:

Hardening dell’ambiente
Scansione delle vulnerabilità
Run-time threat protection per l’ambiente cluster e per i nodi

Nei paragrafi seguenti vengono dettagliati i benefici sopra elencati.

Hardening dell’ambiente

Mediante una assessment continuo degli ambienti cluster, Defender for Containers fornisce una visibilità completa su eventuali configurazioni errate e sul rispetto delle linee guida. Tramite la generazione delle raccomandazioni aiuta a mitigare potenziali minacce di sicurezza.

Inoltre, grazie all’utilizzo del controllo di ammissione di Kubernetes è possibile garantire che tutte le configurazioni vengano fatte rispettando le best practice di sicurezza. Infatti, adottando le Azure Policy for Kubernetes si dispone di un bundle di raccomandazioni utili per proteggere i workload dei container Kubernetes. Di default, abilitando Defender for Containers, avviene automaticamente il provisioning di queste policy. In questo modo, ogni richiesta al server API di Kubernetes verrà monitorata rispetto al set predefinito di best practice, prima di essere resa effettiva sull’ambiente cluster. Si può pertanto adottare questo metodo per applicare le best practice ed imporle per i nuovi workload che saranno attivati.

Scansione delle vulnerabilità

Defender for Containers include un vulnerability scanner integrato per l’analisi delle immagini presenti in Azure Container Registry (ACR). Grazie a questo strumento di scansione è possibile effettuare una scansione approfondita delle immagini che avviene in tre momenti:

In caso di push: ogni volta che un’immagine viene inviata all’ACR, viene eseguita automaticamente la scansione.
In caso di estrazione recente: poiché ogni giorno vengono scoperte nuove vulnerabilità, viene analizza, con cadenza settimanale, anche qualsiasi immagine per la quale è stata fatta un’estrazione negli ultimi 30 giorni.
Durante l’importazione: Azure Container Registry dispone di strumenti di importazione per far confluire le immagini al suo interno provenienti da Docker Hub, Microsoft Container Registry oppure da altri ACR. Tutte le immagini importate vengono prontamente analizzate dalla soluzione.

Nel caso vengano rilevate delle vulnerabilità sarà generata una notifica nella dashboard di Microsoft Defender for Cloud. Questo alert sarà accompagnato da una classificazione di gravità e da indicazioni pratiche su come è possibile correggere le specifiche vulnerabilità rilevate in ciascuna immagine.

Inoltre, Defender for Containers espande queste funzionalità di scansione introducendo la possibilità di ottenere una visibilità sulle immagini in esecuzione. Mediante la nuova raccomandazione, denominata “Vulnerabilities in running images should be remediated (powered by Qualys)”, raggruppa le immagini in esecuzione che presentano vulnerabilità, fornendo i dettagli sui problemi rilevati e su come risolverli.

Run-time threat protection per l’ambiente cluster e per i nodi

Microsoft Defender for Containers è in grado di fornire una protezione dalle minacce in tempo reale per gli ambienti containerizzati e genera avvisi nel caso vengano rilevate minacce oppure attività dannose, sia a livello di host che a livello di cluster AKS.

La protezione da minacce di sicurezza avviene a diversi livelli:

Cluster level: a livello cluster, la protezione dalle minacce si basa sull’analisi degli audit logs di Kubernetes. Si tratta di un monitor che permette di generare alert, monitorando i servizi gestiti di AKS, come ad esempio la presenza di dashboard Kubernetes esposte e la creazione di ruoli con privilegi elevati. Per consultare la lista completa degli alert generati da questa protezione è possibile accedere a questo link.
Host level: con oltre sessanta tipologie di analisi, mediante algoritmi di intelligenza artificiale e con la rilevazione delle anomalie sui workload in esecuzione la soluzione è in grado di rilevare attività sospette. Un team di ricercatori Microsoft sulla sicurezza monitora costantemente il panorama delle minacce e vengono aggiunti alert e vulnerabilità specifici sui container man mano che vengono scoperti. Inoltre, questa soluzione monitora la crescente superficie di attacco delle implementazioni Kubernetes multi-cloud e tiene traccia della matrice MITRE ATT&CK per i container, un framework sviluppato dal Center for Threat-Informed Defense in stretta collaborazione con Microsoft e altri esponenti.

La lista completa degli alert che si possono attenere abilitando questa protezione è consultabile in questo documento.

Architetture per i differenti ambienti Kubernetes

Defender for Containers è in grado di proteggere i cluster Kubernetes indipendentemente dal fatto che siano in esecuzione su Azure Kubernetes Service, Kubernetes on-premise/IaaS oppure Amazon EKS.

Azure Kubernetes Service (AKS) Cluster

Quando si abilita la protezione di Defender for Cloud per i cluster attivati mediante il servizio Azure Kubernetes (AKS), la raccolta degli audit log avviene senza dover installare degli agenti. Il profilo Defender, distribuito su ciascun nodo, fornisce la protezione runtime e raccoglie i segnali dai nodi utilizzando la tecnologia eBPF. Il componente Azure Policy add-on for Kubernetes raccoglie le configurazioni dei cluster e dei workload, come spiegato nei paragrafi precedenti.

Figura 1 – Architettura di Defender for Cloud per i cluster AKS

Azure Arc-enabled Kubernetes

Per tutti i cluster ospitati al di fuori di Azure è necessario adottare la soluzione Azure Arc-enabled Kubernetes per connettere i cluster ad Azure e fornire i relativi servizi, come Defender for Containers. Connettendo i cluster Kubernetes ad Azure, un’estensione Arc raccoglie gli audit log di Kubernetes da tutti i nodi del control plane del cluster e li invia nel cloud al back-end di Microsoft Defender for Cloud per ulteriori analisi. L’estensione viene registrata con un workspace di Log Analytics usato come pipeline di dati, ma i dati di audit non vengono archiviati in Log Analytics. Le informazioni sulle configurazioni dei workload vengono gestite dal componente aggiuntivo delle Azure Policy.

Figura 2 – Architettura di Defender for Cloud per i cluster Kubernetes Arc-enabled

Amazon Elastic Kubernetes Service (Amazon EKS)

Anche per questa tipologia di cluster, attivati in ambiente AWS, è necessario adottare Azure Arc-enabled Kubernetes per poterli proiettare in ambiente Azure. Inoltre, è necessario connettere l’account AWS a Microsoft Defender for Cloud. Risultano pertanto necessari i piani Defender for Containers e CSPM (per il monitor delle configurazioni e per le raccomandazioni).

Un cluster basato su EKS, Arc e l’estensione di Defender sono i componenti necessari per:

raccogliere i dati di policy e delle configurazioni dai nodi del cluster;
ottenere una protezione runtime.

L’Azure Policy add-on for Kubernetes colleziona le configurazioni dell’ambiente cluster e dei workload per garantire che tutte le configurazioni vengano rispettate. Inoltre, la soluzione AWS CloudWatch viene utilizzata per collezionare i dati di log dal Control plane.

