Defender CSPM: come migliorare la sicurezza degli ambienti cloud

Defender CSPM (Cloud Security Posture Management) è una soluzione di sicurezza offerta da Microsoft come piano a pagamento attraverso Defender for Cloud, progettata per aiutare le aziende a monitorare e migliorare la postura di sicurezza dei loro ambienti cloud. Questo strumento fornisce visibilità continua, valutazioni del rischio e raccomandazioni per mitigare le vulnerabilità, garantendo la conformità con le best practice e gli standard di sicurezza. Consente di identificare e correggere configurazioni errate, ridurre i rischi di esposizione e rafforzare la sicurezza delle infrastrutture in ambienti multicloud e ibridi. In questo articolo, approfondiremo il ruolo di Defender CSPM nella difesa degli ambienti “nelle nuvole” e le funzionalità che mette a disposizione per proteggerli al meglio.

Cosa troverai in questo articolo

  • Defender CSPM: una breve introduzione
  • Defender CSPM: funzionalità CSPM base offerte da Defender for Cloud
  • Defender CSPM: funzionalità aggiuntive del piano a pagamento
  • Come abilitare e configurare Defender CSPM
Defender CSPM: come migliorare la sicurezza degli ambienti cloud

Defender CSPM: una breve introduzione

Man mano che il numero di organizzazioni che si avvicinano al cloud aumenta, anche i rischi di sicurezza, intenzionali o accidentali, continuano a crescere.

Le violazioni dei dati più gravi si verificano a causa di errori umani, mentre configurazioni sbagliate sono tra le principali cause di danni finanziari e reputazionali per aziende ed enti governativi.

Sebbene possano sembrare semplici da evitare, rappresentano il rischio più significativo per gli ambienti cloud.

Dal 65 al 70 percento di tutte le sfide di sicurezza nel cloud derivano da configurazioni errate. L’ambiente cloud è composto da una moltitudine di impostazioni, policy, asset e servizi e risorse interconnessi, rendendolo complesso.

Con l’aumento delle vulnerabilità, l’impatto catastrofico delle violazioni nel cloud ha reso evidente che l’adozione di pratiche di sicurezza adeguate è di fondamentale importanza per la gestione degli ambienti multi-cloud odierni.

La domanda, quindi, è: come identificare le risorse cloud mal configurate che vengono esposte a hacker malintenzionati o attacchi informatici? Microsoft potrebbe avere la risposta a questa domanda ed è Microsoft Defender CSPM, un piano a pagamento aggiuntivo offerto attraverso Defender for Cloud.

Esaminiamo più da vicino le funzionalità di Defender CSPM e come può aiutare a gestire le sfide della sicurezza nel cloud, migliorare l’efficienza della protezione e offrire visibilità per ridurre i rischi evidenziati.

Che cos’è un CSPM, a cosa serve e perché è importante

La sicurezza nel cloud presenta sfide diverse rispetto ai rischi dei precedenti modelli di elaborazione. Prima di tutto, l'infrastruttura cloud è necessariamente connessa a Internet. Poiché consente il trasferimento quasi istantaneo di qualsiasi tipo di dato, Internet espone tutto ciò che vi è collegato a un vasto numero di minacce.

Inoltre, la connessione a Internet aumenta il rischio di esposizione dei dati: chiunque nel mondo può visualizzare e potenzialmente rubare i dati esposti, a differenza di quando i dati sono conservati in reti private.

In secondo luogo, l'infrastruttura cloud è spesso altamente complessa, combinando diversi tipi di servizi cloud, come avviene in un ambiente multi-cloud. Man mano che le esigenze aziendali cambiano vengono aggiunti, espansi o rimossi vari servizi di calcolo, archiviazione e software.

Tutto ciò avviene in data center remoti, rendendo difficile mantenere visibilità e controllo, soddisfare i requisiti di conformità e identificare ed eliminare i rischi.

Infine, mentre alcuni aspetti di un servizio cloud possono essere gestiti dal provider, le configurazioni di sicurezza di solito non lo sono. Questo obbliga le organizzazioni a implementare misure di sicurezza per un'infrastruttura che non gestiscono direttamente.

