Defender CSPM (Cloud Security Posture Management) è una soluzione di sicurezza offerta da Microsoft come piano a pagamento attraverso Defender for Cloud, progettata per aiutare le aziende a monitorare e migliorare la postura di sicurezza dei loro ambienti cloud. Questo strumento fornisce visibilità continua, valutazioni del rischio e raccomandazioni per mitigare le vulnerabilità, garantendo la conformità con le best practice e gli standard di sicurezza. Consente di identificare e correggere configurazioni errate, ridurre i rischi di esposizione e rafforzare la sicurezza delle infrastrutture in ambienti multicloud e ibridi. In questo articolo, approfondiremo il ruolo di Defender CSPM nella difesa degli ambienti “nelle nuvole” e le funzionalità che mette a disposizione per proteggerli al meglio.
Man mano che il numero di organizzazioni che si avvicinano al cloud aumenta, anche i rischi di sicurezza, intenzionali o accidentali, continuano a crescere.
Le violazioni dei dati più gravi si verificano a causa di errori umani, mentre configurazioni sbagliate sono tra le principali cause di danni finanziari e reputazionali per aziende ed enti governativi.
Sebbene possano sembrare semplici da evitare, rappresentano il rischio più significativo per gli ambienti cloud.
Dal 65 al 70 percento di tutte le sfide di sicurezza nel cloud derivano da configurazioni errate. L’ambiente cloud è composto da una moltitudine di impostazioni, policy, asset e servizi e risorse interconnessi, rendendolo complesso.
Con l’aumento delle vulnerabilità, l’impatto catastrofico delle violazioni nel cloud ha reso evidente che l’adozione di pratiche di sicurezza adeguate è di fondamentale importanza per la gestione degli ambienti multi-cloud odierni.
La domanda, quindi, è: come identificare le risorse cloud mal configurate che vengono esposte a hacker malintenzionati o attacchi informatici? Microsoft potrebbe avere la risposta a questa domanda ed è Microsoft Defender CSPM, un piano a pagamento aggiuntivo offerto attraverso Defender for Cloud.
Esaminiamo più da vicino le funzionalità di Defender CSPM e come può aiutare a gestire le sfide della sicurezza nel cloud, migliorare l’efficienza della protezione e offrire visibilità per ridurre i rischi evidenziati.
La sicurezza nel cloud presenta sfide diverse rispetto ai rischi dei precedenti modelli di elaborazione. Prima di tutto, l'infrastruttura cloud è necessariamente connessa a Internet. Poiché consente il trasferimento quasi istantaneo di qualsiasi tipo di dato, Internet espone tutto ciò che vi è collegato a un vasto numero di minacce.
Inoltre, la connessione a Internet aumenta il rischio di esposizione dei dati: chiunque nel mondo può visualizzare e potenzialmente rubare i dati esposti, a differenza di quando i dati sono conservati in reti private.
In secondo luogo, l'infrastruttura cloud è spesso altamente complessa, combinando diversi tipi di servizi cloud, come avviene in un ambiente multi-cloud. Man mano che le esigenze aziendali cambiano vengono aggiunti, espansi o rimossi vari servizi di calcolo, archiviazione e software.
Tutto ciò avviene in data center remoti, rendendo difficile mantenere visibilità e controllo, soddisfare i requisiti di conformità e identificare ed eliminare i rischi.
Infine, mentre alcuni aspetti di un servizio cloud possono essere gestiti dal provider, le configurazioni di sicurezza di solito non lo sono. Questo obbliga le organizzazioni a implementare misure di sicurezza per un'infrastruttura che non gestiscono direttamente.
Gli errori di configurazione nel cloud si verificano quando gli standard di sicurezza o il framework di un'infrastruttura cloud non seguono una policy di configurazione e linee guida di sicurezza, mettendo direttamente a rischio la protezione delle risorse cloud.
