Archivi categoria: Microsoft Defender for Cloud

Cloud Security Posture Management (CSPM) di Defender for Cloud: proteggi le tue risorse con una soluzione di sicurezza avanzata

Nel contesto del panorama digitale odierno, l’adozione del cloud computing ha aperto nuove opportunità per le organizzazioni, ma allo stesso tempo sono emerse nuove sfide in termini di sicurezza delle risorse cloud. L’adozione di una soluzione di Cloud Security Posture Management (CSPM) è fondamentale per garantire che le risorse cloud siano configurate in modo sicuro e che gli standard di sicurezza siano adeguatamente implementati. Microsoft Azure offre Defender for Cloud, una soluzione completa che combina la potenza di una piattaforma di CSPM con funzionalità avanzate di sicurezza per aiutare le organizzazioni a proteggere le loro risorse cloud in modo efficace. In questo articolo vengono approfondite le caratteristiche di CSPM offerte da Defender for Cloud.

I pilastri della sicurezza contemplati da Microsoft Defender for Cloud

Le funzionalità di Microsoft Defender for Cloud sono in grado di contemplare tre grandi pilastri della sicurezza per le architetture moderne che adottano componenti cloud:

  • DevOps Security Management (DevSecOps): Defender for Cloud aiuta a incorporare già durante il processo di sviluppo del software le best practice di sicurezza. Infatti, consente di proteggere gli ambienti di gestione del codice (GitHub e Azure DevOps), le pipeline di sviluppo e permette di ottenere informazioni sulla security posture dell’ambiente di sviluppo. Defender for Cloud include attualmente Defender for DevOps.
  • Cloud Security Posture Management (CSPM): si tratta di insieme di pratiche, processi e strumenti volti a identificare, monitorare e mitigare i rischi di sicurezza nelle risorse cloud. CSPM offre un’ampia visibilità sulla security posture delle risorse, consentendo alle organizzazioni di identificare e correggere le configurazioni non conformi, le vulnerabilità e le potenziali minacce. Questo approccio proattivo riduce il rischio di violazioni della sicurezza e aiuta a mantenere un ambiente cloud sicuro.
  • Cloud Workload Protection Platform (CWPP): i principi di sicurezza proattiva richiedono l’implementazione di pratiche di sicurezza che proteggano i workload dalle minacce. Defender for Cloud include una ampia gamma di protezioni avanzate ed intelligenti per i workload, fornite tramite piani di Microsoft Defender specifici per le differenti tipologie di risorse presenti nelle subscription Azure ed in ambienti ibridi e multi-cloud.

Figura 1 – I pilastri della sicurezza contemplati da Microsoft Defender for Cloud

CSPM in Defender for Cloud

Defender for Cloud è la soluzione di sicurezza avanzata di Microsoft Azure che contempla l’ambito CSPM per offrire un’ampia gamma di funzionalità e controlli di sicurezza per le risorse cloud. Con Defender for Cloud, le organizzazioni possono ottenere una visibilità completa delle loro risorse, identificare e risolvere le vulnerabilità e monitorare costantemente la security posture delle risorse. Alcune delle funzionalità principali offerte da Defender for Cloud includono:

  • Analisi delle configurazioni: Defender for Cloud esamina le configurazioni delle risorse cloud alla ricerca di impostazioni non conformi e fornisce raccomandazioni per correggerle. Ciò garantisce che le risorse siano configurate in modo sicuro e che gli standard di sicurezza siano rispettati.
  • Identificazione delle vulnerabilità: la soluzione analizza continuamente le risorse cloud per individuare le vulnerabilità note. Vengono fornite raccomandazioni e priorità per affrontare queste vulnerabilità e ridurre il rischio di sfruttamento da parte di potenziali minacce.
  • Monitoraggio continuo: Defender for Cloud monitora costantemente la postura di sicurezza delle risorse cloud e fornisce avvisi in tempo reale in caso di configurazioni non sicure o attività sospette. Questo consente alle organizzazioni di rispondere prontamente alle minacce e di mantenere un ambiente cloud protetto.
  • Automazione e orchestrazione: Defender for Cloud automatizza gran parte del processo di gestione della postura di sicurezza degli ambienti cloud, consentendo alle organizzazioni di risparmiare tempo e risorse preziose.

Defender for Cloud offre gratuitamente le funzionalità fondamentali in ambito CSPM. Queste funzionalità sono automaticamente abilitate su qualsiasi subscription o account che abbia effettuato l’onboarding a Defender for Cloud. Qualora lo si ritenga necessario è possibile ampliare il set di funzionalità attivando il piano Defender CSPM.

Figura 2 – Comparativa tra i piani in ambito CSPM

Per una comparativa completa è possibile fare riferimento alla documentazione ufficiale Microsoft.

