Archivi categoria: Enterprise Security

Proactive Cloud Protection: Experiences and Strategies for Cloud Security

With the growing adoption of cloud platforms, organizations face new security challenges that require a structured and proactive approach. Field experience has shown how critical it is to implement effective Cloud Security Posture Management (CSPM) solutions to continuously monitor and protect cloud infrastructures. These tools enable the detection and resolution of risks before they can evolve into critical threats. In this article, I will share practical advice for tackling these challenges, exploring the importance of CSPM, key risks to consider, and how Microsoft Defender for Cloud (MDfC) stands out as a comprehensive solution for managing cloud security. Additionally, we will review the essential steps for effectively implementing a CSPM solution and best practices to maximize security.

Understanding CSPM and Its Importance

Cloud Security Posture Management (CSPM) refers to a suite of tools and practices that continuously monitor and protect cloud infrastructures. Through direct experience with various projects, I have observed how organizations increasingly rely on cloud platforms, often exposing themselves to misconfigurations, compliance violations, and vulnerabilities. CSPM acts as a continuous supervisor, detecting and mitigating risks before they become critical threats, providing constant oversight over cloud environments.

The main risks that a CSPM solution helps to address include:

  • Data Breaches: Misconfigurations can inadvertently expose sensitive data, making it vulnerable to external threats.
  • Compliance Violations: Non-compliance with regulations can result in legal penalties and financial losses.
  • Reputational Damage: A security breach can undermine customer trust, negatively impacting the company’s reputation.

Microsoft Defender for Cloud: A Comprehensive CSPM Solution

Microsoft Defender for Cloud (MDfC) is an advanced Cloud Security Posture Management (CSPM) solution that excels in protecting heterogeneous cloud environments. Working directly on various projects, I have seen how MDfC, operating as a Cloud Native Application Protection Platform (CNAPP), offers comprehensive protection throughout the application lifecycle, from development to deployment. Its scalability allows it to adapt to the evolving needs of organizations, supporting platforms like Azure, AWS, and GCP.

Figure 1 – Microsoft Cloud-Native Application Protection Platform (CNAPP)

MDfC stands out by managing various security areas in addition to CSPM:

  • Cloud Workload Protection Platform (CWPP): This feature provides real-time threat detection and response for virtual machines, containers, Kubernetes, databases, and more, helping to reduce the attack surface.
  • Multi-Pipeline DevOps Security: It offers a centralized console to manage security across all DevOps pipelines, preventing misconfigurations and ensuring vulnerabilities are detected early in the development process.
  • Cloud Infrastructure Entitlement Management (CIEM): It centralizes the management of permissions across cloud and hybrid infrastructures, preventing the misuse of privileges.

Additionally, Cloud Security Network Services (CSNS) solutions integrate with CWPP to protect cloud infrastructure in real-time. A CSNS solution may include a wide range of security tools, such as distributed denial-of-service (DDoS) protection and web application firewalls.

Implementing CSPM: Planning and Strategies

To implement a CSPM solution effectively, a detailed plan is essential to ensure alignment with business needs. Here are some practical suggestions:

  1. Assess Security Objectives: Organizations should start by evaluating their cloud environments, identifying critical resources, and understanding their exposure to risks. This requires a thorough analysis of the IT security landscape, including identifying any gaps in infrastructure and compliance requirements.
  2. Define Security Requirements: Once the cloud environment is understood, the next step is to establish security policies that protect high-value workloads and sensitive data. It’s crucial to outline risk management strategies that include preventive measures, such as audits and vulnerability scans, as well as reactive measures like breach response plans.
  3. Select the Appropriate CSPM Solution: MDfC offers various levels of CSPM services. Organizations can start with basic functionalities, such as compliance controls and vulnerability assessments, and then evolve toward advanced capabilities, including in-depth security analysis, threat management, and governance tools.

Figure 2 – CSPM Plans (Foundational VS Defender CSPM)

Turning Strategy into Action

Once the planning phase is complete, it’s time to operationalize CSPM, translating strategic security objectives into concrete actions integrated into daily operations. Based on my experience, the key steps include:

  • Defining Roles and Responsibilities: Clearly assigning roles to team members is critical to ensuring accountability and effective management of CSPM tools. For example, security architects can focus on the overall strategy, while IT administrators handle the configuration and daily management of CSPM tools.
  • Establishing Solid Processes: Implementing workflows for regular security assessments, managing compliance, and resolving issues is crucial. Automation plays a key role at this stage, simplifying operations and reducing the risk of human error.
  • Continuous Monitoring and Improvement: Effective use of CSPM requires ongoing monitoring to identify new vulnerabilities and threats. Real-time monitoring tools, such as those provided by Defender for Cloud, enable organizations to respond swiftly to security incidents, ensuring a high level of protection.

Best Practices for Maximizing CSPM Effectiveness

To get the most out of CSPM, organizations should follow some best practices that I have found to be particularly effective:

  • Align with Industry Standards: Ensure that CSPM implementation complies with industry standards and best practices, such as the CIS Benchmarks and the NIST Cybersecurity Framework. This ensures that the security measures adopted meet the required levels of protection and compliance.
  • Shift-Left Security: Integrate security into every phase of IT operations, from application design and development to deployment and maintenance. This approach, known as “shift-left,” reduces the risk of vulnerabilities being introduced into systems from the earliest stages.
  • Automate Security Processes: Automating tasks such as compliance checks, threat detection, and issue resolution significantly improves the efficiency of security operations, freeing up resources to address more complex threats.
  • Cultivate a Security Awareness Culture: Security must be a shared responsibility, not limited to the IT department. All employees should be trained and aware of their role in maintaining organizational security. Regular training sessions and workshops help to promote this culture of awareness.

Best Practices Specific to Defender CSPM

To optimize the use of Microsoft Defender for Cloud (MDfC) as a CSPM solution, it is useful to follow these best practices:

  • Customize MDfC Settings: Tailor MDfC configurations to the organization’s specific needs and risk profile, implementing targeted security policies, custom threat detection rules, and compliance benchmarks.
  • Prioritize Alerts: Configure MDfC to categorize and prioritize alerts based on severity, resource sensitivity, and potential impact on business activities, ensuring a prompt response to critical threats.
  • Customize Dashboards: Adapt MDfC dashboards to highlight the most relevant security metrics, compliance status, and operational insights, facilitating monitoring and management of security.

Conclusion

Cloud Security Posture Management (CSPM) solutions are essential to ensure security and compliance in evolving cloud environments. With advanced tools like Microsoft Defender for Cloud, organizations can monitor and protect their data and infrastructures, minimizing risks and maintaining a robust security posture. Implementing a CSPM solution properly requires strategic planning and continuous adaptation to new threats, but the benefits in terms of protection and resilience are significant. By following best practices and integrating security into every phase of IT operations, companies can ensure proactive and enduring protection while preserving customer trust and corporate reputation.

Microsoft Defender for Cloud: un’estate di innovazioni per rimodellare la sicurezza aziendale

In un’era in cui la sicurezza dei dati e la gestione efficiente delle risorse cloud sono diventate priorità imprescindibili, Microsoft Defender for Cloud emerge come uno strumento strategico per le aziende moderne. Questa soluzione, integrata nell’ambiente Azure, offre una protezione avanzata, facilitando la gestione della sicurezza e delle conformità a livello aziendale. In questo articolo, verranno esplorate le principali novità che hanno caratterizzato Defender for Cloud nell’estate 2023, delineando come queste innovazioni possano rappresentare un valore aggiunto per le aziende.

I benefici dell’adozione di Defender for Cloud

Adottare Defender for Cloud in un contesto aziendale non è solo una scelta strategica, ma una necessità crescente. Questa soluzione consente di centralizzare e semplificare la gestione della sicurezza, offrendo una visione olistica che facilita il monitoraggio continuo e la risposta rapida alle minacce di sicurezza. Inoltre, contribuisce a ottimizzare la security posture di ambienti ibridi e multi-cloud, garantendo nel contempo una protezione avanzata e il rispetto di differenti conformità normative.

Novità dell’Estate 2023

Possibilità di includere Defender for Cloud nei business case fatti con Azure Migrate

Per le aziende intenzionate a trasferire le proprie risorse su piattaforme cloud come Azure, la pianificazione della migrazione è fondamentale. Con l’integrazione di Defender for Cloud in Azure Migrate, ora è possibile garantire una protezione avanzata fin dalla fase iniziale di migrazione. Questa integrazione assicura che le strategie di sicurezza siano ben integrate nel piano di migrazione, fornendo una transizione più sicura e senza problemi verso il cloud.

