La gestione della postura di sicurezza del cloud (CSPM) copre la sicurezza delle infrastrutture “nelle nuvole”, inclusi i servizi Infrastructure as a Service (IaaS), Software as a Service (SaaS) e Platform as a Service (PaaS). Applica le migliori pratiche in modo universale su ambienti multi-cloud, ibridi e basati su container, concentrandosi sul monitoraggio della conformità, sulla risposta agli incidenti e sull'integrazione con DevOps. Microsoft Defender for Cloud fornisce già strumenti di CSPM basilari gratuitamente ma è in combinazione col piano a pagamento Defender CSPM che si trasforma in una delle soluzioni migliori sul mercato. In questo articolo andremo più in profondità sul quali sono le ragioni per cui il proprio business dovrebbe considerare il passaggio a Defender CSPM e i benefici che se ne possono trarre.
Il Cloud Security Posture Management costituisce uno degli elementi chiave di Microsoft Defender for Cloud. Questa soluzione completa offre visibilità, protezione e governance per le risorse cloud su Microsoft Azure, AWS e Google Cloud Platform. Il CSPM valuta continuamente la postura di sicurezza (security posture) del cloud, identifica e corregge le configurazioni errate e garantisce la conformità agli standard e alle normative di sicurezza.
Defender for Cloud offre gratuitamente alcune funzionalità di base di CSPM, come la scoperta delle risorse, i suggerimenti di sicurezza e il Secure Score. Tuttavia, per accedere a funzionalità avanzate come l'Attack Path Analysis e il Cloud Security Explorer, è necessario attivare il piano opzionale Defender CSPM.
Questo piano opzionale, con la sua vasta offerta di feature legate alla protezione e alla governance attiva delle proprie risorse “nelle nuvole” può rendere Defender for Cloud una delle migliori soluzioni CSPM attualmente disponibili sul mercato.
Come? Scopriamolo nelle prossime sezioni.
Ma prima facciamo un doveroso ripasso.
La Cloud Security Posture Management (CSPM) è una vasta categoria di strumenti che aiutano le aziende a rafforzare la sicurezza del proprio ambiente cloud. Oggi esistono numerosi strumenti CSPM disponibili sul mercato, tutti con differenti caratteristiche e punti di forza che vanno valutati per capire qual è la soluzione più adatta alle proprie esigenze.
Tuttavia, uno strumento CSPM per essere davvero definito di qualità deve garantire agli utenti piena visibilità e controllo sulle soluzioni cloud utilizzate dall’azienda, comprese le infrastrutture SaaS, IaaS e PaaS e tutta una gamma di funzionalità che sono col tempo diventate uno standard imprescindibile per queste soluzioni.
Vediamo quindi insieme cosa bisogna assolutamente cercare in una soluzione CSPM degna di questo nome.
La mancanza di visibilità è uno dei principali problemi degli ambienti cloud, ostacolando il controllo efficace e la capacità di intervenire tempestivamente. Senza un monitoraggio continuo, ottenere una visibilità completa è impossibile, motivo per cui questa è una delle caratteristiche fondamentali di un CSPM.
È importante assicurarsi che lo strumento sia in grado di monitorare il maggior numero possibile di eventi su tutte le piattaforme cloud in uso. Questi eventi includono configurazioni errate, accessi ai sistemi e ai dati, attacchi e conformità alle normative.
Spesso, i professionisti trascurano il monitoraggio della conformità quando scelgono un CSPM, trovandosi poi costretti a integrare soluzioni di terze parti per colmare questa lacuna o a sostituire completamente lo strumento.
Uno dei problemi principali nella gestione degli ambienti multi-cloud è il crescente divario di competenze. Le soluzioni cloud evolvono rapidamente, il numero di ambienti utilizzati dalle aziende è in costante aumento e diventa sempre più difficile per i team di sicurezza tenere il passo con questi cambiamenti.
Le aziende soffrono la carenza di professionisti qualificati, mentre i professionisti disponibili spesso non hanno le competenze necessarie. Inoltre, con il crescente numero di minacce informatiche, i team di sicurezza non dispongono del tempo e delle risorse per monitorare e rispondere a ogni minaccia.
Per questo motivo, è essenziale che il CSPM disponga di funzionalità per la gestione automatizzata delle policy e la risposta agli incidenti.