Il piano Defender CSPM opzionale offre funzionalità avanzate di gestione della security posture, tra le principali troviamo:

  • Security Governance: i team di security sono responsabili del miglioramento della postura di sicurezza delle loro organizzazioni, ma potrebbero non avere le risorse oppure l’autorità per implementare effettivamente le raccomandazioni di sicurezza. L’assegnazione di responsabili con date di scadenza e la definizione di regole di governance creano responsabilità e trasparenza, in modo da poter guidare il processo di miglioramento della sicurezza dell’organizzazione.
  • Regulatory compliance: grazie a questa funzionalità Microsoft Defender for Cloud semplifica il processo per soddisfare i requisiti di conformità normativa, fornendo una dashboard specifica. Defender for Cloud valuta continuamente l’ambiente per analizzare i fattori di rischio in base ai controlli e alle best practice degli standard applicati alle sottoscrizioni. La dashboard riflette lo stato di conformità a questi standard. Il Microsoft cloud security benchmark (MCSB) viene invece assegnato automaticamente alle sottoscrizioni e agli account quando si accede a Defender for Cloud (foundational CSPM). Questo benchmark si basa sui principi di sicurezza del cloud definiti dall’Azure Security Benchmark e li applica con una guida dettagliata all’implementazione tecnica per Azure, per altri fornitori di cloud (come AWS e GCP) e per altri cloud Microsoft.
  • Cloud Security Explorer: consente di identificare in modo proattivo i rischi per la sicurezza nell’ambiente cloud eseguendo graficamente query sul Cloud Security Graph, che è il motore di definizione del contesto di Defender for Cloud. Alle richieste del team di sicurezza è possibile dare priorità, tenendo conto del contesto e delle specifiche norme dell’organizzazione. Con il Cloud Security Explorer è possibile interrogare i problemi di sicurezza ed il contesto dell’ambiente, come l’inventario delle risorse, l’esposizione a Internet, le autorizzazioni e il “lateral movement” tra le risorse e tra più cloud (Azure e AWS).
  • Attack path analysis: l’analisi dei percorsi di attacco aiuta ad affrontare i problemi di sicurezza, relative all’ambiente specifico, che rappresentano minacce immediate con il maggior potenziale di sfruttamento. Defender for Cloud analizza quali problemi di sicurezza fanno parte di potenziali percorsi di attacco che gli aggressori potrebbero utilizzare per violare l’ambiente specifico. Inoltre, evidenzia le raccomandazioni di sicurezza che devono essere risolte per mitigarle.
  • Agentless scanning for machines: Microsoft Defender for Cloud massimizza la copertura dei problemi di postura del sistema operativo e va oltre alla copertura data dagli assessment basati su agenti specifici. Grazie alla scansione agentless per le macchine virtuali è possibile ottenere una visibilità immediata, ampia e senza ostacoli in merito ai potenziali problemi di postura. Il tutto senza dover installare agenti, rispettare requisiti di connettività di rete oppure impattare sulle prestazioni delle macchine. La scansione agentless per le macchine virtuali fornisce la valutazione delle vulnerabilità e l’inventario del software, entrambi tramite Microsoft Defender Vulnerability Management, in ambienti Azure e Amazon AWS. La scansione agentless è disponibile sia in Defender Cloud Security Posture Management (CSPM) sia in Defender for Servers P2.

Conclusioni

Nel contesto sempre più complesso della sicurezza delle risorse IT, soprattutto in presenza di ambienti ibridi e multi-cloud, il Cloud Security Posture Management (CSPM) è diventato una componente essenziale della strategia di sicurezza delle organizzazioni. Defender for Cloud di Microsoft Azure offre una soluzione avanzata di CSPM, che combina analisi delle configurazioni, identificazione delle vulnerabilità, monitoraggio continuo e automazione per garantire che le risorse IT siano protette in modo adeguato. Investire in una soluzione di CSPM come Defender for Cloud consente alle organizzazioni di mitigare i rischi di sicurezza e proteggere le risorse IT.

Come rafforzare la protezione di rete grazie a Defender for Cloud

In ambito networking Microsoft Azure mette a disposizione una serie di soluzioni, native della piattaforma, che consentono di ottenere un elevato grado di sicurezza se vengono adottate nel modo opportuno. Un importante valore aggiunto per raffinare e rafforzare la security posture della rete è dato da Microsoft Defender for Cloud, in quanto consente di contemplare, mediante funzionalità specifiche, anche determinati aspetti del networking. In questo articolo viene approfondito come Microsoft Defender for Cloud consente di verificare, raggiungere e mantenere una configurazione da best practice del networking di Azure.

Panoramica di Defender for Cloud

La soluzione Microsoft Defender for Cloud mette a disposizione una serie di funzionalità in grado di contemplare due importanti pilastri della sicurezza per le architetture moderne che adottano componenti cloud: Cloud Security Posture Management (CSPM) e Cloud workload protection (CWP).

Figura 1 – I pilastri della sicurezza contemplati da Microsoft Defender for Cloud

In ambito Cloud Security Posture Management (CSPM) Defender for Cloud è in grado di fornire le seguenti funzionalità:

  • Visibilità: per valutare l’attuale situazione relativa alla sicurezza.
  • Guida all’hardening: per poter migliorare la sicurezza in modo efficiente ed efficace.

Grazie ad un assessment continuo Defender for Cloud è in grado di scoprire continuamente nuove risorse che vengono distribuite e valuta se sono configurate in base alle best practice di sicurezza. In caso contrario, le risorse vengono contrassegnate e si ottiene un elenco prioritario di consigli relativi a ciò che è opportuno correggere per migliorare la loro protezione. Questo processo avviene nello specifico anche per le risorse di rete e le raccomandazioni sono incentrare sulle varie soluzioni in ambito networking come ad esempio: next generation firewall, Network Security Group e JIT VM access. Un elenco completo delle raccomandazioni e delle relative azioni correttive, consigliate da Defender for Cloud per la rete, è possibile consultarlo in questo documento.