Defender for Cloud, sempre più agentless

Numerose funzionalità di Defender for Cloud sono ora disponibili senza la necessità di installare un agent:

  • Protezione dei container in Defender CSPM: discovery agentless. La transizione dal discovery guidato da agenti al discovery senza agenti, per la protezione dei container in Defender CSPM, rappresenta un salto qualitativo notevole verso una gestione della sicurezza più snella ed efficace. Questa nuova funzionalità elimina la necessità di installare agenti su ogni container, semplificando così il processo di discovery e riducendo l’utilizzo delle risorse.
  • Defender for Containers: agentless discovery per Kubernetes. Defender for Containers ha lanciato la funzione di discovery senza agent per Kubernetes, rappresentando un notevole passo avanti nella sicurezza dei container. Questo strumento offre una visione dettagliata e una completa capacità di inventario degli ambienti Kubernetes, assicurando un livello di sicurezza e conformità senza pari.
  • Defender for Servers P2 & Defender CSPM: agentless secret scanning per Virtual Machines. La funzionalità di scansione dei secret senza l’uso di agent, presente in Defender for Server P2 e Defender CSPM, consente di individuare secret non supervisionati e vulnerabili memorizzati sulle macchine virtuali. Questo strumento si rivela essenziale per impedire azioni di lateral movement nella rete e ridurre i rischi correlati.

Data Aware Security Posture 

Adottare una postura di sicurezza consapevole anche per i dati è fondamentale ed ora Microsoft Defender for Cloud è in grado di soddisfare anche questa esigenza. Questa funzionalità consente alle aziende di minimizzare i rischi legati ai dati, fornendo strumenti che individuano automaticamente le informazioni sensibili e valutano le relative minacce, migliorando la risposta alle violazioni dei dati. In particolare, la funzione di identificazione dei dati sensibili per i database PaaS è attualmente in fase di anteprima. Questa permette agli utenti di catalogare i dati critici e riconoscere le tipologie di informazioni all’interno dei loro database, rivelandosi fondamentale per una gestione e protezione efficace dei dati sensibili.

Supporto di GCP in Defender CSPM

L’introduzione del supporto per Google Cloud Platform (GCP) in Defender CSPM, attualmente in anteprima, segna un passo significativo verso una gestione della sicurezza più integrata e versatile, estendendo le capacità di Defender CSPM ad un’ampia gamma di servizi presenti nel cloud pubblico di Google.

Scansione malware in Defender for Storage

Defender per Storage introduce la funzionalità di scansione malware, superando le sfide tradizionali legate alla protezione da malware e fornendo una soluzione ideale per settori fortemente regolamentati. Questa funzione, disponibile come componente aggiuntivo, rappresenta un notevole potenziamento delle soluzioni di sicurezza di Microsoft Defender for Storage. Con la scansione malware si ottengono i seguenti benefici.

  • Protezione, in tempo pressoché reale, senza agent: capacità di intercettare malware avanzati come quelli polimorfici e metamorfici.
  • Ottimizzazione dei costi: grazie a una tariffazione flessibile, si possono controllare i costi basandosi sulla quantità di dati esaminati e con una granularità a livello di risorsa.
  • Abilitazione su larga scala: senza necessità di manutenzione, supporta risposte automatizzate su larga scala e offre diverse opzioni per l’attivazione tramite strumenti e piattaforme come Azure policy, Bicep, ARM, Terraform, API REST e il portale Azure.
  • Versatilità applicativa: basandosi sul feedback degli utenti beta negli ultimi due anni, la scansione malware si è dimostrata utile in una varietà di scenari, come applicazioni web, protezione dei contenuti, conformità, integrazioni con terze parti, piattaforme collaborative, flussi di dati e set di dati per l’apprendimento automatico (ML).

Express Configuration per il Vulnerability Assessments in Defender for SQL 

L’opzione di configurazione ‘express’ per le valutazioni delle vulnerabilità in Defender for SQL, ora disponibile per tutti, agevola il riconoscimento e la gestione delle vulnerabilità, garantendo una risposta tempestiva e una protezione più efficace.

GitHub Advanced Security per Azure DevOps

Risulta ora possibile visualizzare gli alert di GitHub Advanced Security per Azure DevOps (GHAzDO) relativi a CodeQL, secret e dipendenze, direttamente in Defender for Cloud. I risultati verranno visualizzati nella sezione DevOps e nelle Raccomandazioni. Per vedere questi risultati, è necessario integrare i propri repository abilitati a GHAzDO in Defender for Cloud.

Nuovo processo di auto-provisioning per il piano SQL Server (preview)

L’agente di monitoraggio Microsoft (MMA) verrà deprecato nell’agosto 2024. Defender for Cloud ha aggiornato la sua strategia sostituendo MMA con il rilascio di un processo di auto-provisioning dell’agente di monitoraggio Azure mirato a SQL Server.

Rivisitazione del modello di business e della struttura tariffaria

Microsoft ha rivisto il modello di business e la struttura tariffaria dei piani Defender for Cloud. Queste modifiche, mirate a offrire una maggiore chiarezza nelle spese e a rendere più intuitiva la struttura dei costi, sono state apportate in risposta al feedback dei clienti per migliorare l’esperienza d’uso complessiva.

Conclusione

L’estate 2023 ha segnato un periodo di innovazioni significative per Microsoft Defender for Cloud. Queste novità, orientate verso una gestione della sicurezza più integrata e semplificata, promettono di portare benefici tangibili alle aziende, facilitando la protezione dei dati e la conformità in ambienti cloud sempre più complessi.

Come estendere la protezione di Azure Security Center a tutte le risorse tramite Azure Arc

Azure Security Center (ASC) è stato originariamente sviluppato con la volontà di diventare lo strumento di riferimento per proteggere le risorse in ambiente Azure. La necessità molto sentita dei clienti di proteggere le risorse dislocate anche in ambienti differenti da Azure ha portato ad una evoluzione della soluzione che, grazie all’integrazione con Azure Arc, permette di estendere gli strumenti di protezione e di gestione della sicurezza a qualsiasi infrastruttura. In questo articolo viene spiegato come Azure Security Center ed Azure Arc consentono di proteggere le risorse non Azure situate on-premises oppure su altri cloud provider, come macchine virtuali, servizi Kubernetes e risorse SQL.

L’adozione di Azure Defender utilizzando i principi di Azure Arc

Azure Arc permette di gestire i workload che risiedono all’esterno di Azure, sulla rete aziendale on-premises oppure presso un altro cloud provider. Tale esperienza di gestione è progettata per fornire coerenza con le metodologie di management native di Azure.

Grazie al fatto che Azure Security Center ed Azure Arc possono essere utilizzati in modo congiunto, si ha la possibilità di offrire una protezione avanzata per tre differenti scenari:

Figura 1 – Scenari di protezione

Abilitando in Azure Security Center la protezione di Azure Defender dei workload a livello di subscription è possibile contemplare anche le risorse ed i carichi di lavoro che risiedono in ambienti ibridi e multicloud, il tutto in modo estremamente semplice grazie ad Azure Arc.

Azure Defender per i sistemi server abilitati ad Arc

Connettendo una macchina server ad Azure tramite Arc viene considerata a tutti gli effetti come una risorsa Azure. Ogni macchina connessa ha un ID specifico, viene inclusa in un resource group e beneficia dei costrutti standard di Azure come le Azure Policy e l’applicazione dei tag. Questo vale sia per sistemi Windows sia per i sistemi Linux.

Per offrire questa esperienza è richiesta l’installazione dell’agente specifico di Azure Arc su ogni macchina che si prevede di connettere ad Azure (“Azure Connected Machine”).

L’Azure Arc Connected Machine agent è composto dai seguenti componenti logici:

  • L’Hybrid Instance Metadata service (HIMDS) che gestisce la connessione ad Azure e l’identità di Azure della macchina connessa.
  • Il Guest Configuration agent che fornisce le funzionalità di In-Guest Policy e Guest Configuration.
  • L’Extension Manager agent che gestisce i processi di installazione, disinstallazione ed aggiornamento delle estensioni della macchina.

Figura 2 – Componenti dell’agente Azure Arc

Il Connected Machine agent richiede una comunicazione sicura in uscita verso Azure Arc sulla porta TCP  443.

Questo agente non fornisce altre funzionalità e non sostituisce l’agente di Azure Log Analytics, il quale rimane necessario quando si desidera monitorare in modo proattivo il sistema operativo ed i carichi di lavoro in esecuzione sulla macchina.

Per maggiori informazioni sull’installazione di Azure Arc è possibile consultare questo documento ufficiale Microsoft.

I server abilitati per la soluzione Azure Arc possono beneficiare di diverse funzionalità legate ad Azure Resource Manager come Tags, Policies e RBAC, oltre che ad alcune funzionalità relative ad Azure Management.