Un CSPM moderno deve includere tutte queste funzionalità per garantire una protezione efficace e ridurre la complessità della gestione della sicurezza cloud.
Negli ambienti multi-cloud, uno dei problemi principali è che i controlli sono distribuiti su più piattaforme. Di conseguenza, il team di sicurezza IT deve configurare ogni piattaforma separatamente in conformità con le politiche di sicurezza aziendali.
In primo luogo, questo porta inevitabilmente a errori e consuma troppo tempo. In secondo luogo, le varie piattaforme cloud offrono funzionalità di sicurezza diverse, e alcune potrebbero non avere nemmeno i controlli necessari.
Il CSPM risolve questi problemi fornendo una dashboard centralizzata. Ora è possibile configurare tutte le piattaforme da un unico punto e garantire che le regole di sicurezza siano coerenti su più ambienti cloud.
Inoltre, la reportistica offre una visione globale delle tendenze di sicurezza nell'organizzazione e fornisce insight che altrimenti potrebbero rimanere nascosti.
La moltitudine di dati provenienti dai vari ambienti cloud può risultare opprimente per la percezione umana e difficile da analizzare. Le funzionalità di threat intelligence dei CSPM possono aiutare il team di sicurezza IT a gestire questa sfida.
La threat intelligence analizza tutti i log degli eventi provenienti dai diversi ambienti cloud e li classifica in base alla loro gravità e urgenza. Successivamente, questi dati processati vengono presentati al team di sicurezza IT per una risposta tempestiva. Aiuta a organizzare il lavoro, ridurne il carico e assegnare il tempo del team in modo più efficiente.
La gestione delle vulnerabilità fornisce i controlli necessari per prendere decisioni in modo tempestivo ed appropriato su eventuali falle all’interno della propria postura di sicurezza.
La scalabilità è una caratteristica importante di qualsiasi soluzione cloud, incluso il CSPM. In primo luogo, molte aziende sono in costante crescita. In secondo luogo, molte aziende esplorano regolarmente nuovi ambienti cloud che emergono sul mercato. Il CSPM deve essere facilmente scalabile in termini di numero di utenti e integrazioni.
La performance è un altro aspetto importante da monitorare. Se l'aumento degli utenti causa malfunzionamenti del CSPM, questo non è una buona soluzione per la propria azienda.
Ultimo, ma non meno importante, il CSPM dovrebbe avere un'interfaccia intuitiva e di facile comprensione. Il compito principale di questo strumento è quello di alleggerire il carico di lavoro del team di sicurezza IT.
Se il team perde troppo tempo a cercare i dati necessari o a controllare informazioni importanti, il CSPM non riuscirà a risparmiare tempo e risorse.
Abbiamo creato il team Infra&Security, verticale sul cloud Azure, per rispondere alle esigenze dei clienti che ci coinvolgono nelle decisioni tecniche e strategiche. Oltre a configurare e gestire il loro tenant, ci occupiamo di:
Con Dev4Side, hai un partner affidabile in grado di supportarti sull'intero ecosistema applicativo di Microsoft.
Ora che sappiamo cosa cercare in una soluzione CSPM che meriti la nostra attenzione e il nostro denaro, arriva la buona notizia: Defender for Cloud offre tutte le feature che abbiamo menzionato sopra e anche qualcosa di più.
Tutto quello che ci serve capire è: quali funzionalità ci occorrono?
Le funzionalità di CSPM in Microsoft Defender for Cloud sono disponibili sia in versione gratuita (detta Foundational e già disponibile in Defender for Cloud) che a pagamento, a seconda delle capacità richieste.
Il livello Foundational CSPM è progettato per fornire funzionalità di sicurezza essenziali senza alcun costo. Quando si attiva Defender for Cloud, otterremo automaticamente le capacità Foundational CSPM per tutte le risorse nella subscription.
Questo livello è ideale per le organizzazioni che desiderano iniziare con la sicurezza del cloud senza sostenere costi aggiuntivi. Offre una base solida per migliorare la postura di sicurezza e garantire la conformità con vari standard.
Tra le feature gratuite possiamo trovare:
Se invece le nostre esigenze di sicurezza vanno un po’ oltre queste capacità base potremo attivare il piano Defender CSPM aggiungendo ulteriori protezioni, tra cui governance, conformità normativa, Cloud Security Explorer, analisi dei percorsi di attacco e scansione agentless per una varietà di scenari.