Gli errori di configurazione nel cloud si verificano quando gli standard di sicurezza o il framework di un'infrastruttura cloud non seguono una policy di configurazione e linee guida di sicurezza, mettendo direttamente a rischio la protezione delle risorse cloud.

Questi rischi si manifestano sotto forma di violazioni della sicurezza, attacchi hacker, ransomware, malware o minacce interne che sfruttano le vulnerabilità per accedere ai sistemi cloud.

Uno scenario piuttosto terrificante, ma in cui un CSPM (Cloud Security Posture Management) può darci una mano.

Ma che cos’è esattamente?

Ottenere visibilità e informazioni dettagliate contestuali con Defender CSPM

Si tratta di una soluzione che aiuta a identificare, prevenire e correggere configurazioni errate e vulnerabilità di sicurezza negli ambienti cloud per ridurre i rischi di violazioni e migliorare la conformità. Il CSPM fornisce visibilità sugli ambienti cloud, consentendo di rilevare rapidamente errori di configurazione e correggerli automaticamente.

Un CSPM gestisce molteplici aspetti della sicurezza cloud, tra cui i più importanti sono:

  • Errori di configurazione: come accennavamo prima, spesso le organizzazioni configurano in modo errato l’implementazione delle loro soluzioni di cybersecurity. Una soluzione CSPM garantirà che tutto sia configurato correttamente.
  • Problemi di conformità legale e normativa: una mancanza di attenzione ai dettagli nella sicurezza del cloud potrebbe causare problemi di conformità. Una soluzione CSPM garantirà che ciò non accada.
  • Accesso non autorizzato: strumenti di gestione degli accessi mal configurati — o semplicemente una svista nella sicurezza — possono portare a accessi non autorizzati alla rete e ai sistemi dell’organizzazione. Un CSPM farà in modo di evitare che occhi indiscreti si poggino sulle proprie risorse più sensibili.

La protezione dei carichi di lavoro nel cloud inizia con l'adozione di politiche di sicurezza personalizzate per l'organizzazione, supportate da una piattaforma CSPM appositamente progettata, che monitori continuamente e scopra le risorse distribuite nei carichi di lavoro nel cloud, valutandole per verificare se soddisfano le migliori pratiche di sicurezza e gli standard, come CIS e NIST.

Il CSPM identifica e corregge i rischi automatizzando la visibilità, il monitoraggio, il rilevamento delle minacce e i flussi di correzione per cercare errori di configurazione in diversi ambienti cloud, tra cui:

  • Infrastructure as a Service (IaaS)
  • Software as a Service (SaaS)
  • Platform as a Service (PaaS)

Un CSPM è generalmente automatizzato. Invece di richiedere ai team di sicurezza di controllare manualmente i propri cloud per individuare i rischi di sicurezza, funziona in background, analizzando il cloud per i rischi di conformità e le vulnerabilità di configurazione.

La maggior parte degli strumenti CSPM è in grado di eseguire la scansione di ambienti multi-cloud, fornendo una visione combinata dello stato di sicurezza su tutti i servizi cloud. Questa capacità è cruciale poiché molte organizzazioni utilizzano più di un servizio cloud, il che aumenta il rischio di configurazioni errate e può essere più difficile da gestire manualmente.

Infine, le soluzioni CSPM moderne si integrano anche perfettamente con i processi DevOps, garantendo che la sicurezza sia incorporata in tutto il ciclo di vita dello sviluppo del software. Questa integrazione aiuta a individuare e affrontare i problemi di sicurezza precocemente, riducendo la probabilità che le vulnerabilità vengano introdotte negli ambienti di produzione.

Sai che aiutiamo i nostri clienti nella gestione dei loro tenant Azure?

Abbiamo creato il team Infra&Security, verticale sul cloud Azure, per rispondere alle esigenze dei clienti che ci coinvolgono nelle decisioni tecniche e strategiche. Oltre a configurare e gestire il loro tenant, ci occupiamo di:

  • ottimizzare i costi delle risorse
  • implementare procedure di scaling e high availability
  • creare deployment applicativi tramite le pipeline di DevOps
  • monitoring
  • e soprattutto security!