L’attivazione di Azure Defender for Server con Azure Arc

La proiezione delle risorse server in Azure utilizzando Arc è un passaggio utile per garantire che tutte le macchine dell’infrastruttura siano protette da Azure Defender for Server. Analogamente a una macchina virtuale di Azure, sarà inoltre necessario distribuire l’agente di Log Analytics nel sistema di destinazione. Per semplificare il processo di onboarding questo agente viene distribuito utilizzando la VM extension, e questo è uno dei vantaggi dell’utilizzo di Arc.

Una volta che l’agente di Log Analytics è stato installato e connesso ad un workspace utilizzato da ASC, la macchina sarà pronta per utilizzare e beneficiare delle varie funzionalità di sicurezza offerte nel piano Azure Defender for Servers.

Per ogni risorsa è possibile visualizzare lo stato dell’agente e le relative raccomandazioni di sicurezza correnti:

Figura 3 – Azure Arc Connected Machine in ASC

Nel caso ci sia la necessità di effettuare l’onboarding in Azure Defender di un server non Azure con una versione del sistema operativo non ancora supportata dall’agente di Azure Arc, è comunque possibile eseguire l’onboarding installando solamente l’agente Log Analytics sulla macchina.

Le icone presenti nel portale Azure consentono di distinguere facilmente le differenti risorse:

Figura 4 – Icone delle differenti risorse presenti in ASC

 

Azure Defender per le risorse Kubernetes abilitate ad Arc

Azure Defender for Kubernetes permette di proteggere anche i cluster dislocati on-premises con le stesse funzionalità di rilevamento delle minacce offerte per i cluster Azure Kubernetes Service (AKS).

Per tutti i cluster Kubernetes differenti da AKS, risulta necessario connettere l’ambiente cluster ad Azure Arc. Una volta connesso l’ambiente cluster, Azure Defender for Kubernetes può essere attivato come cluster extension sulle risorse Kubernetes abilitate per Azure Arc.

Figura 5 – Interazione tra Azure Defender for Kubernetes ed il cluster Kubernetes abilitato per Azure Arc

I componenti dell’extension raccolgono gli audit logs di Kubernetes da tutti i nodi del control plane del cluster e li inviano al back-end di Azure Defender for Kubernetes nel cloud per ulteriori analisi. L’extension viene registrata con un workspace Log Analytics che viene utilizzato per la pipeline dei dati, ma gli audit log non vengono archiviati nel workspace di Log Analytics.

L’extension consente anche proteggere i cluster Kubernetes dislocati presso altri cloud provider, ma non permette di contemplare i loro servizi gestiti di Kubernetes.

Azure Defender per le risorse SQL Server abilitate ad Arc

Azure Defender for SQL permette di monitorare costantemente le implementazioni di SQL Server per rilevare minacce e vulnerabilità note. Anche queste funzionalità sono fruibili non solo per macchine virtuali in Azure, ma anche per SQL Server attivati in ambiente on-premises e in deployment multicloud. I SQL Server abilitati ad Azure Arc fanno parte anche di Azure Arc for servers. Per abilitare gli Azure services, l’istanza di SQL Server deve essere registrata con Azure Arc usando il portale di Azure ed un apposito script di registrazione. Dopo la registrazione, l’istanza verrà rappresentata su Azure come una risorsa SQL Server – Azure Arc. Le proprietà di questa risorsa riflettono un sottoinsieme delle impostazioni di configurazione di SQL Server.

Figura 6 – Diagramma che illustra l’architettura di Azure Arc per le risorse SQL Server


Conclusioni

Gestire la sicurezza e mantenere il controllo dei workload in esecuzione on-premises, in Azure e su altre piattaforme cloud può risultare particolarmente sfidante. Grazie ad Azure Arc è possibile estendere facilmente la copertura di Azure Defender ai carichi di lavoro che risiedono all’esterno dell’ambiente Azure. Inoltre, Azure Security Center consente di ottenere informazioni dettagliate sulla sicurezza del proprio ambiente ibrido in un’unica console centralizzata, utile per controllare efficacemente la security della propria infrastruttura IT.

Come migliorare le security posture adottando Azure Security Center

L’adozione ottimale di soluzioni cloud, utile per accelerare la trasformazione digitale delle imprese, deve prevedere un processo in grado di assicurare e mantenere un elevato grado di sicurezza delle proprie risorse IT, indipendentemente dai modelli di deployment implementati. Disporre di un unico sistema per la gestione della sicurezza dell’infrastruttura, in grado di rafforzare le security posture del proprio ambiente e di fornire una protezione avanzata dalle minacce per i carichi di lavoro, ovunque essi risiedano, diventa un elemento indispensabile. La soluzione Azure Security Center consente di raggiungere questi obiettivi ed è in grado di affrontare le principali sfide in ambito sicurezza. In questo articolo vengono riportate le caratteristiche della soluzione che consentono di migliorare e di controllare gli aspetti legati alla sicurezza dell’ambiente IT.

Le sfide della sicurezza nel cloud

Tra le principali sfide che si devono affrontare in ambito sicurezza adottando soluzioni cloud troviamo:

  • Carichi di lavoro sempre in rapida evoluzione. Questo aspetto è certamente un’arma a doppio taglio del cloud in quanto da un lato, gli utenti finali hanno la possibilità di ottenere di più dalle soluzioni, dall’altro diventa complesso garantire che i servizi in continua evoluzione siano all’altezza dei propri standard e che seguano tutte le best practice di sicurezza.
  • Attacchi sempre più sofisticati. Indipendentemente da dove sono in esecuzione i propri carichi di lavoro, gli attacchi di sicurezza adottano tecniche sofisticate ed avanzate che richiedono di implementare procedure affidabili per contrastare la loro efficacia.
  • Risorse e competenze in ambito sicurezza non sempre all’altezza per far fronte agli alert di sicurezza ed assicurare che gli ambienti siano protetti. La sicurezza è un fronte in continua evoluzione e rimanere aggiornati è una sfida costante e difficile da raggiungere.

Azure Security Center è in grado di rispondere in modo efficace alle sfide sopra elencate consentendo di prevenire, rilevare e far fronte alle minacce di sicurezza che interessano le risorse Azure e i workloads in ambienti ibridi e multicloud. Il tutto viene eseguito alla velocità del cloud, in quanto la soluzione è totalmente integrata in modo nativo nella piattaforma Azure ed è in grado di garantire un provisioning semplice ed automatico.

I pilastri della sicurezza contemplati da Azure Security Center

Le funzionalità di Azure Security Center (ASC) sono in grado di sostenere due grandi pilastri della sicurezza del cloud:

  • Cloud Security Posture Management (CSPM): ASC è disponibile gratuitamente per tutte le sottoscrizioni Azure. L’abilitazione avviene nel momento in cui si visita per la prima volta la dashboard di ASC nel portale di Azure oppure abilitandolo a livello di codice tramite API. In questa modalità (Azure Defender OFF) vengono offerte funzionalità relative all’ambito CSPM, tra le quali:
    • Un assessment continuo che riporta delle raccomandazioni relative alla sicurezza dell’ambiente Azure. ASC scopre continuamente nuove risorse che vengono distribuite e valuta se sono configurate in base alle best practice di sicurezza. In caso contrario, le risorse vengono contrassegnate e si ottiene un elenco prioritario di consigli relativi a ciò che è opportuno correggere per ottenere la loro protezione. Questo elenco di raccomandazioni è preso e supportato da Azure Security Benchmark, il set di linee guida specifico per Azure creato da Microsoft, che contiene le best practice di sicurezza e di conformità basate su framework comuni. Questo benchmark si basa sui controlli del Center for Internet Security (CIS) e del National Institute of Standards and Technology (NIST), con particolare attenzione alla sicurezza incentrata sul cloud.
    • L’assegnazione di un punteggio globale al proprio ambiente, che permette di valutare il profilo di rischio e di agire per intraprendere delle azioni di remediation.
  • Cloud workload protection (CWP): Azure Defender è la piattaforma CWP integrata in ASC che offre una protezione avanzata ed intelligente delle risorse e dei carichi di lavoro che risiedono in Azure ed in ambienti ibridi e multicloud. L’abilitazione di Azure Defender offre una gamma di funzionalità di sicurezza aggiuntive come descritto nei paragrafi seguenti.

Figura 1 – I pilastri di Azure Security Center

Quali tipi di risorse si possono proteggere con Azure Defender?

Abilitando Azure Defender vengono estese le funzionalità della modalità gratuita, anche ai workloads in esecuzione in cloud privati, presso altri cloud pubblici e in ambienti ibridi, fornendo una gestione globale e una protezione unificata.