Figura 3 – Architettura di Defender for Cloud per i cluster AWS EKS

Aggiornamento e costi della soluzione

Questo piano di Microsoft Defender unisce e sostituisce due piani esistenti, “Defender for Kubernetes” e “Defender for Container Registries“, fornendo funzionalità nuove e migliorate, senza deprecare nessuna delle funzionalità di tali piani. Le sottoscrizioni sulle quali sono stati attivati i piani precedenti non devono necessariamente essere aggiornate al nuovo piano Microsoft Defender for Containers. Tuttavia, per trarre vantaggio dalle nuove e migliorate funzionalità, devono essere aggiornate e per farlo è possibile utilizzare nel portale Azure l’icona di aggiornamento visualizzata accanto a loro.

L’attivazione di questi piani di protezione sono soggetti a costi specifici che possono essere calcolati utilizzando lo strumento Azure Pricing calculator. In particolare, il costo di Microsoft Defender for Containers viene calcolato sul numero di core delle VMs che compongono il cluster AKS. Questo prezzo include anche 20 scansioni gratuite per vCore, ed il conteggio sarà basato sul consumo del mese precedente. Ogni scansione aggiuntiva ha un costo di addebito, ma la maggior parte dei clienti non dovrebbe sostenere alcun costo aggiuntivo per la scansione delle immagini.

Conclusioni

Le architetture basate su microservizi consentono di scalare facilmente e di sviluppare le applicazioni in modo più rapido e semplice, permettendo di promuovere l’innovazione e accelerare il time-to-market di nuove funzionalità. La presenza di una soluzione come Microsoft Defender for Containers è fondamentale per consentire un adeguato livello di protezione per quanto riguarda le minacce di sicurezza, sempre più evolute per attaccare queste tipologie di architetture applicative.

La sicurezza degli ambienti AWS con Microsoft Defender for Cloud

Microsoft Defender for Cloud, precedentemente noto come Azure Security Center ed Azure Defender, è una soluzione di Cloud Security Posture Management (CSPM) e per la protezione dei workload, in grado di individuare i punti di debolezza in ambito security nelle configurazioni cloud, rafforzare la security posture complessiva dell’ambiente e proteggere i carichi di lavoro in ambienti ibridi e multi-cloud. Per le realtà che stanno adottando una strategia multi-cloud e che necessitano di elevati standard di sicurezza per il proprio ambiente è importante sapere che Microsoft Defender for Cloud può contemplare anche risorse presenti in Amazon Web Services (AWS) e Google Cloud Platform (GCP). In questo articolo viene riportato come proteggere ambienti AWS utilizzando Microsoft Defender for Cloud.

I pilastri della sicurezza contemplati da Microsoft Defender for Cloud

Le funzionalità di Microsoft Defender for Cloud sono in grado di contemplare due grandi pilastri della sicurezza del cloud:

Cloud Security Posture Management (CSPM) in grado di fornire le seguenti funzionalità:
- Visibilità: per valutare la situazione attuale in merito alla sicurezza.
- Guida all’hardening: per poter migliorare la sicurezza in modo efficiente ed efficace

Grazie ad un assessment continuo Defender for Cloud è in grado di scoprire continuamente nuove risorse che vengono distribuite e valuta se sono configurate in base alle best practice di sicurezza. In caso contrario, le risorse vengono contrassegnate e si ottiene un elenco prioritario di consigli relativi a ciò che è opportuno correggere per migliorare la loro protezione. Questo elenco di raccomandazioni è preso e supportato da Azure Security Benchmark, il set di linee guida specifico per Azure creato da Microsoft, che contiene le best practice di sicurezza e di conformità basate su framework comuni, con particolare attenzione alla sicurezza incentrata sul cloud. Questo benchmark può contemplare i controlli del Center for Internet Security (CIS) e del National Institute of Standards and Technology (NIST).

Defender for Cloud assegna un punteggio globale all’ambiente ambiente, definito Secure Score, che permette di valutare il profilo di rischio (più alto è il punteggio, più basso è il livello di rischio identificato) e di agire per intraprendere delle azioni di remediation.

Cloud workload protection (CWP): Defender for Cloud eroga avvisi di sicurezza basati su Microsoft Threat Intelligence. Inoltre, include una ampia gamma di protezioni avanzate ed intelligenti per i workload, fornite tramite piani di Microsoft Defender specifici per le differenti tipologie di risorse presenti nelle subscription ed in ambienti ibridi e multi-cloud.

Defender for Cloud permette quindi di soddisfare le seguenti tre esigenze, ritenute fondamentali durante la gestione della sicurezza delle risorse e dei workload che risiedono nel cloud ed in locale:

Figura 1 – Esigenze di sicurezza contemplate da Microsoft Defender for Cloud

La protezione delle risorse AWS

Per proteggere con questa soluzione le risorse su altri cloud pubblici esiste ormai da tempo un meccanismo che prevede l’utilizzo di connettori di interfacciamento con gli account AWS e GCP. Il processo di onboarding del proprio account AWS era basata sull’integrazione della soluzione AWS Security Hub, come descritto nel dettaglio in questo articolo.

Ora è stato rilasciato un nuovo meccanismo nativo che, mediante un approccio agentless, consente di connettersi agli ambienti AWS. Questa nuova metodologia di interfacciamento sfrutta le API di AWS e non ha dipendenza da altre soluzioni, come AWS Security Hub. L’esperienza di onboarding è progettata per funzionare facilmente su larga scala, semplicemente collegando il proprio master account AWS, che permette di effettuare automaticamente l’onboarding degli account esistenti e futuri.

Figura 2 – Connessione di AWS a Microsoft Defender for Cloud

Questo meccanismo estende facilmente le funzionalità di sicurezza avanzate di Defender for Cloud alle proprie risorse AWS e comprende le seguenti aree.

Figura 3 – Piani di protezione disponibili

Cloud Security Posture Management (CSPM) per AWS

Le funzionalità CSPM di Defender for Cloud vengono estese alle proprie risorse AWS. Questo piano agentless valuta le risorse AWS in base alle raccomandazioni di sicurezza specifiche di AWS e queste vengono contemplate nel calcolo del security score globale. Per fornire una visione complessiva sullo stato di sicurezza dei propri ambienti multi-cloud, anche le raccomandazioni relative alla sicurezza di AWS sono integrate nel portale Defender for Cloud, insieme ai consigli di Azure. Sono stati implementate da Microsoft oltre 160 raccomandazioni pronte all’uso per i servizi IaaS e PaaS e tre standard normativi tra cui AWS CIS, AWS PCI DSS e AWS Foundational Security Best Practices. Tutto questo consente di rafforzare la propria security posture contemplando al meglio anche le risorse AWS. Inoltre, è possibile personalizzare i modelli esistenti oppure crearne dei nuovi che contengono le proprie raccomandazioni ed i propri standard per verificare la compliance dei requisiti interni.

