Descrivere Microsoft Defender per il cloud

  • 6 minuti

Defender per il cloud è uno strumento per la gestione della postura di sicurezza e per la protezione dalle minacce. Monitora gli ambienti cloud, locali, ibridi e multi-cloud per fornire indicazioni e notifiche destinate a rafforzare la postura di sicurezza.

Defender per il cloud fornisce gli strumenti necessari per la protezione avanzata delle risorse, per tenere traccia del comportamento di sicurezza, per proteggersi dagli attacchi informatici e per semplificare la gestione della sicurezza. La distribuzione di Defender per il cloud è semplice, perché il servizio è integrato in modo nativo in Azure.

Protezione ovunque

Poiché Defender per il cloud è un servizio nativo di Azure, molti servizi di Azure vengono monitorati e protetti senza bisogno di alcuna distribuzione. Tuttavia, se si ha anche un data center locale o si opera anche in un altro ambiente cloud, il monitoraggio dei servizi di Azure potrebbe non fornire un quadro completo della situazione di sicurezza.

Se necessario, Defender per il cloud può distribuire automaticamente un agente di Log Analytics per raccogliere dati correlati alla sicurezza. Per i computer di Azure, la distribuzione viene gestita direttamente. Per gli ambienti ibridi e multi-cloud, i piani di Microsoft Defender vengono estesi a computer non di Azure con il supporto di Azure Arc. Le funzionalità CSPM (Cloud Security Posture Management) vengono estese ai computer multi-cloud senza la necessità di alcun agente.

Protezioni native di Azure

Defender per il cloud consente di rilevare le minacce in:

  • Servizi PaaS di Azure: vengono rilevate le minacce contro i servizi di Azure, tra cui Servizio app di Azure, Azure SQL, account di archiviazione di Azure e altri servizi dati. È anche possibile eseguire il rilevamento anomalie nei log attività di Azure usando l'integrazione nativa con Microsoft Defender for Cloud Apps (in precedenza Microsoft Cloud App Security).
  • Servizi dati di Azure: Defender per il cloud include funzionalità che consentono di classificare automaticamente i dati in Azure SQL. È anche possibile ottenere valutazioni per le potenziali vulnerabilità nei servizi di archiviazione e SQL di Azure e raccomandazioni su come attenuarle.
  • Reti: Defender per il cloud consente di limitare l’esposizione agli attacchi di forza bruta. Riducendo l'accesso alle porte delle macchine virtuali, tramite l'accesso alle macchine virtuali JIT, è possibile rafforzare la protezione della rete impedendo accessi non necessari. È possibile impostare policy di accesso sicure su porte selezionate, per i soli utenti autorizzati, intervalli di indirizzi IP di origine o singoli indirizzi IP e per un periodo di tempo limitato.

Proteggere le risorse ibride

Oltre all'ambiente di Azure, è possibile proteggere i server non di Azure aggiungendo le funzionalità di Defender per il cloud all'ambiente cloud ibrido. Si ottengono funzionalità personalizzate di intelligence sulle minacce e avvisi classificati in ordine di priorità in base all'ambiente specifico, per cui è possibile dedicarsi a questioni più importanti.

Per estendere la protezione ai computer locali, distribuire Azure Arc e abilitare le funzionalità di sicurezza avanzate di Defender per il cloud.

Proteggere le risorse in esecuzione in altri cloud

Defender per il cloud può proteggere anche le risorse in altri cloud, ad esempio AWS e GCP.

Se ad esempio è stato connesso un account AWS (Amazon Web Services) a una sottoscrizione di Azure, è possibile abilitare una di queste protezioni:

  • Le funzionalità CSPM di Defender per il cloud si estendono alle risorse AWS. Questo piano senza agente valuta le risorse AWS in base alle raccomandazioni di sicurezza specifiche di AWS e include i risultati nel punteggio di sicurezza. Verrà anche valutata la conformità delle risorse a standard predefiniti specifici di AWS (AWS CIS, AWS PCI DSS e AWS Foundational Security Best Practices). La pagina di inventario degli asset di Defender per il cloud è una funzionalità abilitata per il cloud che consente di gestire le risorse AWS oltre a quelle di Azure.
  • Microsoft Defender per contenitori estende il rilevamento delle minacce dei contenitori e le difese avanzate ai cluster Linux Amazon EKS.
  • Microsoft Defender per server estende il rilevamento delle minacce e le difese avanzate alle istanze EC2 Windows e Linux.

Valutare, proteggere e difendere

Defender per il cloud soddisfa tre esigenze fondamentali man mano che si gestisce la sicurezza delle risorse e dei carichi di lavoro nel cloud e in locale:

  • Valutare continuamente: conoscere la postura di sicurezza. Identificare e tenere traccia delle vulnerabilità.
  • Proteggere: rafforzare la sicurezza di risorse e servizi con Azure Security Benchmark.
  • Difendere: rilevare e risolvere le minacce a risorse, carichi di lavoro e servizi.

