Archivi categoria: Multi-cloud

Come preparare il proprio ambiente per nuovi scenari ibridi e multicloud

La volontà di molte realtà aziendali è quella di distribuire e adottare applicazioni che possano risiedere su vari ecosistemi: on-premises, su più cloud pubblici e negli edge. Se si decide di avere architetture così distribuite è fondamentale preparare il proprio ambiente per poter garantire conformità e disporre di un metodo efficace per gestire su larga scala i sistemi server, le applicazioni e i dati, mantenendo una elevata agilità. In questo articolo vengono affrontati gli aspetti e le pratiche da tenere in considerazione per adottare tecnologie ibride e multicloud utili a soddisfare le proprie esigenze di business.

Le ragioni che portano all’adozione di soluzioni ibride e multicloud

Microsoft Azure è un provider di servizi cloud a livello enterprise ed è in grado di supportare obiettivi di business per ambienti pubblici, ibridi e multicloud.

Sono molte le ragioni per le quali i clienti scelgono di distribuire il loro patrimonio digitale in ambienti ibridi e multicloud. Tra le principali troviamo:

  • Riduzione al minimo o rimozione di lock-in dati da un singolo cloud provider
  • Presenza di business unit, aziende sussidiarie o società acquisite che hanno già fatto scelte di adozione di differenti piattaforme cloud
  • Diversi fornitori di servizi cloud possono avere requisiti normativi e di sovranità dei dati differenti nei vari paesi
  • Necessità di migliorare la business continuity ed il disaster recovery andando a distribuire i workload tra due provider cloud differenti
  • Esigenza di massimizzare le prestazioni permettendo di eseguire le applicazioni in prossimità rispetto a dove si trovano gli utenti

Quali aspetti considerare?

Per preparare un ambiente IT e renderlo efficace per qualsiasi deployment ibrido e multicloud è opportuno tenere in considerazione i seguenti aspetti chiave:

  • Topologia e connettività di rete
  • Governance, sicurezza e conformità
  • Discipline di automazione, esperienza di sviluppo e pratiche DevOps unificate e coerenti

Per la preparazione di un ambiente idoneo ad ospitare deployment ibridi e multicloud esistono differenti possibilità, motivo per il quale prima di configurare il proprio ambiente Azure o qualsiasi altro cloud pubblico, è importante identificare in che modo l’ambiente cloud dovrà supportare il proprio scenario:

Figura 1 – Diagramma che illustra come diversi clienti distribuiscono i workload tra cloud provider

Nell’immagine sopra riportata ogni punto blu scuro rappresenta un workload ed ogni cerchio di colore azzurro è un processo aziendale, supportato da un ambiente distinto. A seconda del cloud-mix può essere necessaria una diversa configurazione dell’ambiente Azure:

  • Cliente Hybrid-first: la maggior parte dei workload rimane in sede, spesso in una combinazione di modelli di hosting con risorse tradizionali ed ibride. Alcuni workload specifici vengono distribuiti nell’edge, in Azure oppure presso altri provider di servizi cloud.
  • Cliente Azure-first: la maggior parte dei workload risiede in Azure. Alcuni workload rimangono comunque in locale. Inoltre, determinate decisioni strategiche hanno portato alcuni workload a risiedere negli edge oppure in ambienti multicloud.
  • Cliente multicloud-first: la maggior parte dei workload viene ospitata su un cloud pubblico diverso da Azure, come Amazon Web Services (AWS) oppure Google Cloud Platform (GCP). Alcune decisioni strategiche hanno però portato alcuni workload ad essere posizionati in Azure oppure presso gli edge.

A seconda della strategia ibrida e multicloud che si decide di intraprendere per le applicazioni e per i dati, questa sarà in grado di indirizzare determinate scelte.

Come predisporre l’ambiente Azure

Quando si affronta il tema della preparazione del proprio ambiente IT per nuovi scenari ibridi e multicloud è opportuno definire la “Landing Zone” di Azure che rappresenta, nel percorso di adozione del cloud, il punto di arrivo. Si tratta di un’architettura progettata per consentire di gestire ambienti cloud funzionali, contemplando i seguenti aspetti:

  • Scalabilità
  • Security governance
  • Networking
  • Identità
  • Cost management
  • Monitoring

L’architettura della Landing Zone deve essere definita in base ai requisiti aziendali e tecnici specifici. Risulta quindi necessario valutate le possibili opzioni di implementazione della Landing Zone, grazie alle quali sarà possibile soddisfare le esigenze di deployment ed operatività del portfolio cloud.

