Header Navigation - IT
Background image for Che cos'è Azure Cloud Workload Protection Platform (CWPP)?
Cybersecurity 101/Sicurezza in-the-cloud/Azure CWPP

Che cos'è Azure Cloud Workload Protection Platform (CWPP)?

Scopri Azure Cloud Workload Protection Platform (CWPP) con questa guida dettagliata. Esplora i componenti chiave e le best practice e proteggi il tuo ambiente cloud Azure.

Le aziende hanno registrato un aumento dell'efficienza operativa dopo il passaggio al cloud, il che ha spinto anche le piccole imprese ad adottare soluzioni cloud. Con l'aumento del numero di aziende che utilizzano il cloud, nasce l'esigenza di garantire la sicurezza delle risorse presenti nel cloud. Cloud Workload Protection Platform (CWPP) offre funzionalità di sicurezza che aiutano a proteggere i carichi di lavoro in ogni ambiente. Questo ambiente cloud è costituito da macchine virtuali, container e funzioni serverless.

Il cloud diventa spesso terreno fertile per minacce informatiche avanzate, il che rende ancora più urgente l'adozione di CWPP per mantenere la qualità dei requisiti di sicurezza e conformità di un'organizzazione. Microsoft Azure CWPP è di natura diversificata, il che diventa uno dei motivi principali della sua adozione. Attualmente, la quota di mercato di Azure è del 24% e continua a crescere ogni anno.

Questo post del blog vi aiuterà a comprendere l'architettura di Azure CWPP e le caratteristiche e i vantaggi che offre a un'organizzazione. Discuteremo anche il ruolo di Azure CWPP nella protezione della rete e dei dati. Per ottenere il massimo da Azure CWPP, discuteremo anche delle best practice da seguire.

Azure CWPP - Immagine in primo piano | SentinelOneQuali sono le preoccupazioni comuni relative ad Azure CWPP?

Prima di approfondire la comprensione di Azure CWPP, è importante affrontare le questioni che un'organizzazione potrebbe dover affrontare durante la sua implementazione nel proprio ambiente.

  1. Complessità: Azure CWPP è di natura complessa e diventa difficile da implementare per quelle organizzazioni che non hanno mai lavorato con Azure o con la sicurezza cloud in precedenza. CWPP coinvolge diversi componenti, che possono essere piuttosto difficili da comprendere all'inizio del percorso verso il cloud.
  2. Gestione della configurazione: Le violazioni della sicurezza sono molto comuni e se ne sente parlare molto spesso. Ad oggi, una delle cause principali delle violazioni della sicurezza è la configurazione errata dei sistemi di sicurezza. Per prevenire questo problema, è necessario fornire una formazione adeguata agli amministratori che gestiscono il cloud.
  3. Considerazioni sui costi: La piattaforma di protezione del carico di lavoro cloud offre molte funzionalità di sicurezza, ma le organizzazioni dovrebbero tenere conto del costo dello strumento. È importante che le organizzazioni trovino la soluzione più adatta alle loro esigenze di sicurezza, pur rimanendo entro i limiti del budget.
  4. Privacy dei dati e conformità: La CWPP utilizza i dati per la sua elaborazione. Raccoglie e monitora i dati relativi al carico di lavoro. I dati sono la parte più cruciale e sensibile di qualsiasi organizzazione. Pertanto, prima di utilizzare la soluzione CWPP, è necessario assicurarsi che i dati possano essere trasferiti e analizzati senza violare alcuna legge sulla protezione dei dati.
  5. Sfide di integrazione: Le organizzazioni utilizzano diversi strumenti di sicurezza nella loro infrastruttura, il che rende difficile e costoso integrare la soluzione CWPP con gli strumenti già esistenti.
  6. Stare al passo con l'evoluzione del cloud: Le competenze e l'infrastruttura necessarie per implementare strumenti di sicurezza cloud-native richiedono un'intensa preparazione da parte dell'organizzazione.

Architettura di base di Azure CWPP

Azure CWPP fornisce una sicurezza completa a un'organizzazione in base alla sua architettura e alle sue caratteristiche. Esaminiamo alcuni dei componenti chiave della sua architettura avanzata.

Panoramica dei componenti chiave

Azure CWPP dispone di più componenti che aiutano a proteggere il carico di lavoro cloud. Azure Sentinel fornisce alle organizzazioni sistemi SIEM e SOAR che forniscono analisi di sicurezza con l'aiuto dell'apprendimento automatico.

La protezione della rete è importante poiché, se non configurata correttamente, è accessibile tramite Internet. In questo scenario entra in gioco Azure Firewall, che aiuta a proteggere le risorse di Azure Virtual Network. Azure DDoS Protection Service protegge i servizi da attacchi di massa e di protocollo. Per la gestione degli accessi a tutti questi servizi, Azure Key Vault può essere utilizzato anche per archiviare chiavi crittografiche, segreti e certificati.