Figura 2 – Esempi di raccomandazioni relative al networking

Per quanto concerne l’ambito Cloud Workload Protection (CWP), Defender for Cloud eroga avvisi di sicurezza basati su Microsoft Threat Intelligence. Inoltre, include una ampia gamma di protezioni avanzate ed intelligenti per i workload, fornite tramite piani di Microsoft Defender specifici per le differenti tipologie di risorse presenti nelle subscription ed in ambienti ibridi e multi-cloud.

Le funzionalità specifiche di Defender for Cloud in ambito networking

Per quanto riguarda il networking, Defender for Cloud oltre a fare un assessment continuo delle risorse e a generare eventuali raccomandazioni, include altre funzionalità specifiche:

Figura 3 – Le funzionalità di Microsoft Defender for Cloud in ambito networking

Adaptive network hardening

I Network Security Groups (NSG) sono lo strumento principale per controllare il traffico di rete in Azure, attraverso il quale, tramite delle regole di deny e permit, è possibile filtrate le comunicazioni tra differenti workload attestati sulle virtual network di Azure. Tuttavia, possono esserci delle situazioni in cui il traffico di rete effettivo che attraversa un NSG corrisponde solo ad un sottoinsieme delle regole che sono state definite all’interno del NSG stesso. In questi casi, per migliorare ulteriormente la security posture è possibile perfezionare le regole presenti nei NSG, in base ai modelli di traffico di rete effettivi. La funzionalità di adaptive network hardening di Defender for Cloud verifica proprio questo e genera delle raccomandazioni per rafforzare ulteriormente le regole presenti nei NSG. Per ottenere questo risultato viene utilizzato un algoritmo di machine learning che tiene conto del traffico di rete effettivo, della configurazione presente, dell’intelligence sulle minacce e di altri indicatori di compromissione.

Figura 4 – Raccomandazioni relative alla funzionalità di adaptive network hardening

Network Map

Per monitorare continuamente lo stato di sicurezza della rete, Defender for Cloud mette a disposizione una mappa interattiva che consente di visualizzare graficamente la topologia della rete, includendo consigli e raccomandazioni per fare hardening delle risorse di rete. Inoltre, usando la mappa è possibile controllare le connessioni tra le macchine virtuali e le subnet, fino a valutare se ogni nodo è configurato correttamente dal punto di vista della rete. Andando a controllare come sono collegati i nodi è possibile individuare e bloccare più facilmente le connessioni indesiderate che potrebbero potenzialmente rendere più facile per un utente malintenzionato attaccare la propria rete. Per maggiori informazioni su questa funzionalità è possibile consultare la documentazione ufficiale Microsoft.

Figura 5 – Mappa di rete generata da Defender for Cloud

Per poter usufruire di queste specifiche funzionalità è necessario licenziare il piano Defender for Servers Plan 2.

Conclusioni

Una strategia vincente in ambito Azure networking, in grado di supportare anche il modello Zero Trust, la si può ottenere applicando un mix-and-match dei differenti servizi di sicurezza di rete per avere una protezione su più livelli. Al tempo stesso risulta molto utile poter far affidamento alle funzionalità di Defender for Cloud, anche per contemplare gli aspetti legati al networking, che tramite un assessment continuo ed una visibilità approfondita permettono di ottenere ambienti configurati secondo le best practice anche nel corso del tempo.

Come rafforzare la security posture nel cloud pubblico, in ambienti ibridi e multi-cloud grazie a Defender for Cloud

L’adozione di infrastrutture e di servizi in ambienti cloud, utili per le imprese per accelerare il percorso di trasformazione digitale, ci impone di adeguare anche le soluzioni, i processi e le pratiche che vengono adottate per garantire e mantenere un elevato grado di sicurezza delle proprie risorse IT. Il tutto deve avvenire in modo indipendente dai modelli di deployment utilizzati, andando a rafforzare la security posture complessiva del proprio ambiente e fornendo una protezione avanzata dalle minacce per tutti i workload, ovunque essi risiedano. In questo articolo viene riportato come la soluzione Defender for Cloud è in grado di controllare e migliorare gli aspetti legati alla sicurezza dell’ambiente IT dove vengono utilizzate risorse nel cloud pubblico, in ambienti ibridi e multi-cloud.

Le sfide della sicurezza nelle infrastrutture moderne

Tra le principali sfide che si devono affrontare in ambito sicurezza adottando infrastrutture moderne che utilizzano componenti nel cloud troviamo:

  • Workload in rapida e costante evoluzione. Questo aspetto è certamente un’arma a doppio taglio del cloud in quanto, da un lato gli utenti finali hanno la possibilità di ottenere di più dalle soluzioni in ambienti cloud, dall’altro diventa complesso garantire che i servizi in rapida e costante evoluzione siano sempre all’altezza dei propri standard e che seguano tutte le best practice di sicurezza.
  • Attacchi alla sicurezza sempre più sofisticati. Indipendentemente da dove si trovano in esecuzione i propri workload, gli attacchi alla sicurezza adottano tecniche sofisticate ed avanzate che richiedono di implementare protezioni affidabili per contrastare la loro efficacia.
  • Risorse e competenze in ambito sicurezza non sempre all’altezza per intervenire a fronte di alert di sicurezza e per assicurare che gli ambienti siano adeguatamente protetti. Infatti, la sicurezza IT è un fronte in continua evoluzione e rimanere aggiornati è una sfida costante e difficile da raggiungere.

