Archivi categoria: Microsoft Defender for Cloud

Come rafforzare la security posture nel cloud pubblico, in ambienti ibridi e multi-cloud grazie a Defender for Cloud

L’adozione di infrastrutture e di servizi in ambienti cloud, utili per le imprese per accelerare il percorso di trasformazione digitale, ci impone di adeguare anche le soluzioni, i processi e le pratiche che vengono adottate per garantire e mantenere un elevato grado di sicurezza delle proprie risorse IT. Il tutto deve avvenire in modo indipendente dai modelli di deployment utilizzati, andando a rafforzare la security posture complessiva del proprio ambiente e fornendo una protezione avanzata dalle minacce per tutti i workload, ovunque essi risiedano. In questo articolo viene riportato come la soluzione Defender for Cloud è in grado di controllare e migliorare gli aspetti legati alla sicurezza dell’ambiente IT dove vengono utilizzate risorse nel cloud pubblico, in ambienti ibridi e multi-cloud.

Le sfide della sicurezza nelle infrastrutture moderne

Tra le principali sfide che si devono affrontare in ambito sicurezza adottando infrastrutture moderne che utilizzano componenti nel cloud troviamo:

  • Workload in rapida e costante evoluzione. Questo aspetto è certamente un’arma a doppio taglio del cloud in quanto, da un lato gli utenti finali hanno la possibilità di ottenere di più dalle soluzioni in ambienti cloud, dall’altro diventa complesso garantire che i servizi in rapida e costante evoluzione siano sempre all’altezza dei propri standard e che seguano tutte le best practice di sicurezza.
  • Attacchi alla sicurezza sempre più sofisticati. Indipendentemente da dove si trovano in esecuzione i propri workload, gli attacchi alla sicurezza adottano tecniche sofisticate ed avanzate che richiedono di implementare protezioni affidabili per contrastare la loro efficacia.
  • Risorse e competenze in ambito sicurezza non sempre all’altezza per intervenire a fronte di alert di sicurezza e per assicurare che gli ambienti siano adeguatamente protetti. Infatti, la sicurezza IT è un fronte in continua evoluzione e rimanere aggiornati è una sfida costante e difficile da raggiungere.

I pilastri della sicurezza contemplati da Microsoft Defender for Cloud

Le funzionalità di Microsoft Defender for Cloud sono in grado di contemplare due grandi pilastri della sicurezza per le architetture moderne che adottano componenti cloud: Cloud Security Posture Management (CSPM) e Cloud workload protection (CWP).

Figura 1 – I pilastri della sicurezza contemplati da Microsoft Defender for Cloud

Cloud Security Posture Management (CSPM)

In ambito Cloud Security Posture Management (CSPM) Defender for Cloud è in grado di fornire le seguenti funzionalità:

    • Visibilità: per valutare la situazione attuale in merito alla sicurezza.
    • Guida all’hardening: per poter migliorare la sicurezza in modo efficiente ed efficace

Grazie ad un assessment continuo Defender for Cloud è in grado di scoprire continuamente nuove risorse che vengono distribuite e valuta se sono configurate in base alle best practice di sicurezza. In caso contrario, le risorse vengono contrassegnate e si ottiene un elenco prioritario di consigli relativi a ciò che è opportuno correggere per migliorare la loro protezione. Questo elenco di raccomandazioni è preso e supportato da Azure Security Benchmark, il set di linee guida specifico per Azure creato da Microsoft, che contiene le best practice di sicurezza e di conformità basate su framework comuni, con particolare attenzione alla sicurezza incentrata sul cloud. Questo benchmark può contemplare i controlli del Center for Internet Security (CIS) e del National Institute of Standards and Technology (NIST) ed è personalizzabile secondo gli standard che si vogliono rispettare.

Figura 2 – Esempi di raccomandazioni

Defender for Cloud assegna un punteggio globale all’ambiente, definito Secure Score, che permette di valutare il profilo di rischio (più alto è il punteggio, più basso è il livello di rischio identificato) e di agire per intraprendere delle azioni di remediation.