Punti di integrazione e flusso di dati

Azure CWPP si integra perfettamente con più servizi Azure e soluzioni di sicurezza di terze parti. Le organizzazioni potrebbero già disporre di strumenti di sicurezza integrati nella propria infrastruttura prima di adottare Azure CWPP. Pertanto, affinché le operazioni procedano senza intoppi, Azure CWPP offre una perfetta integrazione con Azure Service e soluzioni di sicurezza di terze parti. Tutte le informazioni relative alla sicurezza vengono raccolte dalle risorse Azure, dai sistemi locali e da altre piattaforme cloud.

Queste informazioni vengono quindi elaborate e normalizzate per renderle utilizzabili da Azure Security Center e Azure Sentinel. Una volta rilevate, le minacce vengono trasmesse alla rete globale di intelligence sulle minacce di Microsoft. Azure CWPP fornisce API Restful per l'integrazione con altri strumenti di sicurezza e sistemi di automazione. Tutte le informazioni relative alla sicurezza vengono archiviate in Log Analytics, che ne garantisce la corretta conservazione e il facile recupero.

Gestione e monitoraggio unificati

Azure CWPP aiuta nella gestione e nel monitoraggio delle risorse fornendo una console centralizzata. La dashboard di Microsoft Defender for Cloud è in grado di proiettare lo stato di sicurezza implementato in tutti gli ambienti.

Anche la gestione delle politiche è centralizzata grazie all'integrazione di Azure Policy, che aiuta anche nella gestione della conformità. Il sistema di gestione degli avvisi fornisce strumenti centralizzati che aiutano a dare priorità e a indagare sugli avvisi di sicurezza per un migliore piano di risposta agli incidenti.

Considerazioni su scalabilità e prestazioni

Azure CWPP offre i maggiori vantaggi ai team di sicurezza grazie alle sue capacità di scalabilità. È progettato in modo tale da poter scalare con il business. Azure CWPP è elastico nella natura della sua architettura, fornendo un ridimensionamento automatico con i dati aziendali e il carico di lavoro.

Questa piattaforma non dipende dalla posizione e può essere implementata in qualsiasi parte del mondo, il che aiuta a garantire un accesso rapido ai dati tenendo conto delle leggi sui dati di quella regione. Utilizza uno storage a più livelli, offrendo alle organizzazioni la flessibilità di sceglierne uno in base al proprio budget e alle proprie esigenze. È inoltre possibile implementare il bilanciamento del carico per garantire che il carico di lavoro sia distribuito uniformemente tra diversi server o nodi, per migliorare le prestazioni delle risorse.

Azure Sentinel con funzionalità SIEM e SOAR

Azure Sentinel è uno strumento CWPP che offre due funzionalità principali: una è la gestione delle informazioni e degli eventi di sicurezza (Siem) e l'altra è l'orchestrazione, l'automazione e la risposta di sicurezza (SOAR). Questo strumento aiuta nell'analisi della sicurezza e assiste il team di sicurezza nella risposta agli incidenti e nella pianificazione.

1. Strategie di acquisizione e normalizzazione dei dati

Le due tecniche utilizzate da Sentinel sono l'acquisizione dei dati e la loro successiva normalizzazione. Questo è importante poiché il cloud utilizza più fonti di dati per l'elaborazione. Lo strumento contiene connettori di dati che aiutano nella raccolta fluida di dati da diversi servizi come i servizi Azure, Microsoft 365, soluzioni di sicurezza di terze parti o applicazioni personalizzate.

2. Ricerca delle minacce con Kusto Query Language (KQL)

La ricerca delle minacce si basa sul linguaggio di query Kusto, che aiuta le organizzazioni ad analizzare i dati di log. Questo processo di analisi è in grado di rivelare diversi tipi di vulnerabilità che possono causare violazioni della sicurezza.

3. Gestione e indagine degli incidenti

Le funzionalità di ricerca della piattaforma sono integrate dalla piattaforma di intelligence sulle minacce di Microsoft. Il processo è guidato da una correlazione di regole che confrontano la telemetria e generano incidenti.

A sua volta, ogni incidente include informazioni sulla cronologia dell'attacco e sulle risorse interessate. Il grafico delle indagini mostra le relazioni tra le entità coinvolte in un particolare incidente. Utilizzando il grafico, il team di sicurezza può visualizzare come l'autore della minaccia ha ottenuto l'accesso alla risorsa interessata.

4. Orchestrazione automatizzata della risposta con playbook

In Azure Sentinel, le azioni durante la risposta agli incidenti sono determinate dai playbook, sviluppati sulla base di Azure Logic Apps. I playbook possono essere avviati manualmente dagli analisti o attivati da una condizione specifica. Possono contenere azioni semplici, come l'invio di un'e-mail o la creazione di un ticket, o catene complesse di azioni che potrebbero portare alla disabilitazione dell'account dell'utente interessato o al ripristino completo del sistema a uno stato precedente noto e funzionante.

Protezione della rete e dei dati in Azure CWPP

Azure CWPP offre un elevato livello di protezione sia per l'infrastruttura di comunicazione che per i dati trasferiti. Tali funzionalità operano in modo integrato, fornendo un ostacolo significativamente difficile da superare a una grande varietà di minacce.