Defender CSPM offre inoltre linee guida per migliorare la sicurezza e fornisce visibilità sullo stato attuale della sicurezza (security posture). Valuta continuamente lo stato di risorse, sottoscrizioni e l'organizzazione per eventuali problemi, presentando la propria postura di sicurezza attraverso un Secure Score. Un punteggio più alto indica un livello di rischio inferiore.
Diamo adesso un’occhiata nella tabella qua sotto alle funzionalità che il piano introduce.
Uno dei vantaggi principali del piano Defender CSPM che abbiamo solo menzionato nella sezione precedente è la presenza di funzionalità di scansione agentless. Queste permettono di analizzare le risorse cloud per individuare vulnerabilità, dati sensibili, segreti ed esposizioni, senza dover installare software aggiuntivo.
Queste funzionalità sono particolarmente utili per servizi cloud-native, come database PaaS e account di archiviazione, che non supportano l'installazione di agenti o richiedono una gestione minima.
Quando combinate con una gestione contestualizzata della postura del cloud (CPM), l'analisi dei percorsi di attacco e l'analisi del rischio di sicurezza, le feature possono contribuire a migliorare la strategia complessiva di sicurezza del cloud e giocano un ruolo fondamentale nella protezione delle applicazioni containerizzate, degli ambienti Kubernetes, delle VM e dei dati.
Offrendo un approccio completo alla sicurezza del cloud, si adattano in modo efficiente alla crescita e alla complessità della propria infrastruttura, garantendo una postura di sicurezza olistica. Inoltre, tutti questi vantaggi sono inclusi nel costo del piano senza addebiti aggiuntivi.
Inoltre, offrono significativi vantaggi in termini di scalabilità, integrazione, riduzione della complessità, mitigazione proattiva delle minacce, miglioramento dell'efficienza e risparmio sui costi. Scalando facilmente con la propria azienda e la sua infrastruttura cloud, si integrano senza problemi in configurazioni diverse, eliminando la complessità della gestione di singoli agenti. Prioritizzando il rilevamento proattivo delle minacce tramite monitoraggio continuo e analisi in tempo reale, facilitano risposte rapide alle minacce di sicurezza.
L'assenza di agenti individuali migliora l'efficienza e consente ai team IT di concentrarsi sulla pianificazione strategica. L'adozione di funzionalità senza agente elimina la necessità di manutenzione del software agente, con conseguenti risparmi sui costi.
Mantenendo il loro stato attivo e utilizzandole regolarmente, le organizzazioni possono rimanere vigili contro i rischi in evoluzione e affrontare prontamente potenziali vulnerabilità. Questo impegno duraturo nell'utilizzo di queste funzionalità è cruciale per stabilire un ambiente cloud resiliente e sicuro che possa adattarsi alle circostanze in cambiamento.
Il piano Defender CSPM include quattro funzionalità agentless di default, che presentiamo con la seguente tabella.
Correlando gli insight generati da queste funzionalità agentless, le organizzazioni possono ottenere una comprensione più approfondita del proprio profilo di sicurezza. È un approccio sinergico che può fornire una solida base per costruire una strategia di sicurezza del cloud proattiva.
Esploriamo come questi elementi lavorano insieme all’interno della propria infrastruttura di sicurezza.
Le funzionalità agentless di possono migliorare significativamente la Gestione della Postura del Cloud (CPM) offrendo una comprensione più contestualizzata e completa dell'ambiente cloud.
Ad esempio, la funzionalità di valutazione delle vulnerabilità del registro dei container di Azure fornisce informazioni su potenziali debolezze di sicurezza nelle applicazioni containerizzate, consentendo a CPM di prioritizzare e affrontare i rischi in base alla gravità e all'impatto potenziale.
Automatizzando la scoperta delle risorse e il monitoraggio continuo, queste funzionalità aiutano a mantenere un inventario aggiornato delle risorse, che complementa il ruolo di CPM nel fornire visibilità accurata e tempestiva sulla postura di sicurezza del cloud.
L'analisi dei percorsi di attacco è un altro ambito che beneficia significativamente degli insight generati dalle funzionalità agentless. Con la scoperta delle vulnerabilità delle VM e dei potenziali vettori di attacco, tali funzionalità facilitano un'analisi più mirata ed efficace.