Figura 3 – Esempio di Secure score

Cloud workload protection (CWP)

Per quanto concerne questo ambito, Defender for Cloud eroga avvisi di sicurezza basati su Microsoft Threat Intelligence. Inoltre, include una ampia gamma di protezioni avanzate ed intelligenti per i workload, fornite tramite piani di Microsoft Defender specifici per le differenti tipologie di risorse presenti nelle subscription ed in ambienti ibridi e multi-cloud:

Figura 4 – Workload protetti da Defender for Cloud

Defender for Cloud permette quindi di soddisfare le seguenti tre esigenze, ritenute fondamentali durante la gestione della sicurezza delle risorse e dei workload che risiedono nel cloud ed in ambienti on-premises:

Figura 5 – Esigenze di sicurezza contemplate da Microsoft Defender for Cloud

Defender for Cloud include inoltre, come parte delle funzionalità di sicurezza avanzate, soluzioni di vulnerability assessment per le macchine virtuali, i container registry e i server SQL. Alcune scansioni vengono effettuate mediante la soluzione Qualys, che è possibile utilizzare senza licenze specifiche e senza account dedicati, ma il tutto è incluso e gestito mediante Defender for Cloud.

Quali ambienti è possibile proteggere con Defender for Cloud?

Defender for Cloud è un servizio nativo di Azure, che consente di proteggere non solo le risorse presenti in Azure, ma anche ambienti ibridi e multi-cloud.

Figura 6 – Protezione trasversale su ambienti differenti

Protezione degli ambienti Azure

  • Azure IaaS e servizi Azure PaaS: Defender for Cloud è in grado di rilevare le minacce destinate alle macchine virtuali e ai servizi presenti in Azure, inclusi Azure App Service, Azure SQL, Azure Storage Account, ed altri. Inoltre, consente di rilevare le anomalie nei registri di attività di Azure (Azure activity logs) tramite l’integrazione nativa con Microsoft Defender for Cloud Apps (conosciuto come Microsoft Cloud App Security).
  • Azure data services: Defender for Cloud include funzionalità che consentono di classificare automaticamente i dati in Azure SQL. Inoltre, è possibile effettuare degli assessment per rilevare potenziali vulnerabilità nei servizi Azure SQL e Storage, accompagnate da raccomandazioni su come mitigarle.
  • Network: l’applicazione di Network Security Group (NSG) per filtrare il traffico da e verso le risorse attestate sulle virtual network di Azure è fondamentale per garantire la sicurezza della rete. Tuttavia, possono esserci alcuni casi in cui il traffico effettivo che attraversa i NSG interessa solamente un sottoinsieme delle regole NSG definite. In questi casi, la funzionalità di Adaptive network hardening consente di migliorare ulteriormente la security posture rafforzando le regole NSG. Mediante un algoritmo di apprendimento automatico che tiene conto del traffico effettivo, della configurazione, dell’intelligence sulle minacce e di altri indicatori di compromissione, è in grado di fornire consigli per adeguare la configurazione dei NSG in modo da consentire solo il traffico strettamente necessario.

Protezione di ambienti ibridi

Oltre a proteggere l’ambiente Azure, è possibile estendere le funzionalità di Defender for Cloud anche ad ambienti ibridi per proteggere in particolare i server che non risiedono su Azure. Mediante Azure Arc è possibile estendere i piani di Microsoft Defender alle macchine che non risiedono in Azure.

Protezione delle risorse in esecuzione su altri cloud pubblici

Microsoft Defender for Cloud può contemplare anche risorse presenti in Amazon Web Services (AWS) e Google Cloud Platform (GCP). Per proteggere con questa soluzione le risorse su altri cloud pubblici è stato rilasciato un nuovo meccanismo nativo che, mediante un approccio agentless, consente di connettersi agli ambienti AWS e GCP. Questa nuova metodologia di interfacciamento sfrutta le API di AWS e GCP e non ha dipendenza da altre soluzioni, come ad esempio AWS Security Hub.