I pilastri della sicurezza contemplati da Microsoft Defender for Cloud

Le funzionalità di Microsoft Defender for Cloud sono in grado di contemplare due grandi pilastri della sicurezza per le architetture moderne che adottano componenti cloud: Cloud Security Posture Management (CSPM) e Cloud workload protection (CWP).

Figura 1 – I pilastri della sicurezza contemplati da Microsoft Defender for Cloud

Cloud Security Posture Management (CSPM)

In ambito Cloud Security Posture Management (CSPM) Defender for Cloud è in grado di fornire le seguenti funzionalità:

    • Visibilità: per valutare la situazione attuale in merito alla sicurezza.
    • Guida all’hardening: per poter migliorare la sicurezza in modo efficiente ed efficace

Grazie ad un assessment continuo Defender for Cloud è in grado di scoprire continuamente nuove risorse che vengono distribuite e valuta se sono configurate in base alle best practice di sicurezza. In caso contrario, le risorse vengono contrassegnate e si ottiene un elenco prioritario di consigli relativi a ciò che è opportuno correggere per migliorare la loro protezione. Questo elenco di raccomandazioni è preso e supportato da Azure Security Benchmark, il set di linee guida specifico per Azure creato da Microsoft, che contiene le best practice di sicurezza e di conformità basate su framework comuni, con particolare attenzione alla sicurezza incentrata sul cloud. Questo benchmark può contemplare i controlli del Center for Internet Security (CIS) e del National Institute of Standards and Technology (NIST) ed è personalizzabile secondo gli standard che si vogliono rispettare.

Figura 2 – Esempi di raccomandazioni

Defender for Cloud assegna un punteggio globale all’ambiente, definito Secure Score, che permette di valutare il profilo di rischio (più alto è il punteggio, più basso è il livello di rischio identificato) e di agire per intraprendere delle azioni di remediation.

Figura 3 – Esempio di Secure score

Cloud workload protection (CWP)

Per quanto concerne questo ambito, Defender for Cloud eroga avvisi di sicurezza basati su Microsoft Threat Intelligence. Inoltre, include una ampia gamma di protezioni avanzate ed intelligenti per i workload, fornite tramite piani di Microsoft Defender specifici per le differenti tipologie di risorse presenti nelle subscription ed in ambienti ibridi e multi-cloud:

Figura 4 – Workload protetti da Defender for Cloud

Defender for Cloud permette quindi di soddisfare le seguenti tre esigenze, ritenute fondamentali durante la gestione della sicurezza delle risorse e dei workload che risiedono nel cloud ed in ambienti on-premises:

Figura 5 – Esigenze di sicurezza contemplate da Microsoft Defender for Cloud

Defender for Cloud include inoltre, come parte delle funzionalità di sicurezza avanzate, soluzioni di vulnerability assessment per le macchine virtuali, i container registry e i server SQL. Alcune scansioni vengono effettuate mediante la soluzione Qualys, che è possibile utilizzare senza licenze specifiche e senza account dedicati, ma il tutto è incluso e gestito mediante Defender for Cloud.

Quali ambienti è possibile proteggere con Defender for Cloud?

Defender for Cloud è un servizio nativo di Azure, che consente di proteggere non solo le risorse presenti in Azure, ma anche ambienti ibridi e multi-cloud.

Figura 6 – Protezione trasversale su ambienti differenti

Protezione degli ambienti Azure

  • Azure IaaS e servizi Azure PaaS: Defender for Cloud è in grado di rilevare le minacce destinate alle macchine virtuali e ai servizi presenti in Azure, inclusi Azure App Service, Azure SQL, Azure Storage Account, ed altri. Inoltre, consente di rilevare le anomalie nei registri di attività di Azure (Azure activity logs) tramite l’integrazione nativa con Microsoft Defender for Cloud Apps (conosciuto come Microsoft Cloud App Security).
  • Azure data services: Defender for Cloud include funzionalità che consentono di classificare automaticamente i dati in Azure SQL. Inoltre, è possibile effettuare degli assessment per rilevare potenziali vulnerabilità nei servizi Azure SQL e Storage, accompagnate da raccomandazioni su come mitigarle.
  • Network: l’applicazione di Network Security Group (NSG) per filtrare il traffico da e verso le risorse attestate sulle virtual network di Azure è fondamentale per garantire la sicurezza della rete. Tuttavia, possono esserci alcuni casi in cui il traffico effettivo che attraversa i NSG interessa solamente un sottoinsieme delle regole NSG definite. In questi casi, la funzionalità di Adaptive network hardening consente di migliorare ulteriormente la security posture rafforzando le regole NSG. Mediante un algoritmo di apprendimento automatico che tiene conto del traffico effettivo, della configurazione, dell’intelligence sulle minacce e di altri indicatori di compromissione, è in grado di fornire consigli per adeguare la configurazione dei NSG in modo da consentire solo il traffico strettamente necessario.