Figura 4 – Raccomandazioni per AWS integrate in Defender for Cloud

Cloud workload protection (CWP) per AWS

Per AWS al momento è prevista la protezione avanzata per i seguenti workload:

Protezione dei server: Microsoft Defender for server offre il rilevamento delle minacce e la difese avanzate anche per le istanze EC2, sia per sistemi Windows sia per sistemi Linux. Questo piano include la licenza integrata per Microsoft Defender for Endpoint e diverse funzionalità, tra le quali: Security baselines e assessment a livello di SO, Vulnerability assessment, Adaptive Application Controls (AAC) e File Integrity Monitoring (FIM).
Protezione dei container: Microsoft Defender for Containers estende il rilevamento delle minacce per i container e le difese avanzate di Defender for Kubernetes ai cluster Amazon EKS (Elastic Kubernetes Service). Affinché Defender for Kubernetes sia in grado di proteggere i cluster AWS EKS, è necessaria la presenza di Azure Arc-enabled Kubernetes e dell’extension di Defender.

Figura 5 – Alert e raccomandazioni per i cluster EKS

NOTA: Per coloro che hanno hai già configurato un connettore AWS tramite i connector cloud classici, è consigliato connettere nuovamente l’account utilizzando il nuovo meccanismo.

Costo della soluzione

Se si decide di attivare questa integrazione valgono le seguenti indicazioni sui costi:

Il piano CSPM è gratuito. Per fornire le raccomandazioni il piano CSPM interroga le API delle risorse AWS più volte al giorno. Queste chiamate API di sola lettura non comportano alcun addebito, ma vengono registrate in CloudTrail nel caso in cui sia stato abilitato il trail per gli eventi di lettura. Come riportato nella documentazione AWS, questo non comporta costi aggiuntivi per il mantenimento. Occorre però fare attenzione ed eventualmente filtrare questi eventi se sono previsti delle esportazioni di dati (ad esempio per farli confluire in un SIEM esterno).
Il piano Defender for Containers verrà fatturato allo stesso prezzo del piano Defender for Kubernetes per le risorse di Azure.
Per ogni macchina AWS connessa ad Azure mediante Azure Arc, il piano Defender per server viene fatturato allo stesso prezzo del piano Microsoft Defender per server per le macchine Azure.

Conclusioni

Microsoft Defender for Cloud, originariamente sviluppato con la pretesa di essere lo strumento migliore per proteggere le risorse in ambiente Azure, estendere e perfeziona le proprie funzionalità per contemplare anche altri cloud pubblici. In particolare, grazie al nuovo meccanismo di integrazione con AWS è possibile adottare in modo nativo una soluzione di CSPM ed abilitare la protezione dalle minacce per i workload di elaborazione in Amazon Web Services (AWS). Questo consente di ottenere un elevato grado di sicurezza, di migliorare le security posture in ambienti multi-cloud e di semplificare la gestione degli strumenti utili per governare la sicurezza.

Come migliorare le security posture adottando Azure Security Center

L’adozione ottimale di soluzioni cloud, utile per accelerare la trasformazione digitale delle imprese, deve prevedere un processo in grado di assicurare e mantenere un elevato grado di sicurezza delle proprie risorse IT, indipendentemente dai modelli di deployment implementati. Disporre di un unico sistema per la gestione della sicurezza dell’infrastruttura, in grado di rafforzare le security posture del proprio ambiente e di fornire una protezione avanzata dalle minacce per i carichi di lavoro, ovunque essi risiedano, diventa un elemento indispensabile. La soluzione Azure Security Center consente di raggiungere questi obiettivi ed è in grado di affrontare le principali sfide in ambito sicurezza. In questo articolo vengono riportate le caratteristiche della soluzione che consentono di migliorare e di controllare gli aspetti legati alla sicurezza dell’ambiente IT.

Le sfide della sicurezza nel cloud

Tra le principali sfide che si devono affrontare in ambito sicurezza adottando soluzioni cloud troviamo:

Carichi di lavoro sempre in rapida evoluzione. Questo aspetto è certamente un’arma a doppio taglio del cloud in quanto da un lato, gli utenti finali hanno la possibilità di ottenere di più dalle soluzioni, dall’altro diventa complesso garantire che i servizi in continua evoluzione siano all’altezza dei propri standard e che seguano tutte le best practice di sicurezza.
Attacchi sempre più sofisticati. Indipendentemente da dove sono in esecuzione i propri carichi di lavoro, gli attacchi di sicurezza adottano tecniche sofisticate ed avanzate che richiedono di implementare procedure affidabili per contrastare la loro efficacia.
Risorse e competenze in ambito sicurezza non sempre all’altezza per far fronte agli alert di sicurezza ed assicurare che gli ambienti siano protetti. La sicurezza è un fronte in continua evoluzione e rimanere aggiornati è una sfida costante e difficile da raggiungere.

Azure Security Center è in grado di rispondere in modo efficace alle sfide sopra elencate consentendo di prevenire, rilevare e far fronte alle minacce di sicurezza che interessano le risorse Azure e i workloads in ambienti ibridi e multicloud. Il tutto viene eseguito alla velocità del cloud, in quanto la soluzione è totalmente integrata in modo nativo nella piattaforma Azure ed è in grado di garantire un provisioning semplice ed automatico.

I pilastri della sicurezza contemplati da Azure Security Center

Le funzionalità di Azure Security Center (ASC) sono in grado di sostenere due grandi pilastri della sicurezza del cloud:

Cloud Security Posture Management (CSPM): ASC è disponibile gratuitamente per tutte le sottoscrizioni Azure. L’abilitazione avviene nel momento in cui si visita per la prima volta la dashboard di ASC nel portale di Azure oppure abilitandolo a livello di codice tramite API. In questa modalità (Azure Defender OFF) vengono offerte funzionalità relative all’ambito CSPM, tra le quali:
- Un assessment continuo che riporta delle raccomandazioni relative alla sicurezza dell’ambiente Azure. ASC scopre continuamente nuove risorse che vengono distribuite e valuta se sono configurate in base alle best practice di sicurezza. In caso contrario, le risorse vengono contrassegnate e si ottiene un elenco prioritario di consigli relativi a ciò che è opportuno correggere per ottenere la loro protezione. Questo elenco di raccomandazioni è preso e supportato da Azure Security Benchmark, il set di linee guida specifico per Azure creato da Microsoft, che contiene le best practice di sicurezza e di conformità basate su framework comuni. Questo benchmark si basa sui controlli del Center for Internet Security (CIS) e del National Institute of Standards and Technology (NIST), con particolare attenzione alla sicurezza incentrata sul cloud.
- L’assegnazione di un punteggio globale al proprio ambiente, che permette di valutare il profilo di rischio e di agire per intraprendere delle azioni di remediation.

Cloud workload protection (CWP): Azure Defender è la piattaforma CWP integrata in ASC che offre una protezione avanzata ed intelligente delle risorse e dei carichi di lavoro che risiedono in Azure ed in ambienti ibridi e multicloud. L’abilitazione di Azure Defender offre una gamma di funzionalità di sicurezza aggiuntive come descritto nei paragrafi seguenti.

Figura 1 – I pilastri di Azure Security Center

Quali tipi di risorse si possono proteggere con Azure Defender?