Caso reale di protezione con Defender for Cloud

Ipotizzando un ambiente di un cliente con risorse dislocate in Azure, on-premises ed in AWS, con Defender for Cloud è possibile estendere la protezione a tutte le risorse, in modo indipendente da dove risiedono.

Infatti, connettendo un account Amazon Web Services (AWS) ad una sottoscrizione Azure, risulta possibile abilitare le seguenti protezioni:

  • Le funzionalità CSPM di Defender for Cloud vengono estese anche alle risorse AWS, consentendo di valutare le risorse presenti nel cloud Amazon, in base ai consigli di sicurezza specifici di AWS. Inoltre, le risorse vengono valutate per la conformità agli standard specifici di AWS come: AWS CIS, AWS PCI DSS e AWS Foundational Security Best Practices. Il tutto viene considerato andando a influenzare il security score complessivo.
  • Microsoft Defender for Servers offre il rilevamento delle minacce e abilita le difese avanzate anche per le istanze EC2 Windows e Linux.
  • Microsoft Defender for Kubernetes estende le difese avanzate ai cluster Amazon EKS Linux e consente il rilevamento delle minacce sui container presenti in quelle infrastrutture.

Queste protezioni si andranno ad aggiungere alle funzionalità sopra elencate disponibili per gli ambienti Azure e per le risorse che risiedono on-premises.

Conclusioni

Defender for Cloud è in grado di rispondere in modo efficace alle sfide, in ambito sicurezza, date dall’adozione di infrastrutture moderne. Grazie infatti all’impiego di Microsoft Defender for Cloud si dispone di una soluzione in grado di individuare i punti di debolezza in ambito security nelle configurazioni cloud, rafforzare la security posture complessiva dell’ambiente e proteggere i workload in ambienti ibridi e multi-cloud.

Come aumentare la sicurezza delle architetture applicative basate su container

Le applicazioni moderne basate su microservizi sono sempre più diffuse ed i container sono un interessante elemento costitutivo per la creazione di architetture applicative agili, scalabili ed efficienti. I microservizi offrono grandi vantaggi, grazie alla presenza di modelli di progettazione software ben noti e collaudati che si possono applicare, ma generano anche nuove sfide. Una di queste è sicuramente legata alla sicurezza di queste architetture, che impongono l’adozione di soluzioni all’avanguardia per raggiungere un elevato livello di protezione. In questo articolo viene riportato come la soluzione nativa del cloud per la protezione dei container, chiamata Microsoft Defender for Containers, è in grado di garantire la protezione delle architetture applicative basate su container, offrendo capacità avanzate per la rilevazione e per rispondere alle minacce di sicurezza.

Funzionalità offerte dalla soluzione

Grazie a Microsoft Defender for Containers è possibile migliorare, monitorare e mantenere la sicurezza dei cluster, dei container e delle relative applicazioni. Infatti, tale piano consente di ottenere i seguenti benefici:

  • Hardening dell’ambiente
  • Scansione delle vulnerabilità
  • Run-time threat protection per l’ambiente cluster e per i nodi

Nei paragrafi seguenti vengono dettagliati i benefici sopra elencati.

Hardening dell’ambiente

Mediante una assessment continuo degli ambienti cluster, Defender for Containers fornisce una visibilità completa su eventuali configurazioni errate e sul rispetto delle linee guida. Tramite la generazione delle raccomandazioni aiuta a mitigare potenziali minacce di sicurezza.

Inoltre, grazie all’utilizzo del controllo di ammissione di Kubernetes è possibile garantire che tutte le configurazioni vengano fatte rispettando le best practice di sicurezza. Infatti, adottando le Azure Policy for Kubernetes si dispone di un bundle di raccomandazioni utili per proteggere i workload dei container Kubernetes. Di default, abilitando Defender for Containers, avviene automaticamente il provisioning di queste policy. In questo modo, ogni richiesta al server API di Kubernetes verrà monitorata rispetto al set predefinito di best practice, prima di essere resa effettiva sull’ambiente cluster. Si può pertanto adottare questo metodo per applicare le best practice ed imporle per i nuovi workload che saranno attivati.