Questi rischi si manifestano sotto forma di violazioni della sicurezza, attacchi hacker, ransomware, malware o minacce interne che sfruttano le vulnerabilità per accedere ai sistemi cloud.
Uno scenario piuttosto terrificante, ma in cui un CSPM (Cloud Security Posture Management) può darci una mano.
Ma che cos’è esattamente?
Si tratta di una soluzione che aiuta a identificare, prevenire e correggere configurazioni errate e vulnerabilità di sicurezza negli ambienti cloud per ridurre i rischi di violazioni e migliorare la conformità. Il CSPM fornisce visibilità sugli ambienti cloud, consentendo di rilevare rapidamente errori di configurazione e correggerli automaticamente.
Un CSPM gestisce molteplici aspetti della sicurezza cloud, tra cui i più importanti sono:
La protezione dei carichi di lavoro nel cloud inizia con l'adozione di politiche di sicurezza personalizzate per l'organizzazione, supportate da una piattaforma CSPM appositamente progettata, che monitori continuamente e scopra le risorse distribuite nei carichi di lavoro nel cloud, valutandole per verificare se soddisfano le migliori pratiche di sicurezza e gli standard, come CIS e NIST.
Il CSPM identifica e corregge i rischi automatizzando la visibilità, il monitoraggio, il rilevamento delle minacce e i flussi di correzione per cercare errori di configurazione in diversi ambienti cloud, tra cui:
Un CSPM è generalmente automatizzato. Invece di richiedere ai team di sicurezza di controllare manualmente i propri cloud per individuare i rischi di sicurezza, funziona in background, analizzando il cloud per i rischi di conformità e le vulnerabilità di configurazione.
La maggior parte degli strumenti CSPM è in grado di eseguire la scansione di ambienti multi-cloud, fornendo una visione combinata dello stato di sicurezza su tutti i servizi cloud. Questa capacità è cruciale poiché molte organizzazioni utilizzano più di un servizio cloud, il che aumenta il rischio di configurazioni errate e può essere più difficile da gestire manualmente.
Infine, le soluzioni CSPM moderne si integrano anche perfettamente con i processi DevOps, garantendo che la sicurezza sia incorporata in tutto il ciclo di vita dello sviluppo del software. Questa integrazione aiuta a individuare e affrontare i problemi di sicurezza precocemente, riducendo la probabilità che le vulnerabilità vengano introdotte negli ambienti di produzione.
Abbiamo creato il team Infra&Security, verticale sul cloud Azure, per rispondere alle esigenze dei clienti che ci coinvolgono nelle decisioni tecniche e strategiche. Oltre a configurare e gestire il loro tenant, ci occupiamo di:
Con Dev4Side, hai un partner affidabile in grado di supportarti sull'intero ecosistema applicativo di Microsoft.
Microsoft Defender CSPM (Cloud Security Posture Management) è una soluzione integrata all’interno di Defender for Cloud che aiuta a proteggere le infrastrutture cloud monitorando continuamente la configurazione delle risorse, rilevando vulnerabilità e automatizzando la correzione degli errori per garantire la conformità alle migliori pratiche di sicurezza.
Il CSPM fornisce una visibilità dettagliata sullo stato di sicurezza delle risorse e dei carichi di lavoro, offrendo linee guida per il rafforzamento della sicurezza per aiutare a migliorare in modo efficiente ed efficace la propria postura di sicurezza.
Defender for Cloud valuta continuamente le proprie risorse rispetto agli standard di sicurezza definiti per le proprie sottoscrizioni Azure, account AWS e progetti GCP. Defender for Cloud fornisce raccomandazioni di sicurezza basate su queste valutazioni.
Di default, quando si abilita Defender for Cloud su una sottoscrizione Azure, lo standard di conformità Microsoft Cloud Security Benchmark (MCSB) è attivato. Esso fornisce raccomandazioni e Defender for Cloud fornisce un punteggio di sicurezza aggregato basato su alcune delle raccomandazioni MCSB.