Figura 2 – Ambiti di protezione di Azure Security Center

Tra le principali funzionalità di Azure Defender troviamo:

  • Microsoft Defender for Endpoint. ASC si integra con Microsoft Defender for Endpoint per fornire funzionalità complete di Endpoint Detection and Response (EDR). Grazie a questa integrazione è possibile usufruire delle seguenti funzionalità:
    • Onboarding automatizzato: attivata l’integrazione viene abilitato automaticamente il sensore di Microsoft Defender for Endpoint per i server monitorati da Security Center, ad eccezione dei sistemi Linux e Windows Server 2019, per i quali è necessario compiere delle configurazioni specifiche. I sistemi server monitorati da ASC saranno presenti anche nella console di Microsoft Defender for Endpoint.
    • Nella console di ASC saranno visualizzati anche gli alerts di Microsoft Defender for Endpoint, in modo da mantenere tutte le segnalazioni in un’unica console centralizzata.
  • Vulnerability Assessment per macchine virtuali e container registries. La scansione delle vulnerabilità inclusa in ASC viene effettuata tramite la soluzione Qualys, la quale risulta essere riconosciuta come leader per identificare in tempo reale eventuali vulnerabilità presenti sui sistemi. Per usufruire di questa funzionalità non è richiesta nessuna licenza aggiuntiva.
  • Protezione hybrid cloud e multicloud. Grazie al fatto che Azure Defender for Servers sfrutta Azure Arc è possibile semplificare il processo di onboarding, ed abilitare la protezione delle macchine virtuali in esecuzione in ambienti AWS, GCP oppure in cloud ibridi. Il tutto include diverse funzionalità, tra le quali, il provisioning automatico degli agenti, la gestione delle policy, delle vulnerabilità e l’EDR (Endpoint Detection and Response) integrato. Inoltre, grazie al supporto multicloud di Azure Defender for SQL è possibile monitorare costantemente le implementazioni di SQL Server per rilevare minacce e vulnerabilità note. Anche queste funzionalità sono fruibili per SQL Server attivati in ambiente on-premises, su macchine virtuali in Azure ed anche in deployment multicloud, contemplando Amazon Web Services (AWS) e Google Cloud Platform (GCP).
  • Access and application controls (AAC). Si tratta di una soluzione in grado di controllare quali applicazioni vengono eseguite sui sistemi, grazie alla quale è possibile effettuare le seguenti operazioni:
    • Essere avvisati a fronte di tentativi di esecuzione di applicazioni malevole, che potenzialmente potrebbero non essere individuate da soluzioni antimalware.
    • Rispettare la compliance aziendale, permettendo l’esecuzione solo di software regolarmente licenziato.
    • Evitare l’utilizzo di software non voluto oppure obsoleto all’interno della propria infrastruttura.
    • Controllare l’accesso ai dati sensibili che avviene utilizzando specifiche applicazioni.

Il tutto è reso possibile grazie a politiche di apprendimento automatico, adattate ai propri carichi di lavoro, che vengono utilizzate per creare elenchi di autorizzazioni e negazioni.

  • Threat protection alerts. Grazie alle funzionalità integrate di analisi comportamentale, a Microsoft Intelligent Security Graph e all’apprendimento automatico è possibile identificare attacchi avanzati ed exploit zero-day. Quando Azure Defender rileva una minaccia in qualsiasi area del proprio ambiente, genera un avviso di sicurezza. Questi avvisi descrivono i dettagli delle risorse interessate, i passaggi di correzione suggeriti e in alcuni casi viene fornita la possibilità di attivare in risposta delle Logic App. Tutti gli avvisi di sicurezza possono essere esportati in Azure Sentinel, in SIEM di terze parti oppure in altri strumenti SOAR (Security Orchestration, Automation and Response) o di IT Service Management.
  • Network map. Per monitorare continuamente lo stato di sicurezza della rete, ASC mette a disposizione una mappa che consente di visualizzare la topologia dei workloads e di valutare se ogni nodo è configurato correttamente. Controllando come sono collegati i nodi è possibile bloccare più facilmente le connessioni indesiderate che potrebbero potenzialmente rendere più facile per un utente malintenzionato attaccare la propria rete.

La dashboard di Azure Defender in ASC permette di avere visibilità e di intraprendere controlli specifici sulle funzionalità CWP per il proprio ambiente:

Figura 3 – Dashboard di Azure Defender

Azure Defender è gratuito per i primi 30 giorni, al termine dei quali se si sceglie di continuare ad utilizzare il servizio, saranno addebitati i costi secondo quanto riportato in questo documento.

Conclusioni

Azure Security Center consente di rafforzare la security posture della propria infrastruttura IT. Grazie alle funzionalità offerte è possibile implementare a livello globale best practice ed ottenere una visione d’insieme in ambito sicurezza. La soluzione coniuga la conoscenza maturata da Microsoft nella gestione dei propri servizi con nuove e potenti tecnologie idonee a trattare e gestire in modo consapevole ed efficace il tema della sicurezza.

La protezione di ambienti multi-cloud con Azure Security Center

La tendenza delle aziende di adottare una strategia multi-cloud è sempre più diffusa, ma questo modello operativo rende particolarmente sfidante ottenere elevati standard di sicurezza per il proprio ambiente. Per rispondere a questa esigenza Microsoft ha ufficialmente reso disponibile il supporto per la sicurezza multi-cloud nella soluzione Azure Security Center, consentendo di contemplare anche le risorse di Amazon Web Services (AWS) e di Google Cloud Platform (GCP). In questo articolo vengono riportare le caratteristiche di questa soluzione che consente di ottenere un elevato grado di sicurezza e migliorare le security posture in ambienti multi-cloud.

Azure Security Center (ASC) è stato originariamente sviluppato con la pretesa di essere lo strumento migliore per proteggere le risorse in ambiente Azure. La necessità dei clienti di proteggere le risorse dislocate su più cloud pubblici è però molto diffusa e per questa ragione il team di prodotto ha deciso di ampliare le capacità di azione, semplificando così gli strumenti di gestione della sicurezza in ambienti multi-cloud. Azure Security Center è in grado di proteggere non solo le risorse in ambienti ibridi ma anche di contemplare architetture multi-cloud, includendo AWS e GCP.

Figura 1 – Multi-cloud e hybrid protection in Azure Security Center

Queste le funzionalità che vengono messe a disposizione degli utilizzatori per coprire scenari multi-cloud:

  • Connettendo i propri account AWS oppure GCP ad Azure Security Center è possibile ottenere una visione multi-cloud unificata per quanto riguarda le security posture del proprio ambiente. In particolare, se le soluzioni AWS Security Hub oppure GCP Security Command Center rilevano configurazioni non corrette, queste segnalazioni vengono contemplate nel modello Secure Score e nella valutazione sulle conformità rispetto a specifiche normative (Regulatory Compliance), presenti in Azure Security Center.
  • Grazie al fatto che Azure Defender for Servers sfrutta Azure Arc è possibile semplificare il processo di onboarding, ed abilitare la protezione delle macchine virtuali in esecuzione in ambienti AWS, GCP oppure in cloud ibridi. Il tutto include diverse funzionalità, tra le quali, il provisioning automatico degli agenti, la gestione delle policy, delle vulnerabilità e l’EDR (Endpoint Detection and Response) integrato. In particolare, per la funzionalità di vulnerability assessment è possibile effettuare scansioni manuali o su larga scala, ed analizzare le vulnerabilità rilevate, sui sistemi sottoposti a scansione, tramite un’esperienza unificata.

Queste funzionalità si completano con il supporto multi-cloud, anch’esso recentemente annunciato, di Azure Defender for SQL, che permette di monitora costantemente le implementazioni di SQL Server per rilevare minacce e vulnerabilità note. Queste funzionalità sono fruibili per SQL Server attivati in ambiente on-premises, su macchine virtuali in Azure ed anche in deployment multi-cloud, contemplando Amazon Web Services (AWS) e Google Cloud Platform (GCP).

La soluzione Azure Arc ricopre un ruolo fondamentale in tutto ciò e permette di estendere i servizi ed i principi di gestione di Azure a qualsiasi infrastruttura. Per ottenere questo risultato Microsoft ha deciso di estensione il modello Azure Resource Manager per poter supportare anche ambienti ibridi e multi-cloud, facilitando in questo modo l’implementazione delle funzionalità di security presenti in Azure su tutti i componenti dell’infrastruttura.

Figura 2 – Azure Arc per ambienti ibridi e multi-cloud

Il processo di onboarding e le capacità offerte variano a seconda del cloud pubblico che si intende inglobare in Azure Security Center. Nei paragrafi seguenti vengono riportate le caratteristiche sia per Amazon Web Services (AWS) che per Google Cloud Platform (GCP).