Figura 2 – Esempio concettuale di una Azure landing zone

Quali strumenti utilizzare?

Cloud Adoption Framework

Il Cloud Adoption Framework di Microsoft fornisce un ricco set di documentazione, linee guida per l’implementazione, procedure consigliate e strumenti utili per accelerare il percorso di adozione del cloud. Tra queste best practice, che è bene adottare comunemente e che è opportuno declinare in modo specifico sui vari clienti in base alle loro esigenze, è presente una sezione specifica riguardante gli ambienti ibridi e multicloud. Questa sezione tratta le diverse best practice che possono aiutare a facilitare vari mix di cloud, che vanno da ambienti totalmente Azure ad ambienti dove l’infrastruttura presso il cloud pubblico di Microsoft non è presente oppure è limitata.

Azure Arc come acceleratore

Azure Arc consiste in un insieme di differenti tecnologie e di componenti che permettono di disporre di un unico meccanismo di controllo per gestire e governare in modo coerente tutte le tue risorse IT, ovunque si trovino. Inoltre, con i servizi abilitati per Azure Arc, si ha la flessibilità di distribuire servizi completamente gestiti di Azure ovunque, on-premises oppure presso altri cloud pubblici.

Figura 3 –  Azure Arc overview

L’Azure Arc-enabled servers Landing Zone, presente nel Cloud Adoption Framework, consente ai clienti di aumentare più facilmente la sicurezza, la governance e lo stato di conformità dei server distribuiti al di fuori di Azure. Insieme ad Azure Arc, servizi come Microsoft Defender for Cloud, Azure Sentinel, Azure Monitor, Azure Log Analytics, Azure Policy e molti altri possono essere estesi a tutti gli ambienti. Per questa ragione Azure Arc lo si deve considerare come un acceleratore per le proprie Landing Zone.

Azure Arc Jumpstart

Azure Arc Jumpstart è cresciuto molto, con oltre 90 scenari automatizzati, migliaia di visitatori al mese e una community open source molto attiva che condivide le proprie conoscenze su Azure Arc. Come parte di Jumpstart, è stato sviluppato ArcBox, un ambiente sandbox automatizzato per tutto ciò che riguarda Azure Arc, distribuibile nelle sottoscrizioni Azure dei clienti. Come acceleratore per la landing zone dei server abilitati per Azure Arc è stato sviluppato il nuovo ArcBox per IT pro, che funge da soluzione di automazione sandbox per questo scenario, con servizi come Azure Policy, Azure Monitor, Microsoft Defender for Cloud, Microsoft Sentinel e altro ancora.

Figura 3 – Architettura che mostra come Azure Resource Manager, Azure Bicep e Hashicorp Terraform interagiscono in ArcBox

Conclusioni

L’adozione di pratiche operative coerenti in tutti gli ambienti cloud, associate ad un piano di controllo comune, consente di affrontare in modo efficace le sfide intrinseche nelle strategie ibride e multicloud. Per farlo Microsoft mette a disposizione vari strumenti ed acceleratori, uno tra i quali è Azure Arc che rende più facile per i clienti aumentare la sicurezza, la governance e lo stato di conformità dei server distribuiti al di fuori di Azure.

Come aumentare la sicurezza delle architetture applicative basate su container

Le applicazioni moderne basate su microservizi sono sempre più diffuse ed i container sono un interessante elemento costitutivo per la creazione di architetture applicative agili, scalabili ed efficienti. I microservizi offrono grandi vantaggi, grazie alla presenza di modelli di progettazione software ben noti e collaudati che si possono applicare, ma generano anche nuove sfide. Una di queste è sicuramente legata alla sicurezza di queste architetture, che impongono l’adozione di soluzioni all’avanguardia per raggiungere un elevato livello di protezione. In questo articolo viene riportato come la soluzione nativa del cloud per la protezione dei container, chiamata Microsoft Defender for Containers, è in grado di garantire la protezione delle architetture applicative basate su container, offrendo capacità avanzate per la rilevazione e per rispondere alle minacce di sicurezza.