Ad esempio, la valutazione agentless delle vulnerabilità delle VM fornisce informazioni su possibili percorsi di attacco che un avversario potrebbe sfruttare. Questi dati possono poi essere utilizzati per prioritizzare le azioni di remediation in base all'impatto potenziale sull'ambiente, abbattendo efficacemente i percorsi di attacco e minimizzando il rischio di una violazione riuscita.
Sfruttando le funzionalità agentless, l'analisi del rischio di sicurezza può essere anche più proattiva e completa. Il rilevamento in tempo reale delle potenziali minacce, siano esse legate alla sensibilità dei dati o alle vulnerabilità dei container, consente ai team di sicurezza di identificare e mitigare rapidamente i rischi.
Inoltre, le funzioni di Discovery per Kubernetes possono fornire informazioni utili sulla configurazione degli ambienti Kubernetes, aiutando ulteriormente a identificare rischi di sicurezza associati a configurazioni errate o componenti obsoleti.
Le aziende che operano nel cloud si ritrovano oggigiorno a dover affrontare sfide riguardanti la sicurezza dei propri dati che, già solo all’inizio del secolo, sarebbero state considerate un’esagerazione nel settore della cybersecurity aziendale.
Eppure siamo arrivati a questo punto, con un aumento mostruoso delle minacce informatiche e dei rischi associati ad esse che non è più possibile ignorare e per cui ogni business che si rispetti dovrebbe prendere le adeguate contromisure.
Defender for Cloud e il piano Defender CSPM si posizionano in questo scenario come soluzioni incredibilmente solide da adottare per qualsiasi azienda che operi all’interno di ambienti Microsoft, cloud ibridi e multi-cloud, al fine di dare ai propri team di esperti i tool necessari a mettere in piedi le difese migliori per le proprie infrastrutture digitali “nelle nuvole” con solo un minimo costo aggiuntivo.
Non ci resta quindi che invitare chiunque sia interessato ad avere un primo assaggio delle funzionalità CSPM base di Defender for Cloud e valutare il passaggio al piano Defender CSPM una volta comprese le esigenze legate alla propria postura di sicurezza.
Defender CSPM è il piano avanzato di Cloud Security Posture Management integrato in Microsoft Defender for Cloud. Serve a monitorare e migliorare la postura di sicurezza delle risorse cloud (Azure, AWS, GCP) con funzionalità avanzate di rilevamento, governance, conformità e risposta alle minacce.
Il livello Foundational è gratuito e include funzionalità base come il Secure Score, la valutazione continua della sicurezza, il Microsoft Cloud Security Benchmark e il monitoraggio della conformità. Il piano Defender CSPM, a pagamento, aggiunge capacità avanzate come il Cloud Security Explorer, l’analisi dei percorsi di attacco, la scansione agentless e il rilevamento delle minacce con intelligenza artificiale.
Sì. Defender CSPM estende la visibilità e i controlli di sicurezza oltre Azure, includendo anche AWS e Google Cloud Platform. Consente una gestione centralizzata della sicurezza su ambienti ibridi e multi-cloud.
Consentono la scansione delle risorse cloud senza installare agenti, riducendo complessità e costi. Migliorano la sicurezza di container, VM, ambienti Kubernetes e dati sensibili grazie a una valutazione continua e contestualizzata.
Sì. Grazie all’automazione delle policy, alla dashboard unificata e alla threat intelligence integrata, semplifica la gestione della sicurezza anche per team con risorse o competenze limitate.
La combinazione di monitoraggio continuo, visibilità multi-cloud, automazione, scalabilità, gestione della conformità e funzionalità agentless lo rende una soluzione completa e adatta alle esigenze di sicurezza cloud più evolute.
Il piano Defender CSPM è opzionale e comporta un costo aggiuntivo rispetto alla versione gratuita di Defender for Cloud. Tuttavia, tutte le funzionalità avanzate (incluso l’approccio agentless) sono comprese nel piano senza ulteriori sovrapprezzi.
Il team Infra & Security è verticale sulla gestione ed evoluzione dei tenant Microsoft Azure dei nostri clienti. Oltre a configurare e gestire il tenant, si occupa della creazione dei deployment applicativi tramite le pipelines di DevOps, monitora e gestisce tutti gli aspetti di sicurezza del tenant, supportando i Security Operations Centers (SOC).