Con Dev4Side, hai un partner affidabile in grado di supportarti sull'intero ecosistema applicativo di Microsoft.

Defender CSPM: funzionalità CSPM base offerte da Defender for Cloud

Microsoft Defender CSPM (Cloud Security Posture Management) è una soluzione integrata all’interno di Defender for Cloud che aiuta a proteggere le infrastrutture cloud monitorando continuamente la configurazione delle risorse, rilevando vulnerabilità e automatizzando la correzione degli errori per garantire la conformità alle migliori pratiche di sicurezza.

Il CSPM fornisce una visibilità dettagliata sullo stato di sicurezza delle risorse e dei carichi di lavoro, offrendo linee guida per il rafforzamento della sicurezza per aiutare a migliorare in modo efficiente ed efficace la propria postura di sicurezza.

Defender for Cloud valuta continuamente le proprie risorse rispetto agli standard di sicurezza definiti per le proprie sottoscrizioni Azure, account AWS e progetti GCP. Defender for Cloud fornisce raccomandazioni di sicurezza basate su queste valutazioni.

Di default, quando si abilita Defender for Cloud su una sottoscrizione Azure, lo standard di conformità Microsoft Cloud Security Benchmark (MCSB) è attivato. Esso fornisce raccomandazioni e Defender for Cloud fornisce un punteggio di sicurezza aggregato basato su alcune delle raccomandazioni MCSB.

Più alto è il punteggio, più basso è il livello di rischio identificato.

Misurare la propria postura di sicurezza con Defender CSPM

Defender for Cloud offre due opzioni per le sue funzionalità CSPM: il piano gratuito (definito da Microsoft con il nome Foundational CSPM), integrato all’interno dell’offerta base del servizio e Microsoft Defender CSPM, piano a pagamento aggiuntivo di cui parleremo nella prossima sezione.

Per quanto riguarda il piano gratuito, le sue funzionalità sono automaticamente abilitate su qualsiasi subscription o account che abbia effettuato l’onboarding a Defender for Cloud e includono:

  • Asset Discovery: il processo di individuazione automatica di tutte le risorse cloud presenti nell'ambiente dell'organizzazione. Questo include macchine virtuali, database, account di archiviazione, identità e altri asset, fornendo una visione completa dell'infrastruttura IT. L'obiettivo è garantire che nessuna risorsa rimanga non monitorata o non gestita, riducendo il rischio di vulnerabilità dovute a configurazioni errate o risorse dimenticate.
  • Valutazione continua e raccomandazioni di sicurezza: un'analisi costante delle configurazioni di sicurezza delle risorse cloud per identificare vulnerabilità, errori di configurazione e potenziali minacce. Il sistema fornisce raccomandazioni dettagliate per correggere le problematiche e migliorare la postura di sicurezza, garantendo un approccio proattivo alla gestione della sicurezza informatica.
  • Conformità con il Microsoft Cloud Security Benchmark: un insieme di linee guida sviluppate da Microsoft per garantire la sicurezza delle infrastrutture cloud. Il benchmark include best practice e requisiti di conformità basati su standard riconosciuti, come NIST e CIS. L’aderenza al MCSB aiuta le organizzazioni a mantenere un livello di sicurezza elevato, riducendo il rischio di esposizioni e non conformità.
  • Secure Score: un indicatore quantitativo che misura lo stato attuale della sicurezza dell’organizzazione all’interno dell'ambiente cloud. Il punteggio è calcolato in base al numero di raccomandazioni implementate rispetto a quelle totali e fornisce un riferimento chiaro per comprendere il livello di protezione attuale. Un punteggio più alto indica una postura di sicurezza più robusta, mentre un punteggio basso segnala la necessità di miglioramenti.

Defender CSPM: funzionalità aggiuntive del piano a pagamento

Le funzionalità gratuite di Defender for Cloud non ci bastano?

Qualora lo si ritenga necessario, è possibile ampliare il suo set di funzionalità attivando il piano Defender CSPM.