Amazon Web Services (AWS)

Il processo di onboarding del proprio account AWS effettua l’integrazione della soluzione AWS Security Hub con Azure Security Center. In questo modo è possibile ottenere una visibilità ed una protezione completa di questi ambienti cloud per fornire:

  • Provisioning automatico degli agenti. ASC utilizza Azure Arc per la distribuzione dell’agente di Log Analytics a bordo delle istanze AWS.
  • Gestione delle policy.
  • Gestione delle vulnerabilità.
  • EDR (Endpoint Detection and Response) integrato.
  • Rilevamento di errori di configurazione che impattano sulla sicurezza.
  • Una singola visualizzazione in grado di mostrare le raccomandazioni di ASC ed i rilevamenti di AWS Security Hub.
  • Uno score di ASC che contempla anche le risorse AWS.
  • Valutazioni relative alle conformità normativa anche per le risorse AWS.

Nel momento in cui la connessione con AWS Security Hub risulta configurata correttamente:

  • ASC esegue la scansione dell’ambiente AWS alla ricerca di istanze EC2, ne viene fatto l’onboarding in Azure Arc, consentendo l’installazione dell’agente di Log Analytics. In questo modo si ottiene la protezione dalle minacce e si ricevono i consigli sulla sicurezza.
  • Il servizio ASC esegue la scansione di nuove istanze AWS EC2 ogni 6 ore e le integra in base alla configurazione fatta.
  • Lo standard AWS CIS viene mostrato nella dashboard sulle conformità normative di ASC.
  • Se le policy di AWS Security Hub sono abilitate, le relative raccomandazioni verranno visualizzate nel portale di ASC e nella dashboard sulle conformità normative, dopo alcuni minuti dal completamento del processo di onboarding.

Figura 3 – Raccomandazioni di AWS visualizzate nel portale di ASC

Per visualizzare le raccomandazioni attive per le proprie risorse in base alla tipologia, è possibile utilizzare la pagina di asset inventory di Security Center ed applicare il filtro specifico per la tipologia di risorsa AWS che interessa:

Figura 4 – Filtri di visualizzazione per le risorse AWS

Google Cloud Platform (GCP)

Il meccanismo di onboarding del proprio account GCP permette di integrare GCP Security Command con Azure Security Center e di avere una visibilità ed una protezione completa, in particolare fornendo:

  • Rilevamento di errori di configurazione che impattano sulla sicurezza.
  • Una singola visualizzazione in grado di mostrare le raccomandazioni di ASC ed i rilevamenti di GCP Security Command Center.
  • Uno score di ASC che contempla anche le risorse GCP.
  • Integrazione dei consigli di GCP Security Command Center basati sullo standard CIS all’interno della dashboard di conformità delle normative di Azure Security Center.

Nel momento in cui la connessione con GCP Security Command risulta completata:

  • Lo standard GCP CIS viene mostrato nella dashboard delle conformità normative di ASC.
  • Le raccomandazioni sulla sicurezza per le risorse dislocate in GCP verranno visualizzate nel portale di Azure Security Center e nella dashboard delle conformità normative dopo alcuni minuti dal completamento dell’onboarding.

Figura 5 – Raccomandazioni di GCP visualizzate nel portale di ASC

L’onboarding delle macchine virtuali GCP è al momento manuale, ma si possono adottare script per farlo su larga scala.

Nella pagina delle raccomandazioni di Azure Security Center sarà possibile visualizzare tutte le raccomandazioni di security delle risorse Azure insieme a quelle di AWS e di GCP, ottenendo così una visualizzazione multi-cloud.

Conclusioni

La possibilità di adottare Azure Security Center come soluzione centralizzata di controllo, dove confluiscono le informazioni di sicurezza provenienti anche da altri cloud pubblici, unita alle possibilità date dall’integrazione con Azure Arc, per estendere la protezione dei propri sistemi, permette di ottenere un elevato grado di sicurezza e di migliorare le security posture in ambienti multi-cloud. L’adozione di strategie multi-cloud sarà sempre più diffusa e Microsoft continuerà ad espandere Azure Security Center per fornire le migliori soluzioni per proteggere Azure, ambienti ibridi e modelli operativi multi-cloud.

Microsoft Defender ATP: la protezione dei sistemi Linux

Molte realtà aziendali dispongono di infrastrutture composte da sistemi operativi server eterogenei ed è nota la difficoltà nel dover adottare e gestire piattaforme di sicurezza differenti per garantire una protezione di tutto il parco macchine. Microsoft in questo ambito ha recentemente annunciato la disponibilità di Microsoft Defender Advanced Threat Protection (ATP), la piattaforma di sicurezza per gli endpoint aziendali progettata per prevenire, rilevare, investigare e rispondere alle minacce di sicurezza, anche per i sistemi Linux. In questo articolo viene riportato come proteggere le macchine Linux con questa soluzione e viene fornita una panoramica di come Microsoft Defender Security Center permette di monitorare e gestire la sicurezza dell’intero spettro di piattaforme client e server negli ambienti aziendali (Windows, Windows Server, macOS e Linux).

Negli ultimi anni Microsoft ha costantemente evoluto la piattaforma di sicurezza degli endpoint Microsoft Defender Advanced Threat Protection (ATP), al punto da essere stata riconosciuta come leader, ottenendo anche il posizionamento più alto nella capacità di esecuzione, nell’ultimo quadrante di Gartner “Endpoint Protection Platforms”.

Figura 1 – Gartner Magic Quadrant “Endpoint Protection Platforms” (2019)

La possibilità di proteggere anche i sistemi Linux la rende una soluzione ancora più completa, in grado di offrire:

  • Potenti funzionalità preventive. La soluzione fornisce una protezione real-time per le seguenti tipologie di file system: btrfs, ecryptfs, ext2, ext3, ext4, fuse, fuseblk, jfs, nfs, overlay, ramfs, reiserfs, tmpfs, udf, e vfat.
  • Un’esperienza completa da riga di comando per configurare e gestire l’agente, avviare scansioni e gestire le minacce.
  • Un’integrazione nel monitoraggio degli avvisi all’interno del Microsoft Defender Security Center.

Requisiti di sistema

Prima di procedere con il deployment della soluzione è opportuno verificare che siano rispettati tutti i requisiti richiesti da Microsoft Defender ATP in ambiente Linux.

Le distribuzioni Linux e le relative versioni attualmente supportate sono le seguenti:

  • Red Hat Enterprise Linux 7.2 o superiore
  • CentOS 7.2 o superiore
  • Ubuntu 16.04 LTS o superiore
  • Debian 9 o superiore
  • SUSE Linux Enterprise Server 12 o superiore
  • Oracle Linux 7.2 o superior

La versione minima del kernel supportata è la 3.10.0-327 e deve essere abilitata la funzionalità fanotify.  Fanotify è un sistema di notifica dell’accesso ai file integrato in molti kernel Linux che consente a Microsoft Defender ATP di effettuare la scansione dei file e, se necessario, di bloccare l’accesso alle minacce. L’utilizzo di questa funzionalità deve essere totalmente dedicato a Microsoft Defender ATP, in quanto l’utilizzo congiunto di questa funzionalità da parte di altre soluzioni di sicurezza, può portare a risultati imprevedibili, incluso il blocco del sistema operativo.

Requisiti di rete

Per un corretto funzionamento di Microsoft Defender ATP sui sistemi Linux è necessario consentire una corretta comunicazione di rete verso URL specifici. In questo foglio di calcolo vengono elencati da parte di Microsoft i servizi e gli URL associati a cui il sistema protetto deve essere in grado di connettersi. Per maggiori dettagli a riguardo è possibile consultare questo documento specifico di Microsoft.

Microsoft Defender ATP prevede l’utilizzo dei seguenti sistemi proxy:

  • Transparent Proxy
  • Configurazione manuale del proxy statico

Non sono invece supportati PAC file, WPAD e proxy autenticati. Si ricorda inoltre che non sono supportati nemmeno meccanismi di SSL inspection per ragioni di sicurezza.

Metodi di deployment

L’attivazione di Microsoft Defender ATP sui sistemi Linux può essere fatta manualmente oppure tramite strumenti di management di terze parti, tra cui Ansible e Puppet, per i quali Microsoft documenta nel dettaglio la procedura da seguire. Entrambi gli strumenti prevedono le seguenti fasi:

  • Download dell’onboarding package dal Microsoft Defender Security Center.

Figura 2 – Download dell’onboarding package dal portale Microsoft Defender Security Center

  • Creazione del manifest (Puppet) oppure del YAML file (Ansible).
  • Distribuzione che prevede l’enrollment dell’agent e delle relative configurazioni.