Funzionalità offerte dalla soluzione

Grazie a Microsoft Defender for Containers è possibile migliorare, monitorare e mantenere la sicurezza dei cluster, dei container e delle relative applicazioni. Infatti, tale piano consente di ottenere i seguenti benefici:

  • Hardening dell’ambiente
  • Scansione delle vulnerabilità
  • Run-time threat protection per l’ambiente cluster e per i nodi

Nei paragrafi seguenti vengono dettagliati i benefici sopra elencati.

Hardening dell’ambiente

Mediante una assessment continuo degli ambienti cluster, Defender for Containers fornisce una visibilità completa su eventuali configurazioni errate e sul rispetto delle linee guida. Tramite la generazione delle raccomandazioni aiuta a mitigare potenziali minacce di sicurezza.

Inoltre, grazie all’utilizzo del controllo di ammissione di Kubernetes è possibile garantire che tutte le configurazioni vengano fatte rispettando le best practice di sicurezza. Infatti, adottando le Azure Policy for Kubernetes si dispone di un bundle di raccomandazioni utili per proteggere i workload dei container Kubernetes. Di default, abilitando Defender for Containers, avviene automaticamente il provisioning di queste policy. In questo modo, ogni richiesta al server API di Kubernetes verrà monitorata rispetto al set predefinito di best practice, prima di essere resa effettiva sull’ambiente cluster. Si può pertanto adottare questo metodo per applicare le best practice ed imporle per i nuovi workload che saranno attivati.

Scansione delle vulnerabilità

Defender for Containers include un vulnerability scanner integrato per l’analisi delle immagini presenti in Azure Container Registry (ACR). Grazie a questo strumento di scansione è possibile effettuare una scansione approfondita delle immagini che avviene in tre momenti:

  • In caso di push: ogni volta che un’immagine viene inviata all’ACR, viene eseguita automaticamente la scansione.
  • In caso di estrazione recente: poiché ogni giorno vengono scoperte nuove vulnerabilità, viene analizza, con cadenza settimanale, anche qualsiasi immagine per la quale è stata fatta un’estrazione negli ultimi 30 giorni.
  • Durante l’importazione: Azure Container Registry dispone di strumenti di importazione per far confluire le immagini al suo interno provenienti da Docker Hub, Microsoft Container Registry oppure da altri ACR. Tutte le immagini importate vengono prontamente analizzate dalla soluzione.

Nel caso vengano rilevate delle vulnerabilità sarà generata una notifica nella dashboard di Microsoft Defender for Cloud. Questo alert sarà accompagnato da una classificazione di gravità e da indicazioni pratiche su come è possibile correggere le specifiche vulnerabilità rilevate in ciascuna immagine.

Inoltre, Defender for Containers espande queste funzionalità di scansione introducendo la possibilità di ottenere una visibilità sulle immagini in esecuzione. Mediante la nuova raccomandazione, denominata “Vulnerabilities in running images should be remediated (powered by Qualys)”, raggruppa le immagini in esecuzione che presentano vulnerabilità, fornendo i dettagli sui problemi rilevati e su come risolverli.

Run-time threat protection per l’ambiente cluster e per i nodi

Microsoft Defender for Containers è in grado di fornire una protezione dalle minacce in tempo reale per gli ambienti containerizzati e genera avvisi nel caso vengano rilevate minacce oppure attività dannose, sia a livello di host che a livello di cluster AKS.

La protezione da minacce di sicurezza avviene a diversi livelli:

  • Cluster level: a livello cluster, la protezione dalle minacce si basa sull’analisi degli audit logs di Kubernetes. Si tratta di un monitor che permette di generare alert, monitorando i servizi gestiti di AKS, come ad esempio la presenza di dashboard Kubernetes esposte e la creazione di ruoli con privilegi elevati. Per consultare la lista completa degli alert generati da questa protezione è possibile accedere a questo link.
  • Host level: con oltre sessanta tipologie di analisi, mediante algoritmi di intelligenza artificiale e con la rilevazione delle anomalie sui workload in esecuzione la soluzione è in grado di rilevare attività sospette. Un team di ricercatori Microsoft sulla sicurezza monitora costantemente il panorama delle minacce e vengono aggiunti alert e vulnerabilità specifici sui container man mano che vengono scoperti. Inoltre, questa soluzione monitora la crescente superficie di attacco delle implementazioni Kubernetes multi-cloud e tiene traccia della matrice MITRE ATT&CK per i container, un framework sviluppato dal Center for Threat-Informed Defense in stretta collaborazione con Microsoft e altri esponenti.