Funzionalità di Microsoft Defender CSPM

Il piano Defender CSPM offre funzionalità avanzate di gestione della security posture, tra le principali troviamo:

  • Security Governance: i team di security sono responsabili del miglioramento della postura di sicurezza delle loro organizzazioni, ma potrebbero non avere le risorse oppure l’autorità per implementare effettivamente le raccomandazioni di sicurezza. L’assegnazione di responsabili con date di scadenza e la definizione di regole di governance creano responsabilità e trasparenza, in modo da poter guidare il processo di miglioramento della sicurezza dell’organizzazione.
  • Regulatory compliance: grazie a questa funzionalità Microsoft Defender CSPM semplifica il processo per soddisfare i requisiti di conformità normativa, fornendo una dashboard specifica e valuta continuamente l’ambiente per analizzare i fattori di rischio in base ai controlli e alle best practice degli standard applicati alle sottoscrizioni. La dashboard riflette lo stato di conformità a questi standard. Il Microsoft cloud security benchmark (MCSB) viene invece assegnato automaticamente alle sottoscrizioni e agli account quando si accede a Defender for Cloud (Foundational CSPM). Questo benchmark si basa sui principi di sicurezza del cloud definiti dall’Azure Security Benchmark e li applica con una guida dettagliata all’implementazione tecnica per Azure, per altri fornitori di cloud (come AWS e GCP) e per altri cloud Microsoft.
  • Cloud Security Explorer: consente di identificare in modo proattivo i rischi per la sicurezza nell’ambiente cloud eseguendo graficamente query sul Cloud Security Graph, che è il motore di definizione del contesto di Defender for Cloud. Alle richieste del team di sicurezza è possibile dare priorità, tenendo conto del contesto e delle specifiche norme dell’organizzazione. Con il Cloud Security Explorer è possibile interrogare i problemi di sicurezza ed il contesto dell’ambiente, come l’inventario delle risorse, l’esposizione a Internet, le autorizzazioni e il “lateral movement” tra le risorse e tra più cloud (Azure e AWS).
  • Attack path analysis: l’analisi dei percorsi di attacco aiuta ad affrontare i problemi di sicurezza, relative all’ambiente specifico, che rappresentano minacce immediate con il maggior potenziale di sfruttamento. Defender for Cloud analizza quali problemi di sicurezza fanno parte di potenziali percorsi di attacco che gli aggressori potrebbero utilizzare per violare l’ambiente specifico. Inoltre, evidenzia le raccomandazioni di sicurezza che devono essere risolte per mitigarle.
  • Agentless scanning per le macchine: Microsoft Defender for Cloud massimizza la copertura dei problemi di postura del sistema operativo e va oltre alla copertura data dagli assessment basati su agenti specifici. Grazie alla scansione agentless per le macchine virtuali è possibile ottenere una visibilità immediata, ampia e senza ostacoli in merito ai potenziali problemi di postura. Il tutto senza dover installare agenti, rispettare requisiti di connettività di rete oppure impattare sulle prestazioni delle macchine. La scansione agentless per le macchine virtuali fornisce la valutazione delle vulnerabilità e l’inventario del software, entrambi tramite Microsoft Defender Vulnerability Management, in ambienti Azure e Amazon AWS. La scansione agentless è disponibile sia in Defender Cloud Security Posture Management (CSPM) sia in Defender for Servers P2.

In questa tabella, vediamo nel dettaglio la differenza tra le feature “foundational” e quelle offerte da Defender CSPM:

Defender for Cloud: funzionalità Foundational vs Defender CSPM

Funzionalità Foundational Defender CSPM Disponibilità
Raccomandazioni di sicurezza Azure, on-premises
Inventario delle risorse Azure, on-premises
Secure score Azure, on-premises
Visualizzazione dati e report con Azure Workbooks Azure, on-premises
Esportazione dei dati Azure, on-premises
Automazione dei workflow Azure, on-premises
Strumenti per la remediation Azure, on-premises
Microsoft Cloud Security Benchmark Azure, on-premises
Governance della sicurezza - Azure, on-premises
Standard di conformità normativa - Azure, on-premises
Cloud Security Explorer - Azure
Analisi del percorso di attacco - Azure
Scansione agentless per le macchine - Azure
Postura di sicurezza agentless per i container - Azure
Valutazione delle vulnerabilità dei registri container, inclusa la scansione - Azure
Postura di sicurezza basata sui dati - Azure
Approfondimenti EASM sull'esposizione della rete - Azure
Gestione dei permessi - Azure