Al termine del processo di installazione sarà possibile gestire totalmente il componente Microsoft Defender ATP direttamente tramite bash.

Figura 3 – Esecuzione del comando mdadp da una macchina Linux con il componente installato

Completato il processo di onboarding sarà possibile gestire le macchine Linux dal portale Microsoft Defender Security Center, come avviene per gli altri sistemi operativi.

Figura 4 – Device Linux presenti nel portale Microsoft Defender Security Center

A fronte di rilevazioni malware gli avvisi vengono riportati all’interno del Microsoft Defender Security Center:

Figura 5 – Timeline di rilevazione con il file di test Eicar su macchina Linux

Aggiornamenti del software

Microsoft pubblica regolarmente aggiornamenti software per migliorare le prestazioni, la sicurezza e fornire nuove funzionalità per Microsoft Defender ATP per Linux. Un aspetto sul quale prestare attenzione è che ogni versione di Microsoft Defender ATP per Linux ha una data di scadenza, dopo la quale non continuerà più a proteggere il sistema, pertanto è necessario aggiornare il prodotto prima di quella data. Per la procedura di aggiornamento della soluzione è possibile consultare questo documento di Microsoft.

Quando si aggiorna il sistema operativo Linux a una nuova major release, è necessario prima disinstallare Microsoft Defender ATP per Linux, installare l’aggiornamento e infine riconfigurare Microsoft Defender ATP sul sistema.

Configurazione della soluzione

Negli ambienti aziendali che dispongono di più sistemi, Microsoft Defender ATP per Linux può essere facilmente gestito tramite dei profili di configurazione. Il profilo di configurazione altro non è che un file con estensione “.json” composto da diverse voci, identificate da una chiave (che denota il nome della preferenza) e seguite da un valore. I valori possono essere semplici, come un valore numerico, oppure complessi, come un elenco nidificato di preferenze.

Questi profili è possibile distribuirli dallo strumento di gestione a disposizione, andando a gestire il tutto in modo centralizzato. Le preferenze distribuite avranno la precedenza su quelle impostate localmente sul sistema in modo da poter governare al meglio le differenti impostazioni. Per maggiori dettagli sulla struttura di questo profilo e sulle metodologie da utilizzare per la relativa distribuzione è possibile consultare questo articolo di Microsoft.

Conclusioni

Nonostante ci sia chi afferma che per le macchine Linux non siano necessarie soluzioni di sicurezza, personalmente ritengo che anche sui sistemi Linux sia opportuno attivare una adeguata protezione come per qualsiasi altro sistema operativo. Microsoft Defender ATP per Linux è in continua espansione e sono previste nuove interessanti funzionalità nei prossimi mesi per arricchire la soluzione con nuove e avanzate funzionalità di protezione. L’aggiunta di Linux alle piattaforme supportate nativamente da Microsoft Defender ATP segna una svolta importante per tutti i clienti che hanno l’esigenza di includere anche questi sistemi in una strategia di protezione unificata. Microsoft Defender Security Center offre infatti una soluzione centralizzata per il monitor e la gestione della sicurezza dell’intero parco macchine server e client.

L’integrazione tra Azure Security Center e Microsoft Defender ATP

Microsoft Defender Advanced Threat Protection (MDATP) è una piattaforma di sicurezza per gli endpoint aziendali progettata per prevenire, rilevare, investigare e rispondere alle minacce di sicurezza. In questo articolo viene approfondito come Azure Security Center (ASC) è in grado di integrarsi con questa piattaforma e quali sono gli aspetti da tenere in considerazione per unire le differenti potenzialità e contemplare in modo efficace la protezione dei server.

Microsoft Defender Advanced Threat Protection (MDATP)

Si riportano le principali caratteristiche della soluzione Microsoft Defender Advanced Threat Protection:

  • Sensori avanzati di rilevamento post-violazione: grazie ai sensori di Microsoft Defender ATP per server Windows è possibile raccogliere una vasta gamma di segnali comportamentali.
  • Possibilità di effettuare controlli post-violazione sfruttando le potenzialità del cloud: Microsoft Defender ATP è in grado di adattarsi rapidamente alle mutevoli minacce in quanto utilizza l’Intelligent Security Graph con segnali provenienti da Windows, Azure ed Office. Grazie a questo potente meccanismo è possibile rispondere rapidamente alle minacce sconosciute.
  • Threat intelligence: Microsoft Defender ATP genera alerts quando identifica strumenti, tecniche e procedure utilizzate degli aggressori. La soluzione utilizza dati generati dai “cacciatori” di minacce e dai team di sicurezza Microsoft, arricchiti dall’intelligence fornita dalla collaborazione con differenti partner in ambito sicurezza.

La console di Microsoft Defender Advanced Threat Protection (MDATP) è accessibile a questo indirizzo.

Caratteristiche e vantaggi dell’integrazione

ASC si integra con MDATP per fornire funzionalità complete di Endpoint Detection and Response (EDR). Grazie a questa integrazione è possibile usufruire delle seguenti funzionalità:

  • Onboarding automatizzato: attivata l’integrazione viene abilitato automaticamente il sensore di Microsoft Defender ATP per i server Windows monitorati da Security Center (ad eccezione dei sistemi Windows Server 2019, per i quali è necessario compiere delle configurazioni specifiche). I sistemi Windows Server monitorati da Azure Security Center saranno presenti anche nella console di Microsoft Defender ATP.
  • Nella console di Azure Security Center saranno visualizzati anche gli alerts di Windows Defender ATP, in modo da mantenere tutte le segnalazioni in un’unica console centralizzata. Per effettuare un’analisi di dettaglio delle segnalazioni è comunque consigliato accedere alla console di Microsoft Defender ATP, che fornisce ulteriori informazioni come i grafici degli incidenti. Dalla stessa console è anche possibile visualizzare per un sistema specifico la sequenza temporale di tutti i comportamenti rilevati, per un periodo storico fino a sei mesi.

Abilitazione dell’integrazione tra ASC e MDATP

Per abilitare questa integrazione è necessario utilizzare Azure Security Center (ASC) nel tier Standard, che include la licenza per attivare MDATP sui sistemi server.

  • Per le macchine virtuali in Azure è necessario avere il tier standard di ASC a livello di subscription:

Figura 1 – Attivazione tier standard di ASC a livello di subscription per VMs in Azure

  • Per le macchine virtuali che non risiedono in Azure, ma on-premises oppure in altri cloud, è sufficiente abilitare il tier standard di ASC a livello di workspace:

Figura 2 – Attivazione tier standard di ASC a livello di workspace per VMs non in Azure

Inoltre, è necessario abilitare la seguente impostazione da Azure Security Center:

Figura 3 – Abilitazione dell’integrazione tra ASC e MDATP

Per consultare le diverse possibilità per effettuare l’onboarding dei server è possibile accedere a questo documento Microsoft.

Quando si utilizza Azure Security Center per monitorare i server, viene creato automaticamente anche un tenant di Microsoft Defender ATP (di default in Europa). Se la soluzione Microsoft Defender ATP viene utilizzata prima di usare Azure Security Center, i dati verranno archiviati nella posizione specificata durante la creazione del tenant, anche se si effettua l’integrazione con ASC in un secondo momento. La posizione in cui vengono archiviati i dati non è possibile modificarla post deployment, ma se risulta necessario spostare i dati in un’altra posizione geografica occorre contattare il Supporto Microsoft.

Figura 4 – Data Storage retention

 

Rilevazione delle minacce

In presenza di questa integrazione, a fronte di una rilevazione di una minaccia da parte di MDATP, viene generato anche un alerts in Azure Security Center, che diventa la console centralizzata per la raccolta delle segnalazioni di security.

Figura 5 – SecurityAlert presente nel workspace di ASC

Le informazioni relative all’alert possono essere inviate anche per mail tramite Action Group:

Figura 6 – Segnalazione ricevuta tramite mail da ASC a fronte di una rilevazione di una minaccia

Per indagare in modo approfondito l’alert è possibile accedere al portale Microsoft Defender Security Center, dove si troveranno i relativi dettagli.

Figura 7 – Dettagli dell’alert dal portale Microsoft Defender Security Center

Conclusioni

Azure Security Center (ASC) e Microsoft Defender Advanced Threat Protection (MDATP) sono due soluzioni distinte, ma con importanti relazioni, sia per quanto riguarda gli aspetti relativi al licensing che per la gestione operativa della sicurezza dei sistemi server. Grazie a questa semplice integrazione è possibile gestire l’onboarding dei sistemi ed includere anche le segnalazioni di MDATP in ASC, in modo da poter monitorare in modo efficace il proprio ambiente e rispondere al meglio alle minacce di sicurezza sui sistemi server.