Diagram reinforcing assess, secure, and defend.

Valutare continuamente

Defender per il cloud consente di valutare continuamente l'ambiente. Defender per il cloud include soluzioni di valutazione delle vulnerabilità per le macchine virtuali, i registri contenitori e i server SQL.

Microsoft Defender per server include l'integrazione nativa e automatica con Microsoft Defender per endpoint. Con questa integrazione abilitata, sarà possibile accedere ai risultati dell'analisi di vulnerabilità della funzionalità Microsoft di gestione di minacce e vulnerabilità.

Con questi strumenti di valutazione si avranno analisi regolari e dettagliate delle vulnerabilità che riguardano le risorse di calcolo, i dati e l'infrastruttura. È possibile esaminare i risultati di queste analisi e rispondere all'interno di Defender per il cloud.

Protezione

Dai metodi di autenticazione al controllo di accesso al concetto di Zero Trust, la sicurezza nel cloud è un concetto di base essenziale che deve essere approcciato correttamente. Per garantire sicurezza nel cloud, è necessario fare in modo che i carichi di lavoro siano protetti. Per proteggere i carichi di lavoro, sono necessari criteri di sicurezza personalizzati in base all'ambiente e alla situazione. Dal momento che i criteri in Defender per il cloud sono basati su controlli di Criteri di Azure, è possibile usufruire dell'intera gamma e della flessibilità di una soluzione di qualità elevata per la gestione dei criteri. In Defender per il cloud è possibile impostare i propri criteri da eseguire su gruppi di gestione, sottoscrizioni e anche su un intero tenant.

Uno dei vantaggi del passaggio al cloud è la possibilità di usufruire di scalabilità in base alle esigenze, aggiungendo nuovi servizi e risorse se necessario. Defender per il cloud monitora costantemente le nuove risorse distribuite tra i carichi di lavoro. Defender per il cloud valuta se le nuove risorse vengono configurate in base alle procedure consigliate per la sicurezza. In caso contrario, le risorse vengono contrassegnate e si riceve un elenco di consigli con ordine di priorità relativi agli aspetti da correggere. I consigli aiutano a ridurre la superficie di attacco in ognuna delle risorse.

L'elenco delle raccomandazioni è abilitato e supportato da Azure Security Benchmark. Questo benchmark creato da Microsoft e specifico di Azure fornisce una serie di linee guida per le procedure consigliate da seguire per la sicurezza e la conformità basate su framework di conformità comuni.

In questo modo, Defender per il cloud consente non solo di impostare criteri di sicurezza, ma anche di applicare gli standard di una configurazione protetta in tutte le risorse.

Per consentire agli utenti di comprendere l'importanza delle singole raccomandazioni ai fini del comportamento di sicurezza complessivo, Defender per il cloud raggruppa le raccomandazioni in controlli di sicurezza e aggiunge a ogni controllo un valore che indica il punteggio di sicurezza. Il punteggio di sicurezza offre un indicatore immediato dell'efficacia della postura di sicurezza, mentre i controlli forniscono un elenco operativo di misure da considerare per migliorare il punteggio e la postura di sicurezza in generale.

Screenshot showing the Microsoft Defender for Cloud secure score.

Difendere

Le prime due aree sono incentrate sulla valutazione, sul monitoraggio e sulla gestione dell'ambiente. Defender per il cloud consente inoltre di difendere l'ambiente fornendo avvisi di sicurezza e funzionalità avanzate di protezione dalle minacce.

Avvisi di sicurezza

Quando Defender per il cloud rileva una minaccia in qualsiasi area dell'ambiente, genera un avviso di sicurezza. Avvisi di sicurezza:

  • Descrivono in dettaglio le risorse interessate
  • Suggeriscono i passaggi per la correzione
  • Forniscono, in alcuni casi, un'opzione per attivare un'app per la logica in risposta

È possibile esportare un avviso indipendentemente dal fatto che venga generato da Defender per il cloud o ricevuto in Defender per il cloud da un prodotto di sicurezza integrato. La protezione dalle minacce di Defender per il cloud include un'analisi unificata della catena di attacco che genera automaticamente avvisi nell'ambiente per comprendere meglio la storia completa di una campagna di attacco, da dove è iniziata e che tipo di impatto ha avuto sulle risorse.

Protezione avanzata dalle minacce

Defender per il cloud offre funzionalità avanzate di protezione dalle minacce per molte risorse distribuite, tra cui macchine virtuali, database SQL, contenitori, applicazioni Web e rete. Le funzionalità includono la protezione delle porte di gestione delle macchine virtuali con accesso JIT e controlli applicazioni adattivi per creare elenchi di elementi consentiti per le app che possono e non possono essere eseguite nelle macchine virtuali.