Abilitando Azure Defender vengono estese le funzionalità della modalità gratuita, anche ai workloads in esecuzione in cloud privati, presso altri cloud pubblici e in ambienti ibridi, fornendo una gestione globale e una protezione unificata.

Figura 2 – Ambiti di protezione di Azure Security Center

Tra le principali funzionalità di Azure Defender troviamo:

Microsoft Defender for Endpoint. ASC si integra con Microsoft Defender for Endpoint per fornire funzionalità complete di Endpoint Detection and Response (EDR). Grazie a questa integrazione è possibile usufruire delle seguenti funzionalità:
- Onboarding automatizzato: attivata l’integrazione viene abilitato automaticamente il sensore di Microsoft Defender for Endpoint per i server monitorati da Security Center, ad eccezione dei sistemi Linux e Windows Server 2019, per i quali è necessario compiere delle configurazioni specifiche. I sistemi server monitorati da ASC saranno presenti anche nella console di Microsoft Defender for Endpoint.
- Nella console di ASC saranno visualizzati anche gli alerts di Microsoft Defender for Endpoint, in modo da mantenere tutte le segnalazioni in un’unica console centralizzata.

Vulnerability Assessment per macchine virtuali e container registries. La scansione delle vulnerabilità inclusa in ASC viene effettuata tramite la soluzione Qualys, la quale risulta essere riconosciuta come leader per identificare in tempo reale eventuali vulnerabilità presenti sui sistemi. Per usufruire di questa funzionalità non è richiesta nessuna licenza aggiuntiva.

Protezione hybrid cloud e multicloud. Grazie al fatto che Azure Defender for Servers sfrutta Azure Arc è possibile semplificare il processo di onboarding, ed abilitare la protezione delle macchine virtuali in esecuzione in ambienti AWS, GCP oppure in cloud ibridi. Il tutto include diverse funzionalità, tra le quali, il provisioning automatico degli agenti, la gestione delle policy, delle vulnerabilità e l’EDR (Endpoint Detection and Response) integrato. Inoltre, grazie al supporto multicloud di Azure Defender for SQL è possibile monitorare costantemente le implementazioni di SQL Server per rilevare minacce e vulnerabilità note. Anche queste funzionalità sono fruibili per SQL Server attivati in ambiente on-premises, su macchine virtuali in Azure ed anche in deployment multicloud, contemplando Amazon Web Services (AWS) e Google Cloud Platform (GCP).

Access and application controls (AAC). Si tratta di una soluzione in grado di controllare quali applicazioni vengono eseguite sui sistemi, grazie alla quale è possibile effettuare le seguenti operazioni:
- Essere avvisati a fronte di tentativi di esecuzione di applicazioni malevole, che potenzialmente potrebbero non essere individuate da soluzioni antimalware.
- Rispettare la compliance aziendale, permettendo l’esecuzione solo di software regolarmente licenziato.
- Evitare l’utilizzo di software non voluto oppure obsoleto all’interno della propria infrastruttura.
- Controllare l’accesso ai dati sensibili che avviene utilizzando specifiche applicazioni.

Il tutto è reso possibile grazie a politiche di apprendimento automatico, adattate ai propri carichi di lavoro, che vengono utilizzate per creare elenchi di autorizzazioni e negazioni.

Threat protection alerts. Grazie alle funzionalità integrate di analisi comportamentale, a Microsoft Intelligent Security Graph e all’apprendimento automatico è possibile identificare attacchi avanzati ed exploit zero-day. Quando Azure Defender rileva una minaccia in qualsiasi area del proprio ambiente, genera un avviso di sicurezza. Questi avvisi descrivono i dettagli delle risorse interessate, i passaggi di correzione suggeriti e in alcuni casi viene fornita la possibilità di attivare in risposta delle Logic App. Tutti gli avvisi di sicurezza possono essere esportati in Azure Sentinel, in SIEM di terze parti oppure in altri strumenti SOAR (Security Orchestration, Automation and Response) o di IT Service Management.

Network map. Per monitorare continuamente lo stato di sicurezza della rete, ASC mette a disposizione una mappa che consente di visualizzare la topologia dei workloads e di valutare se ogni nodo è configurato correttamente. Controllando come sono collegati i nodi è possibile bloccare più facilmente le connessioni indesiderate che potrebbero potenzialmente rendere più facile per un utente malintenzionato attaccare la propria rete.

Protezione specifica per diversi ambiti. Azure Defender permette di proteggere in modo specifico differenti artifacts e di ricevere degli avvisi relativi alla sicurezza. Differenti sono le protezioni che si possono abilitare, tra le quali:

La dashboard di Azure Defender in ASC permette di avere visibilità e di intraprendere controlli specifici sulle funzionalità CWP per il proprio ambiente:

Figura 3 – Dashboard di Azure Defender

Azure Defender è gratuito per i primi 30 giorni, al termine dei quali se si sceglie di continuare ad utilizzare il servizio, saranno addebitati i costi secondo quanto riportato in questo documento.

Conclusioni

Azure Security Center consente di rafforzare la security posture della propria infrastruttura IT. Grazie alle funzionalità offerte è possibile implementare a livello globale best practice ed ottenere una visione d’insieme in ambito sicurezza. La soluzione coniuga la conoscenza maturata da Microsoft nella gestione dei propri servizi con nuove e potenti tecnologie idonee a trattare e gestire in modo consapevole ed efficace il tema della sicurezza.

La protezione di ambienti multi-cloud con Azure Security Center

La tendenza delle aziende di adottare una strategia multi-cloud è sempre più diffusa, ma questo modello operativo rende particolarmente sfidante ottenere elevati standard di sicurezza per il proprio ambiente. Per rispondere a questa esigenza Microsoft ha ufficialmente reso disponibile il supporto per la sicurezza multi-cloud nella soluzione Azure Security Center, consentendo di contemplare anche le risorse di Amazon Web Services (AWS) e di Google Cloud Platform (GCP). In questo articolo vengono riportare le caratteristiche di questa soluzione che consente di ottenere un elevato grado di sicurezza e migliorare le security posture in ambienti multi-cloud.

Azure Security Center (ASC) è stato originariamente sviluppato con la pretesa di essere lo strumento migliore per proteggere le risorse in ambiente Azure. La necessità dei clienti di proteggere le risorse dislocate su più cloud pubblici è però molto diffusa e per questa ragione il team di prodotto ha deciso di ampliare le capacità di azione, semplificando così gli strumenti di gestione della sicurezza in ambienti multi-cloud. Azure Security Center è in grado di proteggere non solo le risorse in ambienti ibridi ma anche di contemplare architetture multi-cloud, includendo AWS e GCP.