Azure Security Center: l’export di alert e raccomandazioni verso altre soluzioni

In Azure Security è stata introdotta una interessante funzionalità che permette di inviare le informazioni di security generate dal proprio ambiente verso altre soluzioni. Il tutto avviene tramite un meccanismo di esportazione continua degli alert e delle raccomandazioni verso Azure Event Hubs oppure verso workspace di Azure Monitor Log Analytics. Con questa funzionalità si aprono così nuovi scenari di integrazione per Azure Security Center. In questo articolo viene riportato come utilizzare questa funzionalità e vengono approfondite le sue caratteristiche.

Azure Security Center (ASC) effettua un assessment continuo dell’ambiente ed è in grado di fornire delle raccomandazioni relative alla sicurezza dell’ambiente. Come descritto in questo articolo è possibile personalizzare la soluzione per soddisfare i propri requisiti di sicurezza e le raccomandazioni che vengono generate. Nel tier standard queste raccomandazioni possono non essere limitate al solo ambiente Azure, ma sarà possibile contemplare anche ambienti ibridi e le risorse on-premises.

Security Center standard genera anche degli alert nel momento in cui vengono rilevate potenziali minacce di sicurezza sulle risorse presenti nel proprio ambiente. ASC stabilisce le priorità, elenca gli alert, fornisce le informazioni necessarie per esaminare rapidamente i problemi e riporta consigli su come risolvere eventuali attacchi.

Azure Event Hubs è una piattaforma di streaming di big data e un servizio per l’ingestion di eventi. Può ricevere ed elaborare milioni di eventi al secondo. I dati inviati a un Event Hub possono essere trasformati e archiviati utilizzando qualsiasi provider di analisi in tempo reale oppure adattatori batch o di archiviazione.

La nuova funzionalità che è stata introdotta in Azure Security Center si chiama Continuos Export, supporta scenari enterprise e consente di effettuare quanto segue:

  • Export verso Azure Event Hubs per ottenere una integrazione con SIEMs di terze parti ed Azure Data Explorer.
  • Export verso un workspace Log Analytics per avere una integrazione con Azure Monitor, utile per analizzare meglio i dati, utilizzare Alert rule, Microsoft Power BI e dashboards personalizzate.
  • Export in un file CSV, per singole esportazioni di dati (one shot).

La configurazione è semplice e la si può effettuare tramite la seguente procedura.

In Azure Security Center si seleziona la subscription per la quale si vuole configurare l’esportazione dei dati e nella sidebar delle impostazioni si seleziona Continuos Export:

Figura 1 – Continuous Export nei settings di ASC della subscription

In questo caso si è scelto di configurare l’esportazione verso un workspace di Log Analytics. Si possono selezionare quali raccomandazioni esportare ed il relativo livello di severity. Anche per gli alert di security si può scegliere per quale livello farne l’esportazione. L’export crea un oggetto, pertanto è opportuno specificare in quale resource group posizionarlo. Sarà infine necessario selezionare il workspace target di Log Analytics.

Figura 2 – Configurazione dei parametri per fare il Continuous Export

Selezionando il link per l’integrazione con Azure Monitor c’è la possibilità di creare in modo automatico delle Alert rule già preimpostate.

Figura 3 – Creazione automatica di alert rule in Azure Monitor

Di default queste alert rule non configurano degli Action Group, pertanto è consigliabile modificarle per scatenare un trigger in base alle proprie esigenze.

Queste le due alert rule create di default:

Figura 4 – Alert rule di Azure Monitor create di default

In alternativa, dopo aver fatto confluire le raccomandazioni e gli alert di ASC in un workspace, è possibile configurare in Azure Monitor delle Alert rule personalizzate basate su query di Log Analytics.

Gli alert di security e le raccomandazioni di ASC vengono memorizzate nelle tabelle SecurityAlert e SecurityRecommendations del workspace. Il nome della solution di Log Analytics contenente queste tabelle è in relazione al tier di ASC, che può essere quindi Security and Audit (tier standard) oppure SecurityCenterFree (tier free).

Figura 4 – Tabelle in Log Analytics

La configurazione di Continuos Export verso Event Hubs è del tutto simile e risulta essere la metodologia migliore per integrare le raccomandazioni e gli alerts di Azure Security Center con soluzioni SIEM di terze parti. In seguito, vengono riportati i connettori per le principali soluzioni SIEM di terze parti:

In Azure Sentinel è invece disponibile il Data connector nativo per contemplare gli alerts di Azure Security Center.

Per configurare l’export verso Azure Data Explorer è possibile usare la procedura riportata in questa documentazione Microsoft.

Conclusioni

Grazie a questa nuova funzionalità introdotta in Azure Security Center è possibile consolidare tutti gli alert e le raccomandazioni generati dalla soluzione verso altri strumenti, aprendo così nuovi possibili scenari di integrazione anche con soluzioni di terze parti. Il tutto è reso possibile tramite un meccanismo facilmente configurabile, che consente di essere immediatamente notificati e di intraprendere rapidamente le azioni necessarie. Questi aspetti sono fondamentali quando si trattano informazioni relative alla sicurezza.

Azure Security Center: come personalizzare la soluzione per soddisfare i propri requisiti di sicurezza

Azure Security Center è una soluzione nel cloud che consente di prevenire, rilevare e rispondere alle minacce di sicurezza che interessano sia le risorse in ambiente Azure che workloads in ambienti ibridi. Tramite l’assegnazione di un punteggio globale al proprio ambiente permette di valutare il profilo di rischio e di agire per intraprendere delle azioni di remediation al fine di migliorare le security posture. La soluzione si basa su delle raccomandazioni generiche, ma in alcuni casi è opportuno personalizzarla per contemplare al meglio le proprie politiche di sicurezza. In questo articolo viene riportato come è possibile introdurre questo livello di personalizzazione al fine di aumentare il valore fornito da Azure Security Center.

Utilizzo delle custom security policy

Le raccomandazioni di default presenti nella soluzione sono derivanti da best practices generiche del settore e da specifici standard normativi.

Figura 1 – Punteggio e raccomandazioni standard presenti in Azure Security Center

Recentemente è stata introdotta la possibilità di aggiungere le proprie initiatives personalizzate, al fine di ricevere delle raccomandazioni qualora non siano rispettate le policy di sicurezza stabilite in modo specifico per il proprio ambiente. Le iniziative personalizzate che vengono create sono totalmente integrate nella soluzione e saranno contemplate sia nel Secure Score che nelle dashboard di compliance.

Per creare una initiative personalizzata è possibile seguire la procedura in seguito riportata:

Figura 2 – Avvio del processo di creazione di una custom initiative

All’interno delle initiatives è possibile includere delle Azure Policy integrate nella soluzione oppure le proprie policy personalizzate.

Nell’esempio sotto riportato l’initiative include le seguenti due policy:

  • Una custom che impedisce la creazione di peering verso una rete di Hub che si trova in un determinato resource group.
  • Una bult-in che verifica che siano applicati i Network Security Group a tutte le subnet.

Figura 3 – Creazione di una custom initiative

In seguito, è necessario procedere con l’assegnazione dell’initiative custom:

Figura 4 – Avvio del processo di assegnazione

 

Figura 5 – Assegnazione della custom initiative

 

Figura 6 – Visualizzazione della custom initiative assegnata

La visualizzazione delle raccomandazioni presenti all’interno di Security Center non è immediata, ma attualmente richiede circa 1 ora e la si può consultare nella seguente sezione:

Figura 7 – Custom initiative nella sezione Regulatory compliance

 

Disabilitazione di security policy di default

In determinate circostanze può risultare opportuno disabilitare determinati controlli presenti di default nella soluzione Azure Security Center, in quanto non si ritengono adeguati al proprio ambiente e non si vogliono generare inutilmente delle segnalazioni. Per farlo è possibile effettuare gli step seguenti:

Figura 8 – Accesso alle default policy di Security Center

 

Figura 9 – Selezione dell’assegnazione delle default policy di Security Center

 

Figura 10 – Disabilitazione di una specifica policy presente di default

 

Conclusioni

Azure Security Center mette a disposizione in modo nativo una serie di controlli per verificare costantemente la presenza di condizioni ritenute anomale e che possono avere un impatto diretto sulla sicurezza dell’ambiente. La possibilità di introdurre un livello di personalizzazione nella soluzione, la rende più flessibile e permette di verificare e applicare su larga scala dei criteri di compliance in ambito sicurezza specifici per il proprio ambiente. Per migliorare le security posture è fondamentale valutare l’adozione di questa soluzione e applicando un buon livello di personalizzazione se ne aumenta notevolmente il suo valore.