Protezione di ambienti ibridi

Oltre a proteggere l’ambiente Azure, è possibile estendere le funzionalità di Defender for Cloud anche ad ambienti ibridi per proteggere in particolare i server che non risiedono su Azure. Mediante Azure Arc è possibile estendere i piani di Microsoft Defender alle macchine che non risiedono in Azure.

Protezione delle risorse in esecuzione su altri cloud pubblici

Microsoft Defender for Cloud può contemplare anche risorse presenti in Amazon Web Services (AWS) e Google Cloud Platform (GCP). Per proteggere con questa soluzione le risorse su altri cloud pubblici è stato rilasciato un nuovo meccanismo nativo che, mediante un approccio agentless, consente di connettersi agli ambienti AWS e GCP. Questa nuova metodologia di interfacciamento sfrutta le API di AWS e GCP e non ha dipendenza da altre soluzioni, come ad esempio AWS Security Hub.

Caso reale di protezione con Defender for Cloud

Ipotizzando un ambiente di un cliente con risorse dislocate in Azure, on-premises ed in AWS, con Defender for Cloud è possibile estendere la protezione a tutte le risorse, in modo indipendente da dove risiedono.

Infatti, connettendo un account Amazon Web Services (AWS) ad una sottoscrizione Azure, risulta possibile abilitare le seguenti protezioni:

  • Le funzionalità CSPM di Defender for Cloud vengono estese anche alle risorse AWS, consentendo di valutare le risorse presenti nel cloud Amazon, in base ai consigli di sicurezza specifici di AWS. Inoltre, le risorse vengono valutate per la conformità agli standard specifici di AWS come: AWS CIS, AWS PCI DSS e AWS Foundational Security Best Practices. Il tutto viene considerato andando a influenzare il security score complessivo.
  • Microsoft Defender for Servers offre il rilevamento delle minacce e abilita le difese avanzate anche per le istanze EC2 Windows e Linux.
  • Microsoft Defender for Kubernetes estende le difese avanzate ai cluster Amazon EKS Linux e consente il rilevamento delle minacce sui container presenti in quelle infrastrutture.

Queste protezioni si andranno ad aggiungere alle funzionalità sopra elencate disponibili per gli ambienti Azure e per le risorse che risiedono on-premises.

Conclusioni

Defender for Cloud è in grado di rispondere in modo efficace alle sfide, in ambito sicurezza, date dall’adozione di infrastrutture moderne. Grazie infatti all’impiego di Microsoft Defender for Cloud si dispone di una soluzione in grado di individuare i punti di debolezza in ambito security nelle configurazioni cloud, rafforzare la security posture complessiva dell’ambiente e proteggere i workload in ambienti ibridi e multi-cloud.

Come aumentare la sicurezza delle architetture applicative basate su container

Le applicazioni moderne basate su microservizi sono sempre più diffuse ed i container sono un interessante elemento costitutivo per la creazione di architetture applicative agili, scalabili ed efficienti. I microservizi offrono grandi vantaggi, grazie alla presenza di modelli di progettazione software ben noti e collaudati che si possono applicare, ma generano anche nuove sfide. Una di queste è sicuramente legata alla sicurezza di queste architetture, che impongono l’adozione di soluzioni all’avanguardia per raggiungere un elevato livello di protezione. In questo articolo viene riportato come la soluzione nativa del cloud per la protezione dei container, chiamata Microsoft Defender for Containers, è in grado di garantire la protezione delle architetture applicative basate su container, offrendo capacità avanzate per la rilevazione e per rispondere alle minacce di sicurezza.

Funzionalità offerte dalla soluzione

Grazie a Microsoft Defender for Containers è possibile migliorare, monitorare e mantenere la sicurezza dei cluster, dei container e delle relative applicazioni. Infatti, tale piano consente di ottenere i seguenti benefici:

  • Hardening dell’ambiente
  • Scansione delle vulnerabilità
  • Run-time threat protection per l’ambiente cluster e per i nodi

Nei paragrafi seguenti vengono dettagliati i benefici sopra elencati.

Hardening dell’ambiente

Mediante una assessment continuo degli ambienti cluster, Defender for Containers fornisce una visibilità completa su eventuali configurazioni errate e sul rispetto delle linee guida. Tramite la generazione delle raccomandazioni aiuta a mitigare potenziali minacce di sicurezza.

Inoltre, grazie all’utilizzo del controllo di ammissione di Kubernetes è possibile garantire che tutte le configurazioni vengano fatte rispettando le best practice di sicurezza. Infatti, adottando le Azure Policy for Kubernetes si dispone di un bundle di raccomandazioni utili per proteggere i workload dei container Kubernetes. Di default, abilitando Defender for Containers, avviene automaticamente il provisioning di queste policy. In questo modo, ogni richiesta al server API di Kubernetes verrà monitorata rispetto al set predefinito di best practice, prima di essere resa effettiva sull’ambiente cluster. Si può pertanto adottare questo metodo per applicare le best practice ed imporle per i nuovi workload che saranno attivati.