Figura 1 – Multi-cloud e hybrid protection in Azure Security Center

Queste le funzionalità che vengono messe a disposizione degli utilizzatori per coprire scenari multi-cloud:

Connettendo i propri account AWS oppure GCP ad Azure Security Center è possibile ottenere una visione multi-cloud unificata per quanto riguarda le security posture del proprio ambiente. In particolare, se le soluzioni AWS Security Hub oppure GCP Security Command Center rilevano configurazioni non corrette, queste segnalazioni vengono contemplate nel modello Secure Score e nella valutazione sulle conformità rispetto a specifiche normative (Regulatory Compliance), presenti in Azure Security Center.
Grazie al fatto che Azure Defender for Servers sfrutta Azure Arc è possibile semplificare il processo di onboarding, ed abilitare la protezione delle macchine virtuali in esecuzione in ambienti AWS, GCP oppure in cloud ibridi. Il tutto include diverse funzionalità, tra le quali, il provisioning automatico degli agenti, la gestione delle policy, delle vulnerabilità e l’EDR (Endpoint Detection and Response) integrato. In particolare, per la funzionalità di vulnerability assessment è possibile effettuare scansioni manuali o su larga scala, ed analizzare le vulnerabilità rilevate, sui sistemi sottoposti a scansione, tramite un’esperienza unificata.

Queste funzionalità si completano con il supporto multi-cloud, anch’esso recentemente annunciato, di Azure Defender for SQL, che permette di monitora costantemente le implementazioni di SQL Server per rilevare minacce e vulnerabilità note. Queste funzionalità sono fruibili per SQL Server attivati in ambiente on-premises, su macchine virtuali in Azure ed anche in deployment multi-cloud, contemplando Amazon Web Services (AWS) e Google Cloud Platform (GCP).

La soluzione Azure Arc ricopre un ruolo fondamentale in tutto ciò e permette di estendere i servizi ed i principi di gestione di Azure a qualsiasi infrastruttura. Per ottenere questo risultato Microsoft ha deciso di estensione il modello Azure Resource Manager per poter supportare anche ambienti ibridi e multi-cloud, facilitando in questo modo l’implementazione delle funzionalità di security presenti in Azure su tutti i componenti dell’infrastruttura.

Figura 2 – Azure Arc per ambienti ibridi e multi-cloud

Il processo di onboarding e le capacità offerte variano a seconda del cloud pubblico che si intende inglobare in Azure Security Center. Nei paragrafi seguenti vengono riportate le caratteristiche sia per Amazon Web Services (AWS) che per Google Cloud Platform (GCP).

Amazon Web Services (AWS)

Il processo di onboarding del proprio account AWS effettua l’integrazione della soluzione AWS Security Hub con Azure Security Center. In questo modo è possibile ottenere una visibilità ed una protezione completa di questi ambienti cloud per fornire:

Provisioning automatico degli agenti. ASC utilizza Azure Arc per la distribuzione dell’agente di Log Analytics a bordo delle istanze AWS.
Gestione delle policy.
Gestione delle vulnerabilità.
EDR (Endpoint Detection and Response) integrato.
Rilevamento di errori di configurazione che impattano sulla sicurezza.
Una singola visualizzazione in grado di mostrare le raccomandazioni di ASC ed i rilevamenti di AWS Security Hub.
Uno score di ASC che contempla anche le risorse AWS.
Valutazioni relative alle conformità normativa anche per le risorse AWS.

Nel momento in cui la connessione con AWS Security Hub risulta configurata correttamente:

ASC esegue la scansione dell’ambiente AWS alla ricerca di istanze EC2, ne viene fatto l’onboarding in Azure Arc, consentendo l’installazione dell’agente di Log Analytics. In questo modo si ottiene la protezione dalle minacce e si ricevono i consigli sulla sicurezza.
Il servizio ASC esegue la scansione di nuove istanze AWS EC2 ogni 6 ore e le integra in base alla configurazione fatta.
Lo standard AWS CIS viene mostrato nella dashboard sulle conformità normative di ASC.
Se le policy di AWS Security Hub sono abilitate, le relative raccomandazioni verranno visualizzate nel portale di ASC e nella dashboard sulle conformità normative, dopo alcuni minuti dal completamento del processo di onboarding.

Figura 3 – Raccomandazioni di AWS visualizzate nel portale di ASC

Per visualizzare le raccomandazioni attive per le proprie risorse in base alla tipologia, è possibile utilizzare la pagina di asset inventory di Security Center ed applicare il filtro specifico per la tipologia di risorsa AWS che interessa:

Figura 4 – Filtri di visualizzazione per le risorse AWS

Google Cloud Platform (GCP)

Il meccanismo di onboarding del proprio account GCP permette di integrare GCP Security Command con Azure Security Center e di avere una visibilità ed una protezione completa, in particolare fornendo:

Rilevamento di errori di configurazione che impattano sulla sicurezza.
Una singola visualizzazione in grado di mostrare le raccomandazioni di ASC ed i rilevamenti di GCP Security Command Center.
Uno score di ASC che contempla anche le risorse GCP.
Integrazione dei consigli di GCP Security Command Center basati sullo standard CIS all’interno della dashboard di conformità delle normative di Azure Security Center.

Nel momento in cui la connessione con GCP Security Command risulta completata:

Lo standard GCP CIS viene mostrato nella dashboard delle conformità normative di ASC.
Le raccomandazioni sulla sicurezza per le risorse dislocate in GCP verranno visualizzate nel portale di Azure Security Center e nella dashboard delle conformità normative dopo alcuni minuti dal completamento dell’onboarding.

Figura 5 – Raccomandazioni di GCP visualizzate nel portale di ASC

L’onboarding delle macchine virtuali GCP è al momento manuale, ma si possono adottare script per farlo su larga scala.

Nella pagina delle raccomandazioni di Azure Security Center sarà possibile visualizzare tutte le raccomandazioni di security delle risorse Azure insieme a quelle di AWS e di GCP, ottenendo così una visualizzazione multi-cloud.

Conclusioni

La possibilità di adottare Azure Security Center come soluzione centralizzata di controllo, dove confluiscono le informazioni di sicurezza provenienti anche da altri cloud pubblici, unita alle possibilità date dall’integrazione con Azure Arc, per estendere la protezione dei propri sistemi, permette di ottenere un elevato grado di sicurezza e di migliorare le security posture in ambienti multi-cloud. L’adozione di strategie multi-cloud sarà sempre più diffusa e Microsoft continuerà ad espandere Azure Security Center per fornire le migliori soluzioni per proteggere Azure, ambienti ibridi e modelli operativi multi-cloud.

Azure Security: come proteggere il servizio di distribuzione e di gestione delle risorse Azure

Per ottenere un elevato livello di sicurezza del proprio ambiente dislocato nel cloud pubblico è necessario prevedere una protezione sulle singole risorse che vengono attivate, ma è anche opportuno monitorare il servizio che permette la distribuzione e la gestione delle risorse stesse. Nel cloud pubblico di Microsoft il servizio di deployment e management è definito Azure Resource Manager, un servizio cruciale connesso a tutte le risorse Azure, pertanto un potenziale ed ambizioso bersaglio per gli aggressori. Microsoft, consapevole di questo aspetto, ha recentemente annunciato Azure Defender for Resource Manager. In questo articolo vengono riportate le caratteristiche di questa soluzione che consente di svolgere un’analisi avanzata di sicurezza, al fine di rilevare potenziali minacce ed essere avvisati a fronte di attività sospette che interessano Azure Resource Manager.