Microsoft Always On VPN: l’accesso trasparente alla rete aziendale adatto in scenari di smart working

La tecnologia può svolgere un ruolo importante nel ridurre l’impatto di COVID-19 sulle persone e sulle realtà aziendali, aiutando il personale a rimanere produttivo quando non è in grado di essere fisicamente presso il proprio posto di lavoro. In questi giorni di emergenza le aziende sono state costrette ad adottare in tempi rapidi soluzioni efficaci per consentire ai propri dipendenti di lavorare da remoto senza sacrificare la collaborazione, la produttività e la sicurezza. Le soluzioni che è possibile adottare in questo ambito sono differenti, ciascuna con le proprie caratteristiche e peculiarità, in grado di rispondere a differenti esigenze. In questo articolo vengono riportate le principali caratteristiche della tecnologia Microsoft Always On VPN, per valutarne i vantaggi e quali sono i principali casi d’uso della soluzione.

Caratteristiche principali di Always On VPN

A partire da Windows Server 2016 e versioni successive Microsoft ha introdotto una nuova tecnologia di accesso remoto degli endpoint denominata Always On VPN che permette un accesso trasparente alla rete aziendale, rendendola particolarmente adatta in scenari di smart working.  Si tratta dell’evoluzione della tecnologia DirectAccess che, per quanto efficace, presentava delle limitazioni che ne rendevano difficile l’adozione.

Come dice il nome, la VPN è “sempre attiva”, infatti una connessione sicura alla rete aziendale viene stabilita automaticamente ogni volta che un client autorizzato ha connettività Internet, il tutto senza richiedere all’utente input oppure interazione, a meno che non sia abilitato un meccanismo di autenticazione a più fattori. Gli utenti remoti accedono ai dati e alle applicazioni aziendali allo stesso modo, proprio come se fossero sul posto di lavoro.

Le connessioni Always On VPN includono le seguenti tipologie di tunnel:

  • Device Tunnel: il dispositivo si collega ai server VPN prima che gli utenti accedano al dispositivo stesso.
  • User Tunnel: si attiva solo dopo che gli utenti hanno effettuato l’accesso al dispositivo.

Utilizzando Always On VPN è infatti possibile avere una connessione utente, del dispositivo, oppure una combinazione di entrambe. Sia il Device Tunnel che lo User Tunnel funzionano infatti in modo indipendente e possono utilizzare diversi metodi di autenticazione. Risulta pertanto possibile abilitare l’autenticazione del dispositivo per gestirlo remotamente tramite il Device Tunnel, ed abilitare l’autenticazione utente per la connettività alle risorse interne all’azienda attraverso lo User Tunnel. Lo User Tunnel supporta SSTP e IKEv2, mentre il Device Tunnel supporta solamente IKEv2.

Scenari supportati

La tecnologia Always On VPN è una soluzione solo per sistemi Windows 10. Tuttavia, a differenza di DirectAccess, i dispositivi client non devono necessariamente eseguire l’edizione Enterprise, ma tutte le versioni di Windows 10 supportano questa tecnologia, adottando la tipologia di tunnel definita User Tunnel. In questo scenario i dispositivi possono essere membri di un dominio Active Directory, ma ciò non è strettamente necessario. I client Always On VPN possono essere nondomain-joined (workgroup), pertanto anche di proprietà personale dell’utente. Per sfruttare determinate funzionalità avanzate, i client possono essere in join ad Azure Active Directory. Solamente per utilizzare il Device Tunnel è richiesto che i sistemi siano in join a un dominio e devono necessariamente avere Windows 10 Enterprise oppure Education. In questo scenario è consigliata la versione 1809 o successiva.

Requisiti di infrastruttura

Per poter implementare una architettura Always On VPN è necessaria la presenza dei seguenti componenti di infrastruttura, molti dei quali sono tipicamente già attivi nelle realtà aziendali:

  • Domain Controllers
  • DNS Servers
  • Network Policy Server (NPS)
  • Certificate Authority Server (CA)
  • Routing and Remote Access Server (RRAS)

Figura 1 – Panoramica della tecnologia VPN Always On

In questo contesto è opportuno specificare che Always On VPN è indipendente dall’infrastruttura e può essere attivata utilizzando il ruolo Windows Routing and Remote Access (RRAS) oppure adottando un qualsiasi dispositivo VPN di terze parti. Anche l’autenticazione può essere fornita dal ruolo Windows Network Policy Server (NPS) oppure da una qualsiasi piattaforma RADIUS di terze parti.

Per maggiori dettagli sui requisiti necessari è possibile fare riferimento alla documentazione ufficiale Microsoft.

Always On VPN in ambiente Azure?

In generale, è consigliabile far stabilire agli endpoint le connessioni VPN il più vicino possibile alle risorse a cui devono accedere. Per le realtà con ambienti ibridi, esistono diverse opzioni per posizionare l’architettura Always On VPN. Il deployment del ruolo Remote Access su una macchina virtuale in ambiente Azure non è supportato, tuttavia è possibile utilizzare gli Azure VPN Gateway con Windows 10 Always On, per stabilire tunnel sia di tipologia Device Tunnel che User Tunnel. A questo proposito è bene precisare che è opportuno fare le corrette valutazioni sulla tipologia e sulla SKU dell’Azure VPN Gateway da implementare.

Tipologie di deployment

Per Always On VPN sono previsti due scenari di deployment:

Il deployment di Always On VPN può prevedere opzionalmente, per i client Windows 10 in join al dominio, di configurare l’accesso condizionato per regolare le modalità in cui gli utenti VPN accedono alle risorse aziendali.

Figura 2 – Workflow per il deployment di Always On VPN per Windows 10 client domain-joined

Il client Always On VPN può infatti integrarsi con la piattaforma Azure Contitional Access per forzare l’autenticazione a più fattori (MFA), la conformità dei dispositivi oppure una combinazione di questi due aspetti. Se conforme ai criteri di Contitional Access, Azure Active Directory (Azure AD) emette un certificato di autenticazione IPsec di breve durata che può essere usato per autenticarsi sul gateway VPN. La conformità del dispositivo utilizza i criteri di conformità di Microsoft Endpoint Manager (Configuration Manager / Intune), che possono includere lo stato di attestazione dell’integrità del dispositivo, come parte del controllo di conformità per la connessione.

Figura 3 – Workflow per la connessione lato client

Per maggiori dettagli su questa metodologia di deployment è possibile fare riferimento a questa documentazione Microsoft.

Provisioning della soluzione sui client
Always On VPN è progettato per essere implementato e gestito utilizzando una piattaforma di gestione dei dispositivi mobile come ad esempio Microsoft Endpoint Manager, ma è possibile utilizzare anche soluzioni di Mobile Device Management (MDM) di terze parti. Per Always On VPN non è presente alcun supporto per la configurazione e la gestione tramite Group Policy di Active Directory, ma qualora non si disponga di una soluzione MDM è possibile procedere con un deploy della configurazione in modo manuale tramite PowerShell.

Integrazione con altre soluzioni Microsoft

Oltre a quanto riportato nei paragrafi precedenti, la tecnologia Always On VPN si può integrare con le seguenti tecnologie Microsoft:

  • Azure Multifactor Authentication (MFA): se combinata con i servizi RADIUS (Remote Authentication Dial-In User Service) e l’estensione NPS (Network Policy Server) per Azure MFA, l’autenticazione VPN può sfruttare meccanismi di autenticazione a più fattori.
  • Windows Information Protection (WIP): grazie a questa integrazione è consentita l’applicazione dei criteri di rete per determinare se il traffico è autorizzato a passare attraverso il tunnel VPN.
  • Windows Hello for Business: in Windows 10, questa tecnologia sostituisce le password, fornendo meccanismo di autenticazione a due fattori forte. Questa autenticazione consiste in una tipologia di credenziali utente legate a un dispositivo e utilizza un PIN (Personal Identification Number) biometrico o personale.

Conclusioni

Preparare la propria infrastruttura per consentire agli endpoint di accedere alla rete aziendale tramite la tecnologia Always On VPN non richiede nessun costo aggiuntivo per licenze software e gli investimenti necessari sia in termini di effort che di risorse sono minimi. Grazie a questa metodologia di connettività si riesce a garantire una esperienza utente ottimale anche in mobilità, fornendo un accesso trasparente e automatico alla rete aziendale pur mantenendo un elevato livello di sicurezza. Per gli aspetti sopra elencati la tecnologia Always On VPN non è adatta a tutti gli scenari d’uso, ma è sicuramente da tenere in considerazione in presenza di sistemi Windows 10 che devono accedere remotamente alle risorse aziendali.