Più alto è il punteggio, più basso è il livello di rischio identificato.
Defender for Cloud offre due opzioni per le sue funzionalità CSPM: il piano gratuito (definito da Microsoft con il nome Foundational CSPM), integrato all’interno dell’offerta base del servizio e Microsoft Defender CSPM, piano a pagamento aggiuntivo di cui parleremo nella prossima sezione.
Per quanto riguarda il piano gratuito, le sue funzionalità sono automaticamente abilitate su qualsiasi subscription o account che abbia effettuato l’onboarding a Defender for Cloud e includono:
Le funzionalità gratuite di Defender for Cloud non ci bastano?
Qualora lo si ritenga necessario, è possibile ampliare il suo set di funzionalità attivando il piano Defender CSPM.
Il piano Defender CSPM offre funzionalità avanzate di gestione della security posture, tra le principali troviamo:
In questa tabella, vediamo nel dettaglio la differenza tra le feature “foundational” e quelle offerte da Defender CSPM:
Ora che abbiamo una visione più chiara delle funzionalità offerte nel piano a pagamento è il momento di vedere un po’ più da vicino come abilitarle e configurarle con un piccolo esempio pratico.
Per prima cosa, il piano Defender CSPM deve essere abilitato sulla sottoscrizione Azure. Per attivarlo, è necessario disporre almeno del ruolo di Security Admin (un ruolo di Azure predefinito).
Una volta verificato che il prerequisito sopra sia rispettato, accediamo al portale Azure e andiamo alla sezione Microsoft Defender for Cloud. Dal menu, accediamo alla pagina Environment Settings.
Selezioniamo la sottoscrizione sulla quale desideriamo abilitare Defender CSPM e nella pagina Defender plans, selezioniamo Defender CSPM e impostiamo lo stato su ON.
Facciamo clic su Save per salvare le modifiche.
Una volta attivato, Defender CSPM e pronto per valutare il nostro ambiente multi-cloud e fornirà raccomandazioni per rafforzare la sicurezza delle risorse e migliorare la postura di sicurezza.
I più inesperti in tema di sicurezza cloud potrebbero incontrare difficoltà nell'implementare le raccomandazioni e risolvere le problematiche individuate, ma come abbiamo visto Defender CSPM offre regole di governance per assegnare problemi ad alta priorità ai responsabili della sicurezza cloud, con tempistiche di risoluzione definite.
Per creare delle regole di governance, ci basterà accedere alla sezione Microsoft Defender for Cloud dal portale Azure, come nell’esempio precedente. Dopodiché, dal menu di Defender for Cloud, andiamo su Environment Settings e selezioniamo la sottoscrizione interessata.
Nelle impostazioni, selezioniamo Governance Rules.
Facciamo clic su +Create governance rule e compiliamo i dettagli:
Clicchiamo su Next per procedere alla pagina successiva.
Nella sezione Conditions, impostiamo:
Abilitiamo la notifica settimanale per i responsabili sulla gestione delle attività aperte o in scadenza e facciamo clic su Save. Un'email settimanale verrà inviata al team di sicurezza cloud e ai loro manager con tutte le raccomandazioni assegnate in base alle regole di governance configurate.
La sicurezza dei propri ambienti cloud deve essere considerata di primaria importanza se la propria infrastruttura digitale è stata trasferita “nelle nuvole” e con l’aumento delle minacce informatiche nulla deve essere lasciato al caso, nemmeno la possibilità di un errore di configurazione da parte nostra.
È importante dunque avere strumenti che assistano gli esperti di cybersecurity nelle loro operazioni e gli forniscano il controllo e i feedback di cui necessitano per poter mantenere al sicuro i nostri ambienti informatici e prevenire la creazione involontaria di falle nella nostra postura di sicurezza.