Scansione delle vulnerabilità

Defender for Containers include un vulnerability scanner integrato per l’analisi delle immagini presenti in Azure Container Registry (ACR). Grazie a questo strumento di scansione è possibile effettuare una scansione approfondita delle immagini che avviene in tre momenti:

  • In caso di push: ogni volta che un’immagine viene inviata all’ACR, viene eseguita automaticamente la scansione.
  • In caso di estrazione recente: poiché ogni giorno vengono scoperte nuove vulnerabilità, viene analizza, con cadenza settimanale, anche qualsiasi immagine per la quale è stata fatta un’estrazione negli ultimi 30 giorni.
  • Durante l’importazione: Azure Container Registry dispone di strumenti di importazione per far confluire le immagini al suo interno provenienti da Docker Hub, Microsoft Container Registry oppure da altri ACR. Tutte le immagini importate vengono prontamente analizzate dalla soluzione.

Nel caso vengano rilevate delle vulnerabilità sarà generata una notifica nella dashboard di Microsoft Defender for Cloud. Questo alert sarà accompagnato da una classificazione di gravità e da indicazioni pratiche su come è possibile correggere le specifiche vulnerabilità rilevate in ciascuna immagine.

Inoltre, Defender for Containers espande queste funzionalità di scansione introducendo la possibilità di ottenere una visibilità sulle immagini in esecuzione. Mediante la nuova raccomandazione, denominata “Vulnerabilities in running images should be remediated (powered by Qualys)”, raggruppa le immagini in esecuzione che presentano vulnerabilità, fornendo i dettagli sui problemi rilevati e su come risolverli.

Run-time threat protection per l’ambiente cluster e per i nodi

Microsoft Defender for Containers è in grado di fornire una protezione dalle minacce in tempo reale per gli ambienti containerizzati e genera avvisi nel caso vengano rilevate minacce oppure attività dannose, sia a livello di host che a livello di cluster AKS.

La protezione da minacce di sicurezza avviene a diversi livelli:

  • Cluster level: a livello cluster, la protezione dalle minacce si basa sull’analisi degli audit logs di Kubernetes. Si tratta di un monitor che permette di generare alert, monitorando i servizi gestiti di AKS, come ad esempio la presenza di dashboard Kubernetes esposte e la creazione di ruoli con privilegi elevati. Per consultare la lista completa degli alert generati da questa protezione è possibile accedere a questo link.
  • Host level: con oltre sessanta tipologie di analisi, mediante algoritmi di intelligenza artificiale e con la rilevazione delle anomalie sui workload in esecuzione la soluzione è in grado di rilevare attività sospette. Un team di ricercatori Microsoft sulla sicurezza monitora costantemente il panorama delle minacce e vengono aggiunti alert e vulnerabilità specifici sui container man mano che vengono scoperti. Inoltre, questa soluzione monitora la crescente superficie di attacco delle implementazioni Kubernetes multi-cloud e tiene traccia della matrice MITRE ATT&CK per i container, un framework sviluppato dal Center for Threat-Informed Defense in stretta collaborazione con Microsoft e altri esponenti.

La lista completa degli alert che si possono attenere abilitando questa protezione è consultabile in questo documento.

Architetture per i differenti ambienti Kubernetes

Defender for Containers è in grado di proteggere i cluster Kubernetes indipendentemente dal fatto che siano in esecuzione su Azure Kubernetes Service, Kubernetes on-premise/IaaS oppure Amazon EKS.

Azure Kubernetes Service (AKS) Cluster

Quando si abilita la protezione di Defender for Cloud per i cluster attivati mediante il servizio Azure Kubernetes (AKS), la raccolta degli audit log avviene senza dover installare degli agenti. Il profilo Defender, distribuito su ciascun nodo, fornisce la protezione runtime e raccoglie i segnali dai nodi utilizzando la tecnologia eBPF. Il componente Azure Policy add-on for Kubernetes raccoglie le configurazioni dei cluster e dei workload, come spiegato nei paragrafi precedenti.