Come abilitare e configurare Defender CSPM

Ora che abbiamo una visione più chiara delle funzionalità offerte nel piano a pagamento è il momento di vedere un po’ più da vicino come abilitarle e configurarle con un piccolo esempio pratico.

1. Abilitare Defender CSPM

Per prima cosa, il piano Defender CSPM deve essere abilitato sulla sottoscrizione Azure. Per attivarlo, è necessario disporre almeno del ruolo di Security Admin (un ruolo di Azure predefinito).

Una volta verificato che il prerequisito sopra sia rispettato, accediamo al portale Azure e andiamo alla sezione Microsoft Defender for Cloud. Dal menu, accediamo alla pagina Environment Settings.

Selezioniamo la sottoscrizione sulla quale desideriamo abilitare Defender CSPM e nella pagina Defender plans, selezioniamo Defender CSPM e impostiamo lo stato su ON.

Facciamo clic su Save per salvare le modifiche.

Una volta attivato, Defender CSPM e pronto per valutare il nostro ambiente multi-cloud e fornirà raccomandazioni per rafforzare la sicurezza delle risorse e migliorare la postura di sicurezza.

2. Creare regole di governance

I più inesperti in tema di sicurezza cloud potrebbero incontrare difficoltà nell'implementare le raccomandazioni e risolvere le problematiche individuate, ma come abbiamo visto Defender CSPM offre regole di governance per assegnare problemi ad alta priorità ai responsabili della sicurezza cloud, con tempistiche di risoluzione definite.

Per creare delle regole di governance, ci basterà accedere alla sezione Microsoft Defender for Cloud dal portale Azure, come nell’esempio precedente. Dopodiché, dal menu di Defender for Cloud, andiamo su Environment Settings e selezioniamo la sottoscrizione interessata.

Nelle impostazioni, selezioniamo Governance Rules.

Facciamo clic su +Create governance rule e compiliamo i dettagli:

  • Nome della regola
  • Selezioniamo l'ambito a livello di sottoscrizione
  • Priorità: 1

Clicchiamo su Next per procedere alla pagina successiva.

Nella sezione Conditions, impostiamo:

  • Severity: High
  • Owner: By email address, inserisci l'email del team di sicurezza cloud per ricevere notifiche
  • Remediation timeframe: 30 giorni

Abilitiamo la notifica settimanale per i responsabili sulla gestione delle attività aperte o in scadenza e facciamo clic su Save. Un'email settimanale verrà inviata al team di sicurezza cloud e ai loro manager con tutte le raccomandazioni assegnate in base alle regole di governance configurate.

Conclusioni

La sicurezza dei propri ambienti cloud deve essere considerata di primaria importanza se la propria infrastruttura digitale è stata trasferita “nelle nuvole” e con l’aumento delle minacce informatiche nulla deve essere lasciato al caso, nemmeno la possibilità di un errore di configurazione da parte nostra.

È importante dunque avere strumenti che assistano gli esperti di cybersecurity nelle loro operazioni e gli forniscano il controllo e i feedback di cui necessitano per poter mantenere al sicuro i nostri ambienti informatici e prevenire la creazione involontaria di falle nella nostra postura di sicurezza.

Le feature base di Defender for Cloud e le funzionalità di Defender CSPM (a seconda delle nostre esigenze) possono aiutarci esattamente in questo, garantendo visione e possibilità di azione ai professionisti che si occupano della gestione e del mantenimento delle nostre difese.

In questo tipo di ambiti è fondamentale non rimanere troppo sugli allori; dunque, perché aspettare quando già oggi ci si può affidare a questi solidi strumenti per cominciare a mettere al sicuro la propria organizzazione?

FAQ su Microsoft Defender CSPM

Cos’è Microsoft Defender CSPM?