La lista completa degli alert che si possono attenere abilitando questa protezione è consultabile in questo documento.

Architetture per i differenti ambienti Kubernetes

Defender for Containers è in grado di proteggere i cluster Kubernetes indipendentemente dal fatto che siano in esecuzione su Azure Kubernetes Service, Kubernetes on-premise/IaaS oppure Amazon EKS.

Azure Kubernetes Service (AKS) Cluster

Quando si abilita la protezione di Defender for Cloud per i cluster attivati mediante il servizio Azure Kubernetes (AKS), la raccolta degli audit log avviene senza dover installare degli agenti. Il profilo Defender, distribuito su ciascun nodo, fornisce la protezione runtime e raccoglie i segnali dai nodi utilizzando la tecnologia eBPF. Il componente Azure Policy add-on for Kubernetes raccoglie le configurazioni dei cluster e dei workload, come spiegato nei paragrafi precedenti.

Figura 1 – Architettura di Defender for Cloud per i cluster AKS

Azure Arc-enabled Kubernetes

Per tutti i cluster ospitati al di fuori di Azure è necessario adottare la soluzione Azure Arc-enabled Kubernetes per connettere i cluster ad Azure e fornire i relativi servizi, come Defender for Containers. Connettendo i cluster Kubernetes ad Azure, un’estensione Arc raccoglie gli audit log di Kubernetes da tutti i nodi del control plane del cluster e li invia nel cloud al back-end di Microsoft Defender for Cloud per ulteriori analisi. L’estensione viene registrata con un workspace di Log Analytics usato come pipeline di dati, ma i dati di audit non vengono archiviati in Log Analytics. Le informazioni sulle configurazioni dei workload vengono gestite dal componente aggiuntivo delle Azure Policy.

Figura 2 – Architettura di Defender for Cloud per i cluster Kubernetes Arc-enabled

Amazon Elastic Kubernetes Service (Amazon EKS)

Anche per questa tipologia di cluster, attivati in ambiente AWS, è necessario adottare Azure Arc-enabled Kubernetes per poterli proiettare in ambiente Azure. Inoltre, è necessario connettere l’account AWS a Microsoft Defender for Cloud. Risultano pertanto necessari i piani Defender for Containers e CSPM (per il monitor delle configurazioni e per le raccomandazioni).

Un cluster basato su EKS, Arc e l’estensione di Defender sono i componenti necessari per:

  • raccogliere i dati di policy e delle configurazioni dai nodi del cluster;
  • ottenere una protezione runtime.

L’Azure Policy add-on for Kubernetes colleziona le configurazioni dell’ambiente cluster e dei workload per garantire che tutte le configurazioni vengano rispettate. Inoltre, la soluzione AWS CloudWatch viene utilizzata per collezionare i dati di log dal Control plane.

Figura 3 – Architettura di Defender for Cloud per i cluster AWS EKS

Aggiornamento e costi della soluzione

Questo piano di Microsoft Defender unisce e sostituisce due piani esistenti, “Defender for Kubernetes” e “Defender for Container Registries“, fornendo funzionalità nuove e migliorate, senza deprecare nessuna delle funzionalità di tali piani. Le sottoscrizioni sulle quali sono stati attivati i piani precedenti non devono necessariamente essere aggiornate al nuovo piano Microsoft Defender for Containers. Tuttavia, per trarre vantaggio dalle nuove e migliorate funzionalità, devono essere aggiornate e per farlo è possibile utilizzare nel portale Azure l’icona di aggiornamento visualizzata accanto a loro.