Figura 1 – Architettura di Defender for Cloud per i cluster AKS

Azure Arc-enabled Kubernetes

Per tutti i cluster ospitati al di fuori di Azure è necessario adottare la soluzione Azure Arc-enabled Kubernetes per connettere i cluster ad Azure e fornire i relativi servizi, come Defender for Containers. Connettendo i cluster Kubernetes ad Azure, un’estensione Arc raccoglie gli audit log di Kubernetes da tutti i nodi del control plane del cluster e li invia nel cloud al back-end di Microsoft Defender for Cloud per ulteriori analisi. L’estensione viene registrata con un workspace di Log Analytics usato come pipeline di dati, ma i dati di audit non vengono archiviati in Log Analytics. Le informazioni sulle configurazioni dei workload vengono gestite dal componente aggiuntivo delle Azure Policy.

Figura 2 – Architettura di Defender for Cloud per i cluster Kubernetes Arc-enabled

Amazon Elastic Kubernetes Service (Amazon EKS)

Anche per questa tipologia di cluster, attivati in ambiente AWS, è necessario adottare Azure Arc-enabled Kubernetes per poterli proiettare in ambiente Azure. Inoltre, è necessario connettere l’account AWS a Microsoft Defender for Cloud. Risultano pertanto necessari i piani Defender for Containers e CSPM (per il monitor delle configurazioni e per le raccomandazioni).

Un cluster basato su EKS, Arc e l’estensione di Defender sono i componenti necessari per:

  • raccogliere i dati di policy e delle configurazioni dai nodi del cluster;
  • ottenere una protezione runtime.

L’Azure Policy add-on for Kubernetes colleziona le configurazioni dell’ambiente cluster e dei workload per garantire che tutte le configurazioni vengano rispettate. Inoltre, la soluzione AWS CloudWatch viene utilizzata per collezionare i dati di log dal Control plane.

Figura 3 – Architettura di Defender for Cloud per i cluster AWS EKS

Aggiornamento e costi della soluzione

Questo piano di Microsoft Defender unisce e sostituisce due piani esistenti, “Defender for Kubernetes” e “Defender for Container Registries“, fornendo funzionalità nuove e migliorate, senza deprecare nessuna delle funzionalità di tali piani. Le sottoscrizioni sulle quali sono stati attivati i piani precedenti non devono necessariamente essere aggiornate al nuovo piano Microsoft Defender for Containers. Tuttavia, per trarre vantaggio dalle nuove e migliorate funzionalità, devono essere aggiornate e per farlo è possibile utilizzare nel portale Azure l’icona di aggiornamento visualizzata accanto a loro.

L’attivazione di questi piani di protezione sono soggetti a costi specifici che possono essere calcolati utilizzando lo strumento Azure Pricing calculator. In particolare, il costo di Microsoft Defender for Containers viene calcolato sul numero di core delle VMs che compongono il cluster AKS. Questo prezzo include anche 20 scansioni gratuite per vCore, ed il conteggio sarà basato sul consumo del mese precedente. Ogni scansione aggiuntiva ha un costo di addebito, ma la maggior parte dei clienti non dovrebbe sostenere alcun costo aggiuntivo per la scansione delle immagini.

Conclusioni

Le architetture basate su microservizi consentono di scalare facilmente e di sviluppare le applicazioni in modo più rapido e semplice, permettendo di promuovere l’innovazione e accelerare il time-to-market di nuove funzionalità. La presenza di una soluzione come Microsoft Defender for Containers è fondamentale per consentire un adeguato livello di protezione per quanto riguarda le minacce di sicurezza, sempre più evolute per attaccare queste tipologie di architetture applicative.