Scansione delle vulnerabilità

Defender for Containers include un vulnerability scanner integrato per l’analisi delle immagini presenti in Azure Container Registry (ACR). Grazie a questo strumento di scansione è possibile effettuare una scansione approfondita delle immagini che avviene in tre momenti:

  • In caso di push: ogni volta che un’immagine viene inviata all’ACR, viene eseguita automaticamente la scansione.
  • In caso di estrazione recente: poiché ogni giorno vengono scoperte nuove vulnerabilità, viene analizza, con cadenza settimanale, anche qualsiasi immagine per la quale è stata fatta un’estrazione negli ultimi 30 giorni.
  • Durante l’importazione: Azure Container Registry dispone di strumenti di importazione per far confluire le immagini al suo interno provenienti da Docker Hub, Microsoft Container Registry oppure da altri ACR. Tutte le immagini importate vengono prontamente analizzate dalla soluzione.

Nel caso vengano rilevate delle vulnerabilità sarà generata una notifica nella dashboard di Microsoft Defender for Cloud. Questo alert sarà accompagnato da una classificazione di gravità e da indicazioni pratiche su come è possibile correggere le specifiche vulnerabilità rilevate in ciascuna immagine.

Inoltre, Defender for Containers espande queste funzionalità di scansione introducendo la possibilità di ottenere una visibilità sulle immagini in esecuzione. Mediante la nuova raccomandazione, denominata “Vulnerabilities in running images should be remediated (powered by Qualys)”, raggruppa le immagini in esecuzione che presentano vulnerabilità, fornendo i dettagli sui problemi rilevati e su come risolverli.

Run-time threat protection per l’ambiente cluster e per i nodi

Microsoft Defender for Containers è in grado di fornire una protezione dalle minacce in tempo reale per gli ambienti containerizzati e genera avvisi nel caso vengano rilevate minacce oppure attività dannose, sia a livello di host che a livello di cluster AKS.

La protezione da minacce di sicurezza avviene a diversi livelli:

  • Cluster level: a livello cluster, la protezione dalle minacce si basa sull’analisi degli audit logs di Kubernetes. Si tratta di un monitor che permette di generare alert, monitorando i servizi gestiti di AKS, come ad esempio la presenza di dashboard Kubernetes esposte e la creazione di ruoli con privilegi elevati. Per consultare la lista completa degli alert generati da questa protezione è possibile accedere a questo link.
  • Host level: con oltre sessanta tipologie di analisi, mediante algoritmi di intelligenza artificiale e con la rilevazione delle anomalie sui workload in esecuzione la soluzione è in grado di rilevare attività sospette. Un team di ricercatori Microsoft sulla sicurezza monitora costantemente il panorama delle minacce e vengono aggiunti alert e vulnerabilità specifici sui container man mano che vengono scoperti. Inoltre, questa soluzione monitora la crescente superficie di attacco delle implementazioni Kubernetes multi-cloud e tiene traccia della matrice MITRE ATT&CK per i container, un framework sviluppato dal Center for Threat-Informed Defense in stretta collaborazione con Microsoft e altri esponenti.

La lista completa degli alert che si possono attenere abilitando questa protezione è consultabile in questo documento.

Architetture per i differenti ambienti Kubernetes

Defender for Containers è in grado di proteggere i cluster Kubernetes indipendentemente dal fatto che siano in esecuzione su Azure Kubernetes Service, Kubernetes on-premise/IaaS oppure Amazon EKS.

Azure Kubernetes Service (AKS) Cluster

Quando si abilita la protezione di Defender for Cloud per i cluster attivati mediante il servizio Azure Kubernetes (AKS), la raccolta degli audit log avviene senza dover installare degli agenti. Il profilo Defender, distribuito su ciascun nodo, fornisce la protezione runtime e raccoglie i segnali dai nodi utilizzando la tecnologia eBPF. Il componente Azure Policy add-on for Kubernetes raccoglie le configurazioni dei cluster e dei workload, come spiegato nei paragrafi precedenti.

Figura 1 – Architettura di Defender for Cloud per i cluster AKS

Azure Arc-enabled Kubernetes

Per tutti i cluster ospitati al di fuori di Azure è necessario adottare la soluzione Azure Arc-enabled Kubernetes per connettere i cluster ad Azure e fornire i relativi servizi, come Defender for Containers. Connettendo i cluster Kubernetes ad Azure, un’estensione Arc raccoglie gli audit log di Kubernetes da tutti i nodi del control plane del cluster e li invia nel cloud al back-end di Microsoft Defender for Cloud per ulteriori analisi. L’estensione viene registrata con un workspace di Log Analytics usato come pipeline di dati, ma i dati di audit non vengono archiviati in Log Analytics. Le informazioni sulle configurazioni dei workload vengono gestite dal componente aggiuntivo delle Azure Policy.

Figura 2 – Architettura di Defender for Cloud per i cluster Kubernetes Arc-enabled

Amazon Elastic Kubernetes Service (Amazon EKS)

Anche per questa tipologia di cluster, attivati in ambiente AWS, è necessario adottare Azure Arc-enabled Kubernetes per poterli proiettare in ambiente Azure. Inoltre, è necessario connettere l’account AWS a Microsoft Defender for Cloud. Risultano pertanto necessari i piani Defender for Containers e CSPM (per il monitor delle configurazioni e per le raccomandazioni).