L’attivazione di questi piani di protezione sono soggetti a costi specifici che possono essere calcolati utilizzando lo strumento Azure Pricing calculator. In particolare, il costo di Microsoft Defender for Containers viene calcolato sul numero di core delle VMs che compongono il cluster AKS. Questo prezzo include anche 20 scansioni gratuite per vCore, ed il conteggio sarà basato sul consumo del mese precedente. Ogni scansione aggiuntiva ha un costo di addebito, ma la maggior parte dei clienti non dovrebbe sostenere alcun costo aggiuntivo per la scansione delle immagini.

Conclusioni

Le architetture basate su microservizi consentono di scalare facilmente e di sviluppare le applicazioni in modo più rapido e semplice, permettendo di promuovere l’innovazione e accelerare il time-to-market di nuove funzionalità. La presenza di una soluzione come Microsoft Defender for Containers è fondamentale per consentire un adeguato livello di protezione per quanto riguarda le minacce di sicurezza, sempre più evolute per attaccare queste tipologie di architetture applicative.

La sicurezza degli ambienti AWS con Microsoft Defender for Cloud

Microsoft Defender for Cloud, precedentemente noto come Azure Security Center ed Azure Defender, è una soluzione di Cloud Security Posture Management (CSPM) e per la protezione dei workload, in grado di individuare i punti di debolezza in ambito security nelle configurazioni cloud, rafforzare la security posture complessiva dell’ambiente e proteggere i carichi di lavoro in ambienti ibridi e multi-cloud. Per le realtà che stanno adottando una strategia multi-cloud e che necessitano di elevati standard di sicurezza per il proprio ambiente è importante sapere che Microsoft Defender for Cloud può contemplare anche risorse presenti in Amazon Web Services (AWS) e Google Cloud Platform (GCP). In questo articolo viene riportato come proteggere ambienti AWS utilizzando Microsoft Defender for Cloud.

I pilastri della sicurezza contemplati da Microsoft Defender for Cloud

Le funzionalità di Microsoft Defender for Cloud sono in grado di contemplare due grandi pilastri della sicurezza del cloud:

  • Cloud Security Posture Management (CSPM) in grado di fornire le seguenti funzionalità:
    • Visibilità: per valutare la situazione attuale in merito alla sicurezza.
    • Guida all’hardening: per poter migliorare la sicurezza in modo efficiente ed efficace

Grazie ad un assessment continuo Defender for Cloud è in grado di scoprire continuamente nuove risorse che vengono distribuite e valuta se sono configurate in base alle best practice di sicurezza. In caso contrario, le risorse vengono contrassegnate e si ottiene un elenco prioritario di consigli relativi a ciò che è opportuno correggere per migliorare la loro protezione. Questo elenco di raccomandazioni è preso e supportato da Azure Security Benchmark, il set di linee guida specifico per Azure creato da Microsoft, che contiene le best practice di sicurezza e di conformità basate su framework comuni, con particolare attenzione alla sicurezza incentrata sul cloud. Questo benchmark può contemplare i controlli del Center for Internet Security (CIS) e del National Institute of Standards and Technology (NIST).

Defender for Cloud assegna un punteggio globale all’ambiente ambiente, definito Secure Score, che permette di valutare il profilo di rischio (più alto è il punteggio, più basso è il livello di rischio identificato) e di agire per intraprendere delle azioni di remediation.

  • Cloud workload protection (CWP): Defender for Cloud eroga avvisi di sicurezza basati su Microsoft Threat Intelligence. Inoltre, include una ampia gamma di protezioni avanzate ed intelligenti per i workload, fornite tramite piani di Microsoft Defender specifici per le differenti tipologie di risorse presenti nelle subscription ed in ambienti ibridi e multi-cloud.

Defender for Cloud permette quindi di soddisfare le seguenti tre esigenze, ritenute fondamentali durante la gestione della sicurezza delle risorse e dei workload che risiedono nel cloud ed in locale:

Figura 1 – Esigenze di sicurezza contemplate da Microsoft Defender for Cloud

La protezione delle risorse AWS

Per proteggere con questa soluzione le risorse su altri cloud pubblici esiste ormai da tempo un meccanismo che prevede l’utilizzo di connettori di interfacciamento con gli account AWS e GCP. Il processo di onboarding del proprio account AWS era basata sull’integrazione della soluzione AWS Security Hub, come descritto nel dettaglio in questo articolo.