La sicurezza degli ambienti AWS con Microsoft Defender for Cloud

Microsoft Defender for Cloud, precedentemente noto come Azure Security Center ed Azure Defender, è una soluzione di Cloud Security Posture Management (CSPM) e per la protezione dei workload, in grado di individuare i punti di debolezza in ambito security nelle configurazioni cloud, rafforzare la security posture complessiva dell’ambiente e proteggere i carichi di lavoro in ambienti ibridi e multi-cloud. Per le realtà che stanno adottando una strategia multi-cloud e che necessitano di elevati standard di sicurezza per il proprio ambiente è importante sapere che Microsoft Defender for Cloud può contemplare anche risorse presenti in Amazon Web Services (AWS) e Google Cloud Platform (GCP). In questo articolo viene riportato come proteggere ambienti AWS utilizzando Microsoft Defender for Cloud.

I pilastri della sicurezza contemplati da Microsoft Defender for Cloud

Le funzionalità di Microsoft Defender for Cloud sono in grado di contemplare due grandi pilastri della sicurezza del cloud:

  • Cloud Security Posture Management (CSPM) in grado di fornire le seguenti funzionalità:
    • Visibilità: per valutare la situazione attuale in merito alla sicurezza.
    • Guida all’hardening: per poter migliorare la sicurezza in modo efficiente ed efficace

Grazie ad un assessment continuo Defender for Cloud è in grado di scoprire continuamente nuove risorse che vengono distribuite e valuta se sono configurate in base alle best practice di sicurezza. In caso contrario, le risorse vengono contrassegnate e si ottiene un elenco prioritario di consigli relativi a ciò che è opportuno correggere per migliorare la loro protezione. Questo elenco di raccomandazioni è preso e supportato da Azure Security Benchmark, il set di linee guida specifico per Azure creato da Microsoft, che contiene le best practice di sicurezza e di conformità basate su framework comuni, con particolare attenzione alla sicurezza incentrata sul cloud. Questo benchmark può contemplare i controlli del Center for Internet Security (CIS) e del National Institute of Standards and Technology (NIST).

Defender for Cloud assegna un punteggio globale all’ambiente ambiente, definito Secure Score, che permette di valutare il profilo di rischio (più alto è il punteggio, più basso è il livello di rischio identificato) e di agire per intraprendere delle azioni di remediation.

  • Cloud workload protection (CWP): Defender for Cloud eroga avvisi di sicurezza basati su Microsoft Threat Intelligence. Inoltre, include una ampia gamma di protezioni avanzate ed intelligenti per i workload, fornite tramite piani di Microsoft Defender specifici per le differenti tipologie di risorse presenti nelle subscription ed in ambienti ibridi e multi-cloud.

Defender for Cloud permette quindi di soddisfare le seguenti tre esigenze, ritenute fondamentali durante la gestione della sicurezza delle risorse e dei workload che risiedono nel cloud ed in locale:

Figura 1 – Esigenze di sicurezza contemplate da Microsoft Defender for Cloud

La protezione delle risorse AWS

Per proteggere con questa soluzione le risorse su altri cloud pubblici esiste ormai da tempo un meccanismo che prevede l’utilizzo di connettori di interfacciamento con gli account AWS e GCP. Il processo di onboarding del proprio account AWS era basata sull’integrazione della soluzione AWS Security Hub, come descritto nel dettaglio in questo articolo.

Ora è stato rilasciato un nuovo meccanismo nativo che, mediante un approccio agentless, consente di connettersi agli ambienti AWS. Questa nuova metodologia di interfacciamento sfrutta le API di AWS e non ha dipendenza da altre soluzioni, come AWS Security Hub. L’esperienza di onboarding è progettata per funzionare facilmente su larga scala, semplicemente collegando il proprio master account AWS, che permette di effettuare automaticamente l’onboarding degli account esistenti e futuri.

Figura 2 – Connessione di AWS a Microsoft Defender for Cloud

Questo meccanismo estende facilmente le funzionalità di sicurezza avanzate di Defender for Cloud alle proprie risorse AWS e comprende le seguenti aree.