Un cluster basato su EKS, Arc e l’estensione di Defender sono i componenti necessari per:

  • raccogliere i dati di policy e delle configurazioni dai nodi del cluster;
  • ottenere una protezione runtime.

L’Azure Policy add-on for Kubernetes colleziona le configurazioni dell’ambiente cluster e dei workload per garantire che tutte le configurazioni vengano rispettate. Inoltre, la soluzione AWS CloudWatch viene utilizzata per collezionare i dati di log dal Control plane.

Figura 3 – Architettura di Defender for Cloud per i cluster AWS EKS

Aggiornamento e costi della soluzione

Questo piano di Microsoft Defender unisce e sostituisce due piani esistenti, “Defender for Kubernetes” e “Defender for Container Registries“, fornendo funzionalità nuove e migliorate, senza deprecare nessuna delle funzionalità di tali piani. Le sottoscrizioni sulle quali sono stati attivati i piani precedenti non devono necessariamente essere aggiornate al nuovo piano Microsoft Defender for Containers. Tuttavia, per trarre vantaggio dalle nuove e migliorate funzionalità, devono essere aggiornate e per farlo è possibile utilizzare nel portale Azure l’icona di aggiornamento visualizzata accanto a loro.

L’attivazione di questi piani di protezione sono soggetti a costi specifici che possono essere calcolati utilizzando lo strumento Azure Pricing calculator. In particolare, il costo di Microsoft Defender for Containers viene calcolato sul numero di core delle VMs che compongono il cluster AKS. Questo prezzo include anche 20 scansioni gratuite per vCore, ed il conteggio sarà basato sul consumo del mese precedente. Ogni scansione aggiuntiva ha un costo di addebito, ma la maggior parte dei clienti non dovrebbe sostenere alcun costo aggiuntivo per la scansione delle immagini.

Conclusioni

Le architetture basate su microservizi consentono di scalare facilmente e di sviluppare le applicazioni in modo più rapido e semplice, permettendo di promuovere l’innovazione e accelerare il time-to-market di nuove funzionalità. La presenza di una soluzione come Microsoft Defender for Containers è fondamentale per consentire un adeguato livello di protezione per quanto riguarda le minacce di sicurezza, sempre più evolute per attaccare queste tipologie di architetture applicative.

La sicurezza degli ambienti AWS con Microsoft Defender for Cloud

Microsoft Defender for Cloud, precedentemente noto come Azure Security Center ed Azure Defender, è una soluzione di Cloud Security Posture Management (CSPM) e per la protezione dei workload, in grado di individuare i punti di debolezza in ambito security nelle configurazioni cloud, rafforzare la security posture complessiva dell’ambiente e proteggere i carichi di lavoro in ambienti ibridi e multi-cloud. Per le realtà che stanno adottando una strategia multi-cloud e che necessitano di elevati standard di sicurezza per il proprio ambiente è importante sapere che Microsoft Defender for Cloud può contemplare anche risorse presenti in Amazon Web Services (AWS) e Google Cloud Platform (GCP). In questo articolo viene riportato come proteggere ambienti AWS utilizzando Microsoft Defender for Cloud.

I pilastri della sicurezza contemplati da Microsoft Defender for Cloud

Le funzionalità di Microsoft Defender for Cloud sono in grado di contemplare due grandi pilastri della sicurezza del cloud:

  • Cloud Security Posture Management (CSPM) in grado di fornire le seguenti funzionalità:
    • Visibilità: per valutare la situazione attuale in merito alla sicurezza.
    • Guida all’hardening: per poter migliorare la sicurezza in modo efficiente ed efficace

Grazie ad un assessment continuo Defender for Cloud è in grado di scoprire continuamente nuove risorse che vengono distribuite e valuta se sono configurate in base alle best practice di sicurezza. In caso contrario, le risorse vengono contrassegnate e si ottiene un elenco prioritario di consigli relativi a ciò che è opportuno correggere per migliorare la loro protezione. Questo elenco di raccomandazioni è preso e supportato da Azure Security Benchmark, il set di linee guida specifico per Azure creato da Microsoft, che contiene le best practice di sicurezza e di conformità basate su framework comuni, con particolare attenzione alla sicurezza incentrata sul cloud. Questo benchmark può contemplare i controlli del Center for Internet Security (CIS) e del National Institute of Standards and Technology (NIST).

Defender for Cloud assegna un punteggio globale all’ambiente ambiente, definito Secure Score, che permette di valutare il profilo di rischio (più alto è il punteggio, più basso è il livello di rischio identificato) e di agire per intraprendere delle azioni di remediation.

  • Cloud workload protection (CWP): Defender for Cloud eroga avvisi di sicurezza basati su Microsoft Threat Intelligence. Inoltre, include una ampia gamma di protezioni avanzate ed intelligenti per i workload, fornite tramite piani di Microsoft Defender specifici per le differenti tipologie di risorse presenti nelle subscription ed in ambienti ibridi e multi-cloud.