Le feature base di Defender for Cloud e le funzionalità di Defender CSPM (a seconda delle nostre esigenze) possono aiutarci esattamente in questo, garantendo visione e possibilità di azione ai professionisti che si occupano della gestione e del mantenimento delle nostre difese.
In questo tipo di ambiti è fondamentale non rimanere troppo sugli allori; dunque, perché aspettare quando già oggi ci si può affidare a questi solidi strumenti per cominciare a mettere al sicuro la propria organizzazione?
Microsoft Defender CSPM è un’estensione a pagamento di Defender for Cloud, sviluppata per aiutare le organizzazioni a migliorare la postura di sicurezza dei propri ambienti cloud. Offre strumenti avanzati per identificare e correggere configurazioni errate, monitorare le vulnerabilità e garantire la conformità agli standard di sicurezza riconosciuti.
Defender for Cloud include alcune funzionalità CSPM di base in un piano gratuito chiamato Foundational CSPM. Defender CSPM, invece, è un piano avanzato che aggiunge ulteriori funzionalità per una gestione più approfondita e proattiva della sicurezza cloud.
Il piano gratuito consente di scoprire automaticamente tutte le risorse cloud, eseguire valutazioni continue delle configurazioni di sicurezza, ricevere raccomandazioni per migliorare la postura di sicurezza e monitorare lo stato generale con un indicatore chiamato Secure Score. Inoltre, garantisce la conformità con il Microsoft Cloud Security Benchmark e supporta la visualizzazione dei dati tramite Azure Workbooks.
Il piano a pagamento include strumenti per la governance della sicurezza, la conformità normativa avanzata, la possibilità di esplorare graficamente i rischi attraverso il Cloud Security Explorer, l’analisi dei percorsi di attacco, la scansione agentless per macchine virtuali e container, la valutazione dei registri container e la gestione dei permessi, offrendo un controllo ancora più completo dell’ambiente cloud.
No, Defender CSPM è progettato per ambienti multicloud. Oltre ad Azure, può essere utilizzato anche con account AWS e progetti GCP. Tuttavia, alcune funzionalità più avanzate sono disponibili solo su Azure.
Per abilitare Defender CSPM è necessario avere almeno il ruolo di Security Admin. Dal portale Azure, si accede alla sezione Microsoft Defender for Cloud, si entra nelle impostazioni dell’ambiente, si seleziona la sottoscrizione desiderata e si attiva il piano Defender CSPM impostandolo su ON. Infine, si salvano le modifiche per renderlo operativo.
Il Secure Score è un indicatore che misura la sicurezza complessiva dell’ambiente cloud. Viene calcolato in base al numero di raccomandazioni di sicurezza implementate rispetto a quelle disponibili. Più alto è il punteggio, minore è il livello di rischio associato all’infrastruttura.
Il Microsoft Cloud Security Benchmark è uno standard di sicurezza applicato automaticamente alle sottoscrizioni Azure quando viene attivato Defender for Cloud. Include una serie di best practice e controlli basati su standard riconosciuti come NIST e CIS, adattati per l’ambiente cloud Microsoft e per altri provider come AWS e GCP.
No, una delle caratteristiche avanzate del piano è la possibilità di effettuare una scansione agentless delle macchine virtuali, che consente di rilevare vulnerabilità e raccogliere informazioni senza impattare sulle prestazioni e senza richiedere installazioni aggiuntive.
Defender CSPM è rivolto alle organizzazioni che operano nel cloud e hanno bisogno di strumenti evoluti per proteggere infrastrutture complesse, migliorare la visibilità sui rischi e mantenere la conformità con normative e best practice di sicurezza.
Il team Infra & Security è verticale sulla gestione ed evoluzione dei tenant Microsoft Azure dei nostri clienti. Oltre a configurare e gestire il tenant, si occupa della creazione dei deployment applicativi tramite le pipelines di DevOps, monitora e gestisce tutti gli aspetti di sicurezza del tenant, supportando i Security Operations Centers (SOC).