In Azure Defender esistono protezioni pensate appositamente per i singoli servizi Azure, come ad esempio per Azure SQL DB, Azure Storage, Azure VMs, e protezioni che interessano in modo trasversale tutti quei componenti che possono essere utilizzati dalle varie risorse Azure. Tra questi troviamo Azure Defender per Azure Network, Key Vault ed è stata annunciata recentemente anche la disponibilità di Azure Defender per Azure DNS e per Azure Resource Manager. Questi strumenti permettono di ottenere un ulteriore livello di protezione e controllo nel proprio ambiente Azure.

Figura 1 – Azure Defender Threat Protection per Workloads Azure

Azure Resource Manager fornisce il layer di gestione che consente di creare, aggiornare ed eliminare risorse nell’ambiente Azure. Fornisce inoltre funzionalità specifiche per la governance dell’ambiente Azure, come il controllo degli accessi, i lock ed i tag, che consentono di proteggere ed organizzare le risorse dopo la loro distribuzione.

Azure Defender for Resource Manager effettua automaticamente il monitor delle operazioni di gestione delle risorse Azure dell’organizzazione, indipendentemente dal fatto che queste vengano eseguite tramite il portale di Azure, le REST API di Azure, l’interfaccia da riga di comando oppure con altri client di programmazione di Azure.

Figura 2 – Protezione di Azure Defender for Resource Manager

Per attivare questo tipo di protezione è sufficiente abilitare il piano specifico di Azure Defender nelle impostazioni di Azure Security Center:

Figura 3 – Attivazione di Azure Defender for Resource Manager

Azure Defender for Resource Manager è in grado di attivare una protezione al verificarsi delle seguenti condizioni:

Operazioni di gestione delle risorse classificate come sospette, come ad esempio operazioni da indirizzi IP dubbi, disabilitazione del componente antimalware e script ambigui in esecuzione tramite le VM extensions.
Utilizzo di exploitation toolkits come Microburst oppure PowerZure.
Spostamento laterale dall’Azure management layer all’Azure resources data plane.

Un elenco completo degli alert che Azure Defender for Resource Manager è in grado di generare, si trova in questo documento Microsoft.

Gli avvisi di sicurezza generati da Azure Defender for Resource Manager si basano su potenziali minacce che vengono rilevate monitorando le operazioni di Azure Resource Manager utilizzando le seguenti fonti:

Azure Activity Log, il log della piattaforma Azure che fornisce informazioni sugli eventi a livello di sottoscrizione.
Log interni di Azure Resource Manager, non accessibile dai clienti, ma solo dal personale Microsoft.

Al fine di ottenere un’esperienza di indagine migliore e più approfondita è consigliabile far confluire gli Azure Activity Log in Azure Sentinel, seguendo la procedura descritta in questo documento Microsoft.

Simulando un attacco al layer di Azure Resource Manager utilizzando l’exploitation toolkits PowerZure, Azure Defender for Resource Manager genera un alert con severity elevata, come mostrato nell’immagine seguente:

Figura 4 – Alert generato da Azure Defender for Resource Manager

A fronte di un alert di questo tipo è possibile ricevere anche una notifica impostando in modo opportuno un action group in Azure Monitor. Inoltre, nel caso sia stata attivata l’integrazione tra Azure Security Center ed Azure Sentinel, lo stesso alert sarebbe presente anche in Azure Sentinel, con le relative informazioni necessarie per avviare il processo di investigazione e fornire una pronta risposta ad una problematica di questo tipo.

Conclusioni

Proteggere in modo efficace le risorse nell’ambiente Azure significa anche adottare gli strumenti idonei per fronteggiare potenziali attacchi che possono sfruttare i meccanismi di distribuzione e di gestione delle risorse stesse. Grazie al nuovo strumento Azure Defender for Resource Manager è possibile usufruire in modo totalmente integrato nella piattaforma Azure di una efficace protezione, senza dover installare specifici software oppure abilitare agenti aggiuntivi.

Azure Networking: come monitorare ed analizzare i log di Azure Firewall

Nelle architetture di rete in Azure dove è presente Azure Firewall, la soluzione di firewall-as-a-service (FWaaS) che consente di mettere in sicurezza le risorse presenti nelle Virtual Network e di governare i relativi flussi di rete, diventa strategico adottare degli strumenti per monitorare in modo efficace i relativi log. In questo articolo viene esplorato come interpretare al meglio i log e come è possibile fare analisi approfondite di Azure Firewall, un componente che spesso detiene un ruolo fondamentale nelle architetture di rete in Azure.

Un aspetto importante da verificare è che in Azure Firewall siano correttamente configurate le impostazioni di diagnostica, per far confluire i dati di log e le metriche verso un workspace di Azure Monitor Log Analytics.

Figura 1 – Impostazioni di diagnostica di Azure Firewall

Per avere una panoramica complessiva dei diagnostic logs e delle metriche disponibili per Azure Firewall è possibile consultare la specifica documentazione di Microsoft.

Uno dei metodi più efficaci per visualizzare ed analizzare i log di Azure Firewall è utilizzare i Workbooks, che consentono di combinare testo, query di Log Analytics, metriche di Azure e parametri, costituendo così dei report interattivi e facilmente consultabili.

Per Azure Firewall è presente un workbook specifico fornito da Microsoft che permette di ottenere informazioni dettagliate sugli eventi, conoscere le application e le network rule attivate e visualizzare le statistiche sulle attività del firewall per URL, porte e indirizzi.

L’importazione di questo workbook può avvenire tramite ARM template oppure Gallery template, seguendo le istruzioni riportate in questo articolo.

Figura 2 – Importazione del workbook di Azure Firewall

Completato il processo di importazione è possibile consultare nella pagina di overview una panoramica dei diversi eventi e delle tipologie di log presenti (application, networks, threat intel, DNS proxy), con la possibilità di applicare dei filtri specifici relativi ai workspace, alla fascia oraria ed ai firewall.

Figura 3 – Azure Firewall Workbook overview

Nel workbook è presente una sezione specifica per le Application rule dove vengono mostrate le origini per indirizzo IP, l’utilizzo delle application rule, e gli FQDN negati e consentiti. Inoltre, è possibile applicare dei filtri di ricerca sui dati delle Application rule.

Figura 4 – Azure Firewall Workbook – Application rule log statistics

Inoltre, nella sezione Network Rule è possibile visualizzare le informazioni in base alle azioni compiute dalle regole (allow/deny), alle target port e alle azioni DNAT.

Figura 5 – Azure Firewall Workbook – Network rule log statistics

Nel caso Azure Firewall sia stato impostato per funzionare anche come DNS Proxy è possibile visualizzare nel tab “Azure Firewall – DNS Proxy” del Workbook anche informazioni riguardanti il traffico e le richieste DNS gestite.

Qualora si renda necessario effettuare degli approfondimenti per ottenere maggiori informazioni sulle comunicazioni di specifiche risorse è possibile utilizzare la sezione Investigation andando ad agire sui filtri a disposizione.