Defender for Cloud permette quindi di soddisfare le seguenti tre esigenze, ritenute fondamentali durante la gestione della sicurezza delle risorse e dei workload che risiedono nel cloud ed in locale:

Figura 1 – Esigenze di sicurezza contemplate da Microsoft Defender for Cloud

La protezione delle risorse AWS

Per proteggere con questa soluzione le risorse su altri cloud pubblici esiste ormai da tempo un meccanismo che prevede l’utilizzo di connettori di interfacciamento con gli account AWS e GCP. Il processo di onboarding del proprio account AWS era basata sull’integrazione della soluzione AWS Security Hub, come descritto nel dettaglio in questo articolo.

Ora è stato rilasciato un nuovo meccanismo nativo che, mediante un approccio agentless, consente di connettersi agli ambienti AWS. Questa nuova metodologia di interfacciamento sfrutta le API di AWS e non ha dipendenza da altre soluzioni, come AWS Security Hub. L’esperienza di onboarding è progettata per funzionare facilmente su larga scala, semplicemente collegando il proprio master account AWS, che permette di effettuare automaticamente l’onboarding degli account esistenti e futuri.

Figura 2 – Connessione di AWS a Microsoft Defender for Cloud

Questo meccanismo estende facilmente le funzionalità di sicurezza avanzate di Defender for Cloud alle proprie risorse AWS e comprende le seguenti aree.

Figura 3 – Piani di protezione disponibili

Cloud Security Posture Management (CSPM) per AWS

Le funzionalità CSPM di Defender for Cloud vengono estese alle proprie risorse AWS. Questo piano agentless valuta le risorse AWS in base alle raccomandazioni di sicurezza specifiche di AWS e queste vengono contemplate nel calcolo del security score globale. Per fornire una visione complessiva sullo stato di sicurezza dei propri ambienti multi-cloud, anche le raccomandazioni relative alla sicurezza di AWS sono integrate nel portale Defender for Cloud, insieme ai consigli di Azure. Sono stati implementate da Microsoft oltre 160 raccomandazioni pronte all’uso per i servizi IaaS e PaaS e tre standard normativi tra cui AWS CIS, AWS PCI DSS e AWS Foundational Security Best Practices. Tutto questo consente di rafforzare la propria security posture contemplando al meglio anche le risorse AWS. Inoltre, è possibile personalizzare i modelli esistenti oppure crearne dei nuovi che contengono le proprie raccomandazioni ed i propri standard per verificare la compliance dei requisiti interni.

Figura 4 – Raccomandazioni per AWS integrate in Defender for Cloud

Cloud workload protection (CWP) per AWS

Per AWS al momento è prevista la protezione avanzata per i seguenti workload:

  • Protezione dei server: Microsoft Defender for server offre il rilevamento delle minacce e la difese avanzate anche per le istanze EC2, sia per sistemi Windows sia per sistemi Linux. Questo piano include la licenza integrata per Microsoft Defender for Endpoint e diverse funzionalità, tra le quali: Security baselines e assessment a livello di SO, Vulnerability assessment, Adaptive Application Controls (AAC) e File Integrity Monitoring (FIM).
  • Protezione dei container: Microsoft Defender for Containers estende il rilevamento delle minacce per i container e le difese avanzate di Defender for Kubernetes ai cluster Amazon EKS (Elastic Kubernetes Service). Affinché Defender for Kubernetes sia in grado di proteggere i cluster AWS EKS, è necessaria la presenza di Azure Arc-enabled Kubernetes e dell’extension di Defender.

Figura 5 – Alert e raccomandazioni per i cluster EKS

NOTA: Per coloro che hanno hai già configurato un connettore AWS tramite i connector cloud classici, è consigliato connettere nuovamente l’account utilizzando il nuovo meccanismo.

Costo della soluzione

Se si decide di attivare questa integrazione valgono le seguenti indicazioni sui costi:

  • Il piano CSPM è gratuito. Per fornire le raccomandazioni il piano CSPM interroga le API delle risorse AWS più volte al giorno. Queste chiamate API di sola lettura non comportano alcun addebito, ma vengono registrate in CloudTrail nel caso in cui sia stato abilitato il trail per gli eventi di lettura. Come riportato nella documentazione AWS, questo non comporta costi aggiuntivi per il mantenimento. Occorre però fare attenzione ed eventualmente filtrare questi eventi se sono previsti delle esportazioni di dati (ad esempio per farli confluire in un SIEM esterno).
  • Il piano Defender for Containers verrà fatturato allo stesso prezzo del piano Defender for Kubernetes per le risorse di Azure.
  • Per ogni macchina AWS connessa ad Azure mediante Azure Arc, il piano Defender per server viene fatturato allo stesso prezzo del piano Microsoft Defender per server per le macchine Azure.

Conclusioni

Microsoft Defender for Cloud, originariamente sviluppato con la pretesa di essere lo strumento migliore per proteggere le risorse in ambiente Azure, estendere e perfeziona le proprie funzionalità per contemplare anche altri cloud pubblici. In particolare, grazie al nuovo meccanismo di integrazione con AWS è possibile adottare in modo nativo una soluzione di CSPM ed abilitare la protezione dalle minacce per i workload di elaborazione in Amazon Web Services (AWS). Questo consente di ottenere un elevato grado di sicurezza, di migliorare le security posture in ambienti multi-cloud e di semplificare la gestione degli strumenti utili per governare la sicurezza.