Figura 3 – Piani di protezione disponibili

Cloud Security Posture Management (CSPM) per AWS

Le funzionalità CSPM di Defender for Cloud vengono estese alle proprie risorse AWS. Questo piano agentless valuta le risorse AWS in base alle raccomandazioni di sicurezza specifiche di AWS e queste vengono contemplate nel calcolo del security score globale. Per fornire una visione complessiva sullo stato di sicurezza dei propri ambienti multi-cloud, anche le raccomandazioni relative alla sicurezza di AWS sono integrate nel portale Defender for Cloud, insieme ai consigli di Azure. Sono stati implementate da Microsoft oltre 160 raccomandazioni pronte all’uso per i servizi IaaS e PaaS e tre standard normativi tra cui AWS CIS, AWS PCI DSS e AWS Foundational Security Best Practices. Tutto questo consente di rafforzare la propria security posture contemplando al meglio anche le risorse AWS. Inoltre, è possibile personalizzare i modelli esistenti oppure crearne dei nuovi che contengono le proprie raccomandazioni ed i propri standard per verificare la compliance dei requisiti interni.

Figura 4 – Raccomandazioni per AWS integrate in Defender for Cloud

Cloud workload protection (CWP) per AWS

Per AWS al momento è prevista la protezione avanzata per i seguenti workload:

  • Protezione dei server: Microsoft Defender for server offre il rilevamento delle minacce e la difese avanzate anche per le istanze EC2, sia per sistemi Windows sia per sistemi Linux. Questo piano include la licenza integrata per Microsoft Defender for Endpoint e diverse funzionalità, tra le quali: Security baselines e assessment a livello di SO, Vulnerability assessment, Adaptive Application Controls (AAC) e File Integrity Monitoring (FIM).
  • Protezione dei container: Microsoft Defender for Containers estende il rilevamento delle minacce per i container e le difese avanzate di Defender for Kubernetes ai cluster Amazon EKS (Elastic Kubernetes Service). Affinché Defender for Kubernetes sia in grado di proteggere i cluster AWS EKS, è necessaria la presenza di Azure Arc-enabled Kubernetes e dell’extension di Defender.

Figura 5 – Alert e raccomandazioni per i cluster EKS

NOTA: Per coloro che hanno hai già configurato un connettore AWS tramite i connector cloud classici, è consigliato connettere nuovamente l’account utilizzando il nuovo meccanismo.

Costo della soluzione

Se si decide di attivare questa integrazione valgono le seguenti indicazioni sui costi:

  • Il piano CSPM è gratuito. Per fornire le raccomandazioni il piano CSPM interroga le API delle risorse AWS più volte al giorno. Queste chiamate API di sola lettura non comportano alcun addebito, ma vengono registrate in CloudTrail nel caso in cui sia stato abilitato il trail per gli eventi di lettura. Come riportato nella documentazione AWS, questo non comporta costi aggiuntivi per il mantenimento. Occorre però fare attenzione ed eventualmente filtrare questi eventi se sono previsti delle esportazioni di dati (ad esempio per farli confluire in un SIEM esterno).
  • Il piano Defender for Containers verrà fatturato allo stesso prezzo del piano Defender for Kubernetes per le risorse di Azure.
  • Per ogni macchina AWS connessa ad Azure mediante Azure Arc, il piano Defender per server viene fatturato allo stesso prezzo del piano Microsoft Defender per server per le macchine Azure.

Conclusioni

Microsoft Defender for Cloud, originariamente sviluppato con la pretesa di essere lo strumento migliore per proteggere le risorse in ambiente Azure, estendere e perfeziona le proprie funzionalità per contemplare anche altri cloud pubblici. In particolare, grazie al nuovo meccanismo di integrazione con AWS è possibile adottare in modo nativo una soluzione di CSPM ed abilitare la protezione dalle minacce per i workload di elaborazione in Amazon Web Services (AWS). Questo consente di ottenere un elevato grado di sicurezza, di migliorare le security posture in ambienti multi-cloud e di semplificare la gestione degli strumenti utili per governare la sicurezza.