Ora è stato rilasciato un nuovo meccanismo nativo che, mediante un approccio agentless, consente di connettersi agli ambienti AWS. Questa nuova metodologia di interfacciamento sfrutta le API di AWS e non ha dipendenza da altre soluzioni, come AWS Security Hub. L’esperienza di onboarding è progettata per funzionare facilmente su larga scala, semplicemente collegando il proprio master account AWS, che permette di effettuare automaticamente l’onboarding degli account esistenti e futuri.

Figura 2 – Connessione di AWS a Microsoft Defender for Cloud

Questo meccanismo estende facilmente le funzionalità di sicurezza avanzate di Defender for Cloud alle proprie risorse AWS e comprende le seguenti aree.

Figura 3 – Piani di protezione disponibili

Cloud Security Posture Management (CSPM) per AWS

Le funzionalità CSPM di Defender for Cloud vengono estese alle proprie risorse AWS. Questo piano agentless valuta le risorse AWS in base alle raccomandazioni di sicurezza specifiche di AWS e queste vengono contemplate nel calcolo del security score globale. Per fornire una visione complessiva sullo stato di sicurezza dei propri ambienti multi-cloud, anche le raccomandazioni relative alla sicurezza di AWS sono integrate nel portale Defender for Cloud, insieme ai consigli di Azure. Sono stati implementate da Microsoft oltre 160 raccomandazioni pronte all’uso per i servizi IaaS e PaaS e tre standard normativi tra cui AWS CIS, AWS PCI DSS e AWS Foundational Security Best Practices. Tutto questo consente di rafforzare la propria security posture contemplando al meglio anche le risorse AWS. Inoltre, è possibile personalizzare i modelli esistenti oppure crearne dei nuovi che contengono le proprie raccomandazioni ed i propri standard per verificare la compliance dei requisiti interni.

Figura 4 – Raccomandazioni per AWS integrate in Defender for Cloud

Cloud workload protection (CWP) per AWS

Per AWS al momento è prevista la protezione avanzata per i seguenti workload:

  • Protezione dei server: Microsoft Defender for server offre il rilevamento delle minacce e la difese avanzate anche per le istanze EC2, sia per sistemi Windows sia per sistemi Linux. Questo piano include la licenza integrata per Microsoft Defender for Endpoint e diverse funzionalità, tra le quali: Security baselines e assessment a livello di SO, Vulnerability assessment, Adaptive Application Controls (AAC) e File Integrity Monitoring (FIM).
  • Protezione dei container: Microsoft Defender for Containers estende il rilevamento delle minacce per i container e le difese avanzate di Defender for Kubernetes ai cluster Amazon EKS (Elastic Kubernetes Service). Affinché Defender for Kubernetes sia in grado di proteggere i cluster AWS EKS, è necessaria la presenza di Azure Arc-enabled Kubernetes e dell’extension di Defender.

Figura 5 – Alert e raccomandazioni per i cluster EKS

NOTA: Per coloro che hanno hai già configurato un connettore AWS tramite i connector cloud classici, è consigliato connettere nuovamente l’account utilizzando il nuovo meccanismo.

Costo della soluzione

Se si decide di attivare questa integrazione valgono le seguenti indicazioni sui costi:

  • Il piano CSPM è gratuito. Per fornire le raccomandazioni il piano CSPM interroga le API delle risorse AWS più volte al giorno. Queste chiamate API di sola lettura non comportano alcun addebito, ma vengono registrate in CloudTrail nel caso in cui sia stato abilitato il trail per gli eventi di lettura. Come riportato nella documentazione AWS, questo non comporta costi aggiuntivi per il mantenimento. Occorre però fare attenzione ed eventualmente filtrare questi eventi se sono previsti delle esportazioni di dati (ad esempio per farli confluire in un SIEM esterno).
  • Il piano Defender for Containers verrà fatturato allo stesso prezzo del piano Defender for Kubernetes per le risorse di Azure.
  • Per ogni macchina AWS connessa ad Azure mediante Azure Arc, il piano Defender per server viene fatturato allo stesso prezzo del piano Microsoft Defender per server per le macchine Azure.