Microsoft Defender CSPM è un’estensione a pagamento di Defender for Cloud, sviluppata per aiutare le organizzazioni a migliorare la postura di sicurezza dei propri ambienti cloud. Offre strumenti avanzati per identificare e correggere configurazioni errate, monitorare le vulnerabilità e garantire la conformità agli standard di sicurezza riconosciuti.

Qual è la differenza tra Defender CSPM e Defender for Cloud?

Defender for Cloud include alcune funzionalità CSPM di base in un piano gratuito chiamato Foundational CSPM. Defender CSPM, invece, è un piano avanzato che aggiunge ulteriori funzionalità per una gestione più approfondita e proattiva della sicurezza cloud.

Quali funzionalità sono incluse nel piano gratuito (Foundational CSPM)?

Il piano gratuito consente di scoprire automaticamente tutte le risorse cloud, eseguire valutazioni continue delle configurazioni di sicurezza, ricevere raccomandazioni per migliorare la postura di sicurezza e monitorare lo stato generale con un indicatore chiamato Secure Score. Inoltre, garantisce la conformità con il Microsoft Cloud Security Benchmark e supporta la visualizzazione dei dati tramite Azure Workbooks.

Quali funzionalità aggiuntive offre Defender CSPM a pagamento?

Il piano a pagamento include strumenti per la governance della sicurezza, la conformità normativa avanzata, la possibilità di esplorare graficamente i rischi attraverso il Cloud Security Explorer, l’analisi dei percorsi di attacco, la scansione agentless per macchine virtuali e container, la valutazione dei registri container e la gestione dei permessi, offrendo un controllo ancora più completo dell’ambiente cloud.

Defender CSPM funziona solo su Azure?

No, Defender CSPM è progettato per ambienti multicloud. Oltre ad Azure, può essere utilizzato anche con account AWS e progetti GCP. Tuttavia, alcune funzionalità più avanzate sono disponibili solo su Azure.

Come si abilita Defender CSPM?

Per abilitare Defender CSPM è necessario avere almeno il ruolo di Security Admin. Dal portale Azure, si accede alla sezione Microsoft Defender for Cloud, si entra nelle impostazioni dell’ambiente, si seleziona la sottoscrizione desiderata e si attiva il piano Defender CSPM impostandolo su ON. Infine, si salvano le modifiche per renderlo operativo.

Cosa fa il Secure Score?

Il Secure Score è un indicatore che misura la sicurezza complessiva dell’ambiente cloud. Viene calcolato in base al numero di raccomandazioni di sicurezza implementate rispetto a quelle disponibili. Più alto è il punteggio, minore è il livello di rischio associato all’infrastruttura.

Cos’è il Microsoft Cloud Security Benchmark (MCSB)?

Il Microsoft Cloud Security Benchmark è uno standard di sicurezza applicato automaticamente alle sottoscrizioni Azure quando viene attivato Defender for Cloud. Include una serie di best practice e controlli basati su standard riconosciuti come NIST e CIS, adattati per l’ambiente cloud Microsoft e per altri provider come AWS e GCP.

È necessario installare agenti per usare Defender CSPM?

No, una delle caratteristiche avanzate del piano è la possibilità di effettuare una scansione agentless delle macchine virtuali, che consente di rilevare vulnerabilità e raccogliere informazioni senza impattare sulle prestazioni e senza richiedere installazioni aggiuntive.

A chi è destinato Defender CSPM?

Defender CSPM è rivolto alle organizzazioni che operano nel cloud e hanno bisogno di strumenti evoluti per proteggere infrastrutture complesse, migliorare la visibilità sui rischi e mantenere la conformità con normative e best practice di sicurezza.

Scopri perché scegliere il team

Infra & Sec

Il team Infra & Security è verticale sulla gestione ed evoluzione dei tenant Microsoft Azure dei nostri clienti. Oltre a configurare e gestire il tenant, si occupa della creazione dei deployment applicativi tramite le pipelines di DevOps, monitora e gestisce tutti gli aspetti di sicurezza del tenant, supportando i Security Operations Centers (SOC).