Figura 6 – Azure Firewall Workbook – Investigation

Per visualizzare ed analizzare gli activity log è possibile connettere i log di Azure Firewall ad Azure Sentinel, il servizio che amplia le capacità dei tradizionali prodotti SIEM (Security Information and Event Management), utilizzando le potenzialità del cloud e l’intelligenza artificiale. In questo modo, tramite workbook specifici disponibili in Azure Sentinel, è possibile ampliare le capacità di analisi e creare alert specifici per poter identificare e gestirerapidamente le minacce di security che interessano questo componente di infrastruttura. Per connettere i log di Azure Firewall ad Azure Sentinel è possibile seguire la procedura riportata in questo documento Microsoft.

Conclusioni

Azure Firewall è un servizio ampliamene utilizzato e spesso è il fulcro della propria architettura network in Azure, dove transitano e vengono controllate tutte le comunicazioni di rete. Diventa pertanto importante datarsi di uno strumento per analizzare le metriche e le informazioni raccolte, in grado di fornire anche un valido supporto nella risoluzione di eventuali problemi ed incident. Grazie all’adozione di questi Workbooks è possibile consultare agilmente i dati raccolti da Azure Firewall, utilizzando report visivamente accattivanti, con funzionalità avanzate che consentono di arricchire l’esperienza di analisi direttamente dal portale di Azure.

Microsoft Defender ATP: la protezione dei sistemi Linux

Molte realtà aziendali dispongono di infrastrutture composte da sistemi operativi server eterogenei ed è nota la difficoltà nel dover adottare e gestire piattaforme di sicurezza differenti per garantire una protezione di tutto il parco macchine. Microsoft in questo ambito ha recentemente annunciato la disponibilità di Microsoft Defender Advanced Threat Protection (ATP), la piattaforma di sicurezza per gli endpoint aziendali progettata per prevenire, rilevare, investigare e rispondere alle minacce di sicurezza, anche per i sistemi Linux. In questo articolo viene riportato come proteggere le macchine Linux con questa soluzione e viene fornita una panoramica di come Microsoft Defender Security Center permette di monitorare e gestire la sicurezza dell’intero spettro di piattaforme client e server negli ambienti aziendali (Windows, Windows Server, macOS e Linux).

Negli ultimi anni Microsoft ha costantemente evoluto la piattaforma di sicurezza degli endpoint Microsoft Defender Advanced Threat Protection (ATP), al punto da essere stata riconosciuta come leader, ottenendo anche il posizionamento più alto nella capacità di esecuzione, nell’ultimo quadrante di Gartner “Endpoint Protection Platforms”.

Figura 1 – Gartner Magic Quadrant “Endpoint Protection Platforms” (2019)

La possibilità di proteggere anche i sistemi Linux la rende una soluzione ancora più completa, in grado di offrire:

Potenti funzionalità preventive. La soluzione fornisce una protezione real-time per le seguenti tipologie di file system: btrfs, ecryptfs, ext2, ext3, ext4, fuse, fuseblk, jfs, nfs, overlay, ramfs, reiserfs, tmpfs, udf, e vfat.
Un’esperienza completa da riga di comando per configurare e gestire l’agente, avviare scansioni e gestire le minacce.
Un’integrazione nel monitoraggio degli avvisi all’interno del Microsoft Defender Security Center.

Requisiti di sistema

Prima di procedere con il deployment della soluzione è opportuno verificare che siano rispettati tutti i requisiti richiesti da Microsoft Defender ATP in ambiente Linux.

Le distribuzioni Linux e le relative versioni attualmente supportate sono le seguenti:

Red Hat Enterprise Linux 7.2 o superiore
CentOS 7.2 o superiore
Ubuntu 16.04 LTS o superiore
Debian 9 o superiore
SUSE Linux Enterprise Server 12 o superiore
Oracle Linux 7.2 o superior

La versione minima del kernel supportata è la 3.10.0-327 e deve essere abilitata la funzionalità fanotify. Fanotify è un sistema di notifica dell’accesso ai file integrato in molti kernel Linux che consente a Microsoft Defender ATP di effettuare la scansione dei file e, se necessario, di bloccare l’accesso alle minacce. L’utilizzo di questa funzionalità deve essere totalmente dedicato a Microsoft Defender ATP, in quanto l’utilizzo congiunto di questa funzionalità da parte di altre soluzioni di sicurezza, può portare a risultati imprevedibili, incluso il blocco del sistema operativo.

Requisiti di rete

Per un corretto funzionamento di Microsoft Defender ATP sui sistemi Linux è necessario consentire una corretta comunicazione di rete verso URL specifici. In questo foglio di calcolo vengono elencati da parte di Microsoft i servizi e gli URL associati a cui il sistema protetto deve essere in grado di connettersi. Per maggiori dettagli a riguardo è possibile consultare questo documento specifico di Microsoft.

Microsoft Defender ATP prevede l’utilizzo dei seguenti sistemi proxy:

Transparent Proxy
Configurazione manuale del proxy statico

Non sono invece supportati PAC file, WPAD e proxy autenticati. Si ricorda inoltre che non sono supportati nemmeno meccanismi di SSL inspection per ragioni di sicurezza.

Metodi di deployment

L’attivazione di Microsoft Defender ATP sui sistemi Linux può essere fatta manualmente oppure tramite strumenti di management di terze parti, tra cui Ansible e Puppet, per i quali Microsoft documenta nel dettaglio la procedura da seguire. Entrambi gli strumenti prevedono le seguenti fasi:

Download dell’onboarding package dal Microsoft Defender Security Center.

Figura 2 – Download dell’onboarding package dal portale Microsoft Defender Security Center

Creazione del manifest (Puppet) oppure del YAML file (Ansible).
Distribuzione che prevede l’enrollment dell’agent e delle relative configurazioni.

Al termine del processo di installazione sarà possibile gestire totalmente il componente Microsoft Defender ATP direttamente tramite bash.

Figura 3 – Esecuzione del comando mdadp da una macchina Linux con il componente installato

Completato il processo di onboarding sarà possibile gestire le macchine Linux dal portale Microsoft Defender Security Center, come avviene per gli altri sistemi operativi.

Figura 4 – Device Linux presenti nel portale Microsoft Defender Security Center

A fronte di rilevazioni malware gli avvisi vengono riportati all’interno del Microsoft Defender Security Center:

Figura 5 – Timeline di rilevazione con il file di test Eicar su macchina Linux

Aggiornamenti del software

Microsoft pubblica regolarmente aggiornamenti software per migliorare le prestazioni, la sicurezza e fornire nuove funzionalità per Microsoft Defender ATP per Linux. Un aspetto sul quale prestare attenzione è che ogni versione di Microsoft Defender ATP per Linux ha una data di scadenza, dopo la quale non continuerà più a proteggere il sistema, pertanto è necessario aggiornare il prodotto prima di quella data. Per la procedura di aggiornamento della soluzione è possibile consultare questo documento di Microsoft.

