Sicurezza di Microsoft Azure

Il cloud ha ridefinito il modo in cui le aziende gestiscono la sicurezza, richiedendo una maggiore vigilanza e implementazioni di sicurezza multilivello, sia che si tratti di applicazioni nate nel cloud, sia che si tratti di migrare carichi di lavoro dall'on-premise.

In qualità di uno dei principali fornitori di servizi cloud, Microsoft Azure offre una pletora di servizi e strumenti per aiutarla a gestire queste nuove sfide. Tuttavia, la sicurezza nel cloud è una responsabilità condivisa. Sebbene alcuni fattori come la sicurezza fisica degli asset, OS (nel caso di servizi PaaS), o lo stack di applicazioni (nel caso di SaaS) vengano eliminati dal fornitore di servizi cloud, la sicurezza dei dati, degli endpoint e la gestione degli account e degli accessi rimangono responsabilità del cliente.

Scopri di più Azure Security Blueprint

What is Azure Security?

Piattaforma Azure

La piattaforma Azure offre una serie di servizi che possono essere ampiamente classificati nei modelli di fornitura Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS) e Software-as-a-service(SaaS). Supporta diversi sistemi operativi, stack di applicazioni, le piattaforme DB più diffuse e le soluzioni di container-hosting. Indipendentemente dal fatto che la sua applicazione sia costruita con .NET, PHP, Python, Node.JS, Java, MySQL, SQL, MariaDB, Docker, Kubernetes,può trovare una casa in Azure.

 

Con la migrazione delle applicazioni dai data center completamente gestiti da lei ad Azure, dipenderà molto dalla piattaforma per proteggere questi carichi di lavoro. Il modello di responsabilità condivisa per la sicurezza diventa quindi molto importante per la demarcazione dei ruoli e delle responsabilità.

 

Microsoft è proprietaria dell'infrastruttura fisica della piattaforma Azure e ne gestisce la sicurezza, coprendo diversi aspetti come il data center fisico, il controllo degli accessi, la formazione obbligatoria alla sicurezza per il personale, i controlli di base, ecc. Ma nel momento in cui distribuisce i carichi di lavoro sulla piattaforma Azure, è necessario prendere in considerazione una divisione delle responsabilità tra lei e il suo fornitore, come riassunto di seguito:

 

Come illustrato nell'immagine qui sopra, alcune responsabilità di sicurezza, tra cui il data center fisico, la rete e l'host, sono affidate ai fornitori di cloud. Ma, a seconda che utilizzi un modello IaaS, PaaS o SaaS, deve affrontare lo stack di applicazioni OS e i requisiti di sicurezza aggiuntivi del livello di rete.

Panoramica sulla sicurezza di Microsoft Azure

I requisiti di sicurezza di ogni organizzazione sono unici e necessitano di ampie personalizzazioni per garantire la sicurezza di ogni specifico carico di lavoro. I vettori di minaccia avanzati nel cloud richiedono un approccio di sicurezza zero-trust, in cui nulla è attendibile per impostazione predefinita e tutto viene verificato. Questo approccio proattivo a Cloud Security aiuta a ridurre la superficie di attacco e a limitare i danni in caso di attacco.

 

La sicurezza deve essere implementata ad ogni livello dello stack applicativo, a partire da calcolo, storage e rete, fino ai controlli specifici dell'applicazione e alla gestione di identità e accesso. Anche la visibilità sullo stato della sicurezza del suo ambiente è importante, in quanto qualsiasi attività dannosa deve essere rilevata in tempo reale per una protezione ottimale.

 

Azure consente la sicurezza del carico di lavoro attraverso molteplici strumenti e servizi configurabili che può sfruttare per soddisfare le diverse esigenze di sicurezza e migliorare la sua postura Cloud Security. Può anche utilizzare le soluzioni di sicurezza dei partner, laddove possibile, per rafforzare ulteriormente questa posizione.