Conclusioni

Microsoft Defender for Cloud, originariamente sviluppato con la pretesa di essere lo strumento migliore per proteggere le risorse in ambiente Azure, estendere e perfeziona le proprie funzionalità per contemplare anche altri cloud pubblici. In particolare, grazie al nuovo meccanismo di integrazione con AWS è possibile adottare in modo nativo una soluzione di CSPM ed abilitare la protezione dalle minacce per i workload di elaborazione in Amazon Web Services (AWS). Questo consente di ottenere un elevato grado di sicurezza, di migliorare le security posture in ambienti multi-cloud e di semplificare la gestione degli strumenti utili per governare la sicurezza.

La protezione di ambienti multi-cloud con Azure Security Center

La tendenza delle aziende di adottare una strategia multi-cloud è sempre più diffusa, ma questo modello operativo rende particolarmente sfidante ottenere elevati standard di sicurezza per il proprio ambiente. Per rispondere a questa esigenza Microsoft ha ufficialmente reso disponibile il supporto per la sicurezza multi-cloud nella soluzione Azure Security Center, consentendo di contemplare anche le risorse di Amazon Web Services (AWS) e di Google Cloud Platform (GCP). In questo articolo vengono riportare le caratteristiche di questa soluzione che consente di ottenere un elevato grado di sicurezza e migliorare le security posture in ambienti multi-cloud.

Azure Security Center (ASC) è stato originariamente sviluppato con la pretesa di essere lo strumento migliore per proteggere le risorse in ambiente Azure. La necessità dei clienti di proteggere le risorse dislocate su più cloud pubblici è però molto diffusa e per questa ragione il team di prodotto ha deciso di ampliare le capacità di azione, semplificando così gli strumenti di gestione della sicurezza in ambienti multi-cloud. Azure Security Center è in grado di proteggere non solo le risorse in ambienti ibridi ma anche di contemplare architetture multi-cloud, includendo AWS e GCP.

Figura 1 – Multi-cloud e hybrid protection in Azure Security Center

Queste le funzionalità che vengono messe a disposizione degli utilizzatori per coprire scenari multi-cloud:

  • Connettendo i propri account AWS oppure GCP ad Azure Security Center è possibile ottenere una visione multi-cloud unificata per quanto riguarda le security posture del proprio ambiente. In particolare, se le soluzioni AWS Security Hub oppure GCP Security Command Center rilevano configurazioni non corrette, queste segnalazioni vengono contemplate nel modello Secure Score e nella valutazione sulle conformità rispetto a specifiche normative (Regulatory Compliance), presenti in Azure Security Center.
  • Grazie al fatto che Azure Defender for Servers sfrutta Azure Arc è possibile semplificare il processo di onboarding, ed abilitare la protezione delle macchine virtuali in esecuzione in ambienti AWS, GCP oppure in cloud ibridi. Il tutto include diverse funzionalità, tra le quali, il provisioning automatico degli agenti, la gestione delle policy, delle vulnerabilità e l’EDR (Endpoint Detection and Response) integrato. In particolare, per la funzionalità di vulnerability assessment è possibile effettuare scansioni manuali o su larga scala, ed analizzare le vulnerabilità rilevate, sui sistemi sottoposti a scansione, tramite un’esperienza unificata.

Queste funzionalità si completano con il supporto multi-cloud, anch’esso recentemente annunciato, di Azure Defender for SQL, che permette di monitora costantemente le implementazioni di SQL Server per rilevare minacce e vulnerabilità note. Queste funzionalità sono fruibili per SQL Server attivati in ambiente on-premises, su macchine virtuali in Azure ed anche in deployment multi-cloud, contemplando Amazon Web Services (AWS) e Google Cloud Platform (GCP).

La soluzione Azure Arc ricopre un ruolo fondamentale in tutto ciò e permette di estendere i servizi ed i principi di gestione di Azure a qualsiasi infrastruttura. Per ottenere questo risultato Microsoft ha deciso di estensione il modello Azure Resource Manager per poter supportare anche ambienti ibridi e multi-cloud, facilitando in questo modo l’implementazione delle funzionalità di security presenti in Azure su tutti i componenti dell’infrastruttura.

Figura 2 – Azure Arc per ambienti ibridi e multi-cloud

Il processo di onboarding e le capacità offerte variano a seconda del cloud pubblico che si intende inglobare in Azure Security Center. Nei paragrafi seguenti vengono riportate le caratteristiche sia per Amazon Web Services (AWS) che per Google Cloud Platform (GCP).