Quando si aggiorna il sistema operativo Linux a una nuova major release, è necessario prima disinstallare Microsoft Defender ATP per Linux, installare l’aggiornamento e infine riconfigurare Microsoft Defender ATP sul sistema.

Configurazione della soluzione

Negli ambienti aziendali che dispongono di più sistemi, Microsoft Defender ATP per Linux può essere facilmente gestito tramite dei profili di configurazione. Il profilo di configurazione altro non è che un file con estensione “.json” composto da diverse voci, identificate da una chiave (che denota il nome della preferenza) e seguite da un valore. I valori possono essere semplici, come un valore numerico, oppure complessi, come un elenco nidificato di preferenze.

Questi profili è possibile distribuirli dallo strumento di gestione a disposizione, andando a gestire il tutto in modo centralizzato. Le preferenze distribuite avranno la precedenza su quelle impostate localmente sul sistema in modo da poter governare al meglio le differenti impostazioni. Per maggiori dettagli sulla struttura di questo profilo e sulle metodologie da utilizzare per la relativa distribuzione è possibile consultare questo articolo di Microsoft.

Conclusioni

Nonostante ci sia chi afferma che per le macchine Linux non siano necessarie soluzioni di sicurezza, personalmente ritengo che anche sui sistemi Linux sia opportuno attivare una adeguata protezione come per qualsiasi altro sistema operativo. Microsoft Defender ATP per Linux è in continua espansione e sono previste nuove interessanti funzionalità nei prossimi mesi per arricchire la soluzione con nuove e avanzate funzionalità di protezione. L’aggiunta di Linux alle piattaforme supportate nativamente da Microsoft Defender ATP segna una svolta importante per tutti i clienti che hanno l’esigenza di includere anche questi sistemi in una strategia di protezione unificata. Microsoft Defender Security Center offre infatti una soluzione centralizzata per il monitor e la gestione della sicurezza dell’intero parco macchine server e client.

Azure Security Center: la protezione di Azure Storage

Azure Security Center, la soluzione cloud che consente di prevenire, rilevare e rispondere alle minacce di sicurezza che interessano architetture ibride, permette di avere un livello di protezione avanzato anche per le risorse storage presenti in Azure. La soluzione consente di rilevare tentativi insoliti e potenzialmente dannosi di accedere oppure di utilizzare Azure Storage. In questo articolo viene riportato come proteggere in modo efficace lo storage in Azure con questa soluzione, esaminando le novità recentemente annunciate in questo ambito.

Azure Security Center (ASC) è possibile attivarlo in due tiers differenti:

Free tier. In questo tier ASC è totalmente gratuito ed effettua un assessment continuo, fornendo delle raccomandazioni relative alla sicurezza dell’ambiente Azure.
Standard tier. Rispetto al tier free aggiunge funzionalità avanzate di rilevamento delle minacce, utilizzando l’analisi comportamentale e l’apprendimento automatico per identificare attacchi ed exploit zero-day. Attraverso tecniche di machine learning e tramite la creazione di whitelist è possibile controllare l’esecuzione delle applicazioni per ridurre l’esposizione agli attacchi di rete e ai malware. Inoltre, il livello standard aggiunge la possibilità di effettuare in modo integrato un Vulnerability Assessment per le macchine virtuali in Azure. Lo standard Security Center Standard supporta diverse risorse Azure tra cui: VMs, Virtual machine scale sets, App Service, SQL servers, e Storage accounts.

Advanced Threat Protection (ATP) per Azure Storage rientra quindi tra le varie funzionalità di Azure Security Center Standard.

Figura 1 – Confronto tra le funzionalità dei differenti tiers di ASC

Per migliorare le security posture del proprio ambiente Azure è fortemente consigliata l’abilitazione del tier Standard di Security Center.

La funzionalità di Advanced Threat Protection (ATP) per Azure Storage è stata annunciata lo scorso anno, permettendo di rilevare minacce comuni come malware, accesso da fonti sospette (inclusi nodi TOR), attività di esfiltrazione dei dati e altro ancora, ma il tutto limitatamente ai blob containers. Recentemente è stata incluso il supporto anche per Azure Files e Azure Data Lake Storage Gen2. Questo permette ai clienti di proteggere anche i dati archiviati in file shares e gli archivi di dati progettati per l’analisi dei big data aziendali.

L’attivazione di questa funzionalità dal portale Azure è molto semplice ed è possibile farla a livello di subscription protetta da Security Center oppure in modo selettivo sui singoli storage account.

Per abilitare questa protezione su tutti gli storage account della subscription è necessario accedere alla sezione “Pricing & Settings” di Security Center e attivare la protezione degli Storage Accounts.

Figura 2 – Attivazione ATP per Azure Storage a livello di subscription

Se si preferisce abilitarla solo su determinati storage account è necessario attivarla nelle rispettive impostazioni di Advanced security.

Figura 3 – Attivazione ATP sul singolo storage account

Quando si verificano anomalie su uno storage account gli avvisi di sicurezza vengono inviati tramite posta elettronica agli amministratori delle subscription Azure, con i dettagli sulle attività sospette rilevate e i relativi consigli su come indagare e risolvere le minacce.

I dettagli inclusi nella notifica dell’evento includono:

La natura dell’anomalia
Il nome dello storage account
L’ora dell’evento
La tipologia dello storage
Le potenziali cause
I passi consigliati per indagare quanto riscontrato
Le azioni da intraprendere per rimediare da quanto accaduto

Figura 4 – Esempio di avviso di sicurezza inviato a fronte di una rilevazione di una minaccia

Per validare il corretto funzionamento della soluzione è stato in questo esempio utilizzato il test file EICAR. Si tratta di un file sviluppato dall’European Institute for Computer Anti-Virus Research (EICAR) che serve per validare in sicurezza le soluzioni di protezione.

Gli avvisi di sicurezza è possibile consultarli e gestirli direttamente da Azure Security Center, dove vengono visualizzati i relativi dettagli e le azioni per indagare le minacce attuali ed affrontare quelle future.

Figura 5 – Esempio di avviso di sicurezza presente nel Security alerts tile di ASC

Per ottenere la lista completa dei possibili avvisi generati da tentativi insoliti e potenzialmente dannosi di accedere oppure utilizzare gli storage account è possibile accedere alla sezione Threat protection for data services in Azure Security Center.

Questa protezione risulta molto utile anche in presenza di architettura che prevedono l’utilizzo del servizio Azure File Sync (AFS), che permette di centralizzare le cartelle di rete della propria infrastruttura in Azure Files.

Conclusioni

Sempre più frequentemente le realtà aziendali trasferiscono i loro dati nel cloud, alla ricerca di architettura distribuite, elevate prestazioni e una ottimizzazione dei costi. Tutte le funzionalità offerte dal cloud pubblico richiedono di rafforzare la sicurezza informatica, in particolare vista la crescente complessità e sofisticatezza degli attacchi informatici. Grazie all’adozione di Advanced Threat Protection (ATP) per Azure Storage è possibile aumentare il livello di sicurezza dello storage utilizzato in ambiente Azure in modo semplice ed efficace.