Azure Security Center

Security Center è la soluzione centralizzata di Azure per la gestione della sicurezza, che la aiuta ad adattare i controlli di sicurezza a un panorama di minacce in continua evoluzione e a proteggere proattivamente la sua organizzazione da diversi tipi di attacchi. I servizi Azure vengono automaticamente inseriti nel Security Center e monitorati rispetto alle linee di base di sicurezza definite. Per monitorare lo stato del suo abbonamento Azure e delle risorse incluse, si possono utilizzare sia le politiche predefinite che quelle personalizzate. Sulla base della valutazione continua dei suoi ambienti Azure, il Security Center fornisce raccomandazioni attuabili che possono essere utilizzate per affrontare in modo proattivo i gap di sicurezza.

 

Azure Security Center offre anche una protezione completa dalle minacce e utilizza l'analisi della cyber kill chain per offrire una visibilità end-to-end del vettore di attacco. Può inoltre utilizzare Microsoft Defender per endpoint per proteggere i suoi server Azure. Offre sensori avanzati di rilevamento delle violazioni che si adattano rapidamente alle minacce in evoluzione grazie alla potenza dei big data e dell'analisi e fornisce un threat intelligence superiore per proteggere i carichi di lavoro.

 

Inoltre, la funzionalità di onboarding automatizzato per i server Windows e la visibilità a pannello singolo semplificano la vita dei team di Cloud Security, riducendo le spese operative. Azure Security Center si integra con soluzioni come Azure Policy, Azure Monitor Logs e Azure cloud App Security per una sicurezza approfondita.

Cloud Security Posture Management (CSPM)

Le minacce nel cloud non sono le stesse di quelle on-premise. Il cloud ha bisogno di soluzioni "born-in-the-cloud" per garantire l'igiene della sicurezza e l'implementazione delle migliori pratiche di sicurezza. Il Cloud Security Posture Management di Azure la aiuta in questo senso, permettendole di gestire in modo proattivo i suoi carichi di lavoro di sicurezza in Azure.

 

L'opzione "punteggio sicuro" nel Centro sicurezza aiuta a quantificare la postura di sicurezza dei suoi ambienti, utilizzando molteplici controlli di sicurezza precostituiti rispetto ai quali gli ambienti vengono valutati. Se uno di questi controlli non è stato implementato o se ci sono configurazioni errate, il Security Center offre raccomandazioni prescrittive per migliorare il suo punteggio. Nel frattempo, il punteggio di Conformità normativa valuta i carichi di lavoro rispetto a standard come PCI DSS, HIPAA, CIS di Azure e NIST, aiutandola a fare il punto sul suo stato di Conformità ufficiale.

 

Il Security Center consente il CSPM fornendo una visione a volo d'uccello delle vulnerabilità e generando avvisi su potenziali attacchi. Ogni avviso è contrassegnato da un livello di gravità, in modo da poter dare priorità alle attività di mitigazione. Insieme ai carichi di lavoro cloud-native, ai servizi IoT e ai servizi dati, Security Center può proteggere dalle minacce le macchine Windows e Linux in tutti gli ambienti, riducendo così la superficie di attacco.

Sicurezza delle Applicazioni Web

Con la proliferazione delle applicazioni nel cloud, è diventato sempre più difficile monitorare tutte le sue applicazioni e garantire transazioni di dati sicure. Azure aiuta a risolvere questo problema attraverso una soluzione di broker Cloud Security chiamata Microsoft Cloud App Security.

 

Questo strumento protegge dall'IT ombra aiutandola a rilevare i servizi cloud utilizzati dalla sua organizzazione e a identificare i rischi ad essi associati. Le policy integrate nel servizio le consentono di automatizzare l'implementazione dei controlli di sicurezza per le applicazioni nel cloud; inoltre, può sanzionare o annullare le applicazioni attraverso la funzionalità del catalogo di applicazioni nel cloud, che copre più di 16.000 applicazioni e le classifica in base a 80+ fattori di rischio, in modo da poter prendere una decisione informata sul tipo di applicazioni che desidera consentire nella sua organizzazione.