Amazon Web Services (AWS)

Il processo di onboarding del proprio account AWS effettua l’integrazione della soluzione AWS Security Hub con Azure Security Center. In questo modo è possibile ottenere una visibilità ed una protezione completa di questi ambienti cloud per fornire:

  • Provisioning automatico degli agenti. ASC utilizza Azure Arc per la distribuzione dell’agente di Log Analytics a bordo delle istanze AWS.
  • Gestione delle policy.
  • Gestione delle vulnerabilità.
  • EDR (Endpoint Detection and Response) integrato.
  • Rilevamento di errori di configurazione che impattano sulla sicurezza.
  • Una singola visualizzazione in grado di mostrare le raccomandazioni di ASC ed i rilevamenti di AWS Security Hub.
  • Uno score di ASC che contempla anche le risorse AWS.
  • Valutazioni relative alle conformità normativa anche per le risorse AWS.

Nel momento in cui la connessione con AWS Security Hub risulta configurata correttamente:

  • ASC esegue la scansione dell’ambiente AWS alla ricerca di istanze EC2, ne viene fatto l’onboarding in Azure Arc, consentendo l’installazione dell’agente di Log Analytics. In questo modo si ottiene la protezione dalle minacce e si ricevono i consigli sulla sicurezza.
  • Il servizio ASC esegue la scansione di nuove istanze AWS EC2 ogni 6 ore e le integra in base alla configurazione fatta.
  • Lo standard AWS CIS viene mostrato nella dashboard sulle conformità normative di ASC.
  • Se le policy di AWS Security Hub sono abilitate, le relative raccomandazioni verranno visualizzate nel portale di ASC e nella dashboard sulle conformità normative, dopo alcuni minuti dal completamento del processo di onboarding.

Figura 3 – Raccomandazioni di AWS visualizzate nel portale di ASC

Per visualizzare le raccomandazioni attive per le proprie risorse in base alla tipologia, è possibile utilizzare la pagina di asset inventory di Security Center ed applicare il filtro specifico per la tipologia di risorsa AWS che interessa:

Figura 4 – Filtri di visualizzazione per le risorse AWS

Google Cloud Platform (GCP)

Il meccanismo di onboarding del proprio account GCP permette di integrare GCP Security Command con Azure Security Center e di avere una visibilità ed una protezione completa, in particolare fornendo:

  • Rilevamento di errori di configurazione che impattano sulla sicurezza.
  • Una singola visualizzazione in grado di mostrare le raccomandazioni di ASC ed i rilevamenti di GCP Security Command Center.
  • Uno score di ASC che contempla anche le risorse GCP.
  • Integrazione dei consigli di GCP Security Command Center basati sullo standard CIS all’interno della dashboard di conformità delle normative di Azure Security Center.

Nel momento in cui la connessione con GCP Security Command risulta completata:

  • Lo standard GCP CIS viene mostrato nella dashboard delle conformità normative di ASC.
  • Le raccomandazioni sulla sicurezza per le risorse dislocate in GCP verranno visualizzate nel portale di Azure Security Center e nella dashboard delle conformità normative dopo alcuni minuti dal completamento dell’onboarding.

Figura 5 – Raccomandazioni di GCP visualizzate nel portale di ASC

L’onboarding delle macchine virtuali GCP è al momento manuale, ma si possono adottare script per farlo su larga scala.

Nella pagina delle raccomandazioni di Azure Security Center sarà possibile visualizzare tutte le raccomandazioni di security delle risorse Azure insieme a quelle di AWS e di GCP, ottenendo così una visualizzazione multi-cloud.

Conclusioni

La possibilità di adottare Azure Security Center come soluzione centralizzata di controllo, dove confluiscono le informazioni di sicurezza provenienti anche da altri cloud pubblici, unita alle possibilità date dall’integrazione con Azure Arc, per estendere la protezione dei propri sistemi, permette di ottenere un elevato grado di sicurezza e di migliorare le security posture in ambienti multi-cloud. L’adozione di strategie multi-cloud sarà sempre più diffusa e Microsoft continuerà ad espandere Azure Security Center per fornire le migliori soluzioni per proteggere Azure, ambienti ibridi e modelli operativi multi-cloud.