 

cloud App Security fornisce inoltre visibilità sulle sue applicazioni e sul loro stato di sicurezza e controlla il modo in cui i dati viaggiano tra di esse. Può anche rilevare comportamenti insoliti per identificare le applicazioni compromesse e attivare la riparazione automatica per ridurre il rischio. Può valutare ulteriormente la sua applicazione per la Conformità normativa e limitare il movimento dei dati verso le applicazioni non conformi; inoltre, protegge i dati regolamentati nelle sue applicazioni anche da accessi non autorizzati.

 

L'integrazione nativa con altre soluzioni di sicurezza Microsoft offre un'impareggiabile threat intelligence e analisi approfondite per difendere la sua applicazione da diversi tipi di attacchi nel cloud.

Container Security

Azure Security Center offre un baselining di sicurezza e una valutazione degli ambienti di hosting di container come AKS, nonché delle macchine virtuali che eseguono Docker, per identificare potenziali configurazioni errate e falle nella sicurezza. L'hardening degli ambienti Docker è abilitato dal monitoraggio rispetto ai benchmark CIS, con raccomandazioni consolidate nel Security Center. Allo stesso modo, il monitoraggio e il rilevamento avanzato delle minacce sono disponibili per i nodi e i cluster AKS. Può anche attivare il componente aggiuntivo delle policy di Azure per i cluster Kubernetes, per monitorare le richieste di server API Kubernetes rispetto alle best practice definite, prima di servirle.

 

Nel frattempo, Azure Defender protegge i nodi e i cluster AKS dalle vulnerabilità e dalle infiltrazioni in fase di esecuzione, rilevando attività sospette come il rilevamento di shell web, le richieste di connessione da IP sospetti, il provisioning di container privilegiati, ecc. Azure Defender include anche un'integrazione Qualys per scansionare le immagini estratte o inviate ad Azure Container Registry. Tutti i risultati vengono classificati e visualizzati nel Centro di sicurezza, consentendo di distinguere tra immagini sane e non sane.

Gruppi di sicurezza della rete (NSG)

Gli NSG agiscono come prima linea di difesa della rete per i carichi di lavoro collegati alle VNet di Azure. Filtra il traffico in entrata e in uscita attraverso cinque regole di tuple che utilizzano l'origine, la porta di origine, la destinazione, la porta di destinazione e il protocollo. Questi gruppi possono essere associati alle sottoreti o alle schede NIC della macchina virtuale e sono dotati di alcune regole predefinite per consentire la comunicazione interrete e l'accesso a Internet. I Gruppi di sicurezza di rete le consentono inoltre di ottenere un controllo a grana fine sul traffico est-ovest e nord-sud e la aiutano a segregare la comunicazione tra i componenti dell'applicazione.

Rete virtuale Azure

Azure VNet è l'elemento di base del networking in Azure e aiuta nella micro-segmentazione dei carichi di lavoro, consentendo la comunicazione sicura dei carichi di lavoro connessi con altre risorse Azure, risorse on-premises e Internet. Le risorse di una Azure VNet non possono comunicare con le risorse di un'altra VNet per impostazione predefinita, a meno che non siano collegate esplicitamente attraverso opzioni come Peering, VPN, Private Link, ecc. Un altro livello di sicurezza può essere aggiunto abilitando gli NSG nelle sottoreti all'interno della VNet. Inoltre, può utilizzare il traffic shaping all'interno della VNet creando tabelle di percorso personalizzate, ad esempio se desidera che tutto il traffico venga instradato attraverso un dispositivo virtuale di rete per l'ispezione dei pacchetti.

VPN e applicazione gateway

Azure VPN le consente di connettersi in modo sicuro alle risorse di Azure dalla rete di data center on-premises attraverso la connessione site-to-site o da singole macchine utilizzando la connessione point-to-site. Il traffico verso Azure passa su Internet, ma attraverso un tunnel sicuro e crittografato che utilizza SSTP, OpenVPN o IPSec. Mentre la connessione VPN funziona bene negli scenari di filiale, per una connettività assicurata e supportata dagli SLA di Azure, i clienti possono optare per ExpressRoute, che è una connessione dedicata dal suo data center on-premises ad Azure cloud.

 

Azure applicazione gateway è un bilanciatore di carico che opera a livello di applicazione (OSI Layer 7) e reindirizza il traffico alle risorse del pool backend in base agli attributi HTTP. Dispone di un Web Application Firewall (WAF) che aiuta a proteggere la sua applicazione dagli attacchi più comuni, come gli attacchi SQL injection, il cross-site scripting, la suddivisione delle richieste HTTP, l'inclusione remota di file, ecc. Viene fornito con una serie di regole di sicurezza predefinite, ma offre anche la flessibilità di definire le proprie regole. Il servizio si basa su OWASP ModSecurity Core Rule Set ed è in grado di aggiornarsi automaticamente per proteggere la sua applicazione da vulnerabilità nuove e in evoluzione.

Gestione dell'identità e dell'accesso (IAM)

In un mondo guidato dal cloud, l'identità è emersa come il nuovo perimetro di sicurezza. Azure offre un controllo degli accessi basato sui ruoli (RBAC) abilitato da Azure Active Directory (AD) per controllare l'accesso alle applicazioni ospitate. Si raccomanda di seguire il principio del minimo privilegio (PoLP), in modo che agli utenti sia concesso solo l'accesso minimo necessario per il loro lavoro. Questa autorizzazione è decisa dal ruolo assegnato all'utente, che può essere uno dei ruoli integrati o un ruolo personalizzato definito dall'amministratore.

 

Può rafforzare ulteriormente l'IAM attraverso opzioni come l'accesso Just-in-time (JIT) per le macchine virtuali, la firma di accesso condivisa per lo storage, l'autenticazione a più fattori, ecc. È anche importante registrare e tracciare l'attività degli utenti attraverso i registri di audit di Azure AD e i registri di attività di Azure per identificare le identità compromesse e gli utenti disonesti.

Migliorare la sicurezza di Azure

Sebbene gli strumenti e i servizi nativi forniscano spesso un buon punto di partenza, sono necessari anche strumenti con funzionalità avanzate per proteggere la sua applicazione dall'evoluzione degli attori delle minacce nel cloud. Le seguenti funzionalità aggiuntive sono essenziali per garantire un sito Cloud Securitycompleto:

 

  • Visibilità: Il rilevamento delle intrusioni nel cloud in tempo reale, la visualizzazione del traffico di rete e l'analisi dell'attività degli utenti, che forniscono informazioni contestuali, aiuteranno a identificare e mitigare le anomalie in modo proattivo.
  • Automazione: L'integrazione dell'automazione nelle operazioni di Cloud Security fin dal primo giorno, attraverso opzioni come i modelli predefiniti e le politiche di sicurezza autoadattive, aiuterà a evitare errori umani e configurazioni errate.
  • Conformità e governance: I rapporti di sicurezza personalizzati per mostrare la Conformità e la governance rispetto agli standard di settore semplificheranno il processo di reporting e di audit.
  • Ridurre al minimo le configurazioni errate: La valutazione continua delle configurazioni del suo ambiente rispetto agli standard di sicurezza definiti e l'automazione dei flussi di lavoro e delle implementazioni delle policy contribuiranno a minimizzare le configurazioni errate.
  • Intelligenza e analisi predittiva: La caccia alle minacce e l'analisi predittiva alimentata dall'IA possono aiutare a rilevare più rapidamente le anomalie e a generare avvisi in tempo reale sulle attività dannose.
  • Protezione dei carichi di lavoro e dello storage (per Container e Serverless): Estenda le sue capacità di sicurezza ai container e ai serverless per proteggere i carichi di lavoro moderni, basati su microservizi.

 

CloudGuard può aiutarla con tutto questo, in quanto viene fornito con queste caratteristiche già preconfigurate. Si integra perfettamente con i suoi strumenti nativi di Azure e aumenta la sicurezza dei suoi dati e dei carichi di lavoro ospitati in Azure.

 

Per saperne di più su come CloudGuard può aiutarla a raggiungere i suoi obiettiviCloud Security oggi stesso.

×
  Feedback
Questo sito Web utilizza i cookie per motivi funzionali e a scopo di analisi e marketing. Continuando a utilizzare il sito Web, accetti implicitamente l'uso dei cookie. Per ulteriori informazioni, si prega di leggere la nostra Informativa sui cookie.
OK