Sicurezza di rete

La sicurezza di rete in Azure CWPP utilizza diverse tecnologie avanzate per proteggere i carichi di lavoro cloud:

  1. Mappatura dinamica e visualizzazione: Le tecnologie di visualizzazione della rete in tempo reale sono installate insieme ad Azure CWPP. Forniscono una panoramica altamente dettagliata e illustrativa della topologia della rete cloud, mostrando tutte le risorse. Le mappe visive rimangono aggiornate e mostrano la posizione in tempo reale delle risorse duplicate nell'ambiente cloud corrente.
  2. Implementazione dell'accesso Just-In-Time alle macchine virtuali: La superficie di attacco viene ridotta dall'implementazione di Azure CWPP dell'accesso JIT alle macchine virtuali, poiché blocca il traffico in entrata verso le macchine virtuali, riducendo al minimo la possibilità di un attacco.
  3. Tecniche di rafforzamento della rete adattivo: Il rafforzamento della rete adattivo utilizza l'apprendimento automatico per analizzare il modello di traffico. Sulla base del rapporto di analisi, Azure CWPP può suggerire le regole per il gruppo di sicurezza di rete (NSG). Funziona monitorando il traffico in entrata e in uscita dal servizio o dalla risorsa, contribuendo a formare un modello di utilizzo. Ciò, a sua volta, aiuta a implementare il modello di accesso con privilegi minimi per ridurre la superficie di attacco.
  4. Meccanismi di protezione DDoS: Azure CWPP aiuta a proteggere le aziende dagli attacchi Distributed Denial of Service (DDoS) offrendo il servizio di protezione DDoS di Azure. Il servizio utilizza la scalabilità e l'elasticità della rete globale di Microsoft per proteggere dagli attacchi DDoS.

Protezione dei dati

La protezione dei dati in Azure CWPP implementa una serie di strategie per proteggere i dati inattivi e in transito:

  1. Rilevamento e prevenzione degli attacchi SQL injection: Un altro servizio di sicurezza incluso in Azure CWPP è Advanced Threat Protection, che include funzionalità per rilevare e prevenire attacchi web come gli attacchi SQL injection. Ciò è possibile grazie al monitoraggio in tempo reale delle attività del database tramite l'apprendimento automatico per rilevare anomalie e l'uso di risposte automatizzate alle minacce.
  2. Best practice per la sicurezza dello storage: Azure CWPP fornisce indicazioni e strumenti per implementare la sicurezza dell'archiviazione e la gestione sicura degli accessi. Le raccomandazioni comuni relative alle migliori pratiche di archiviazione includono valutazioni periodiche della sicurezza, opzioni di trasferimento sicuro, crittografia avanzata dopo l'implementazione della gestione sicura degli accessi e isolamento della rete.
  3. Strategie di crittografia per i dati in transito e inattivi: La piattaforma Azure CWPP supporta una varietà di opzioni di crittografia. La crittografia dei dati archiviati è un'azione diretta di Azure CWPP durante il trasferimento dei dati all'archiviazione basata su cloud, come Azure Storage, Azure SQL Database e Azure Virtual Machines. Il trasferimento dei dati, a sua volta, deve essere crittografato utilizzando l'ultima versione TLS (Transport Layer Security).
  4. Gestione sicura delle chiavi con Azure Key Vault: La gestione sicura delle chiavi è un requisito fondamentale per il funzionamento di Azure CWPP ed è gestita da Azure Key Vault. Azure Key Vault è un servizio sicuro per l'archiviazione di chiavi crittografiche e altre informazioni segrete, tra cui password e certificati. Key Vault offre un processo di gestione delle chiavi semplificato grazie all'uso di un registro di accesso e alla rotazione automatica delle chiavi.

Protezione dei container e di Kubernetes in Azure CWPP

Con la crescente popolarità della containerizzazione e di Kubernetes, Azure CWPP offre servizi di sicurezza avanzati per garantire la protezione dei carichi di lavoro containerizzati e degli ambienti Kubernetes.

  • Scansione delle immagini in Azure Container Registry

Azure Container Registry (ACR) è integrato con Azure CWPP, consentendo agli utenti di usufruire del servizio di scansione delle immagini. In particolare, la funzionalità di scansione delle immagini alla ricerca di vulnerabilità viene applicata automaticamente quando l'immagine viene inviata al repository. Lo strumento ricerca le vulnerabilità note nei pacchetti dei sistemi operativi pertinenti e nelle dipendenze delle applicazioni.

Lo strumento utilizza diversi database di vulnerabilità per garantire una copertura completa. L'utilizzo dei database consente alla piattaforma di generare report dettagliati quando viene rilevata una vulnerabilità. I report includono informazioni sulla gravità di una determinata vulnerabilità, sui componenti interessati e sulle misure consigliate per risolvere il problema. L'approccio alla sicurezza delle immagini consente alle organizzazioni di rilevare potenziali problemi e risolverli prima di distribuire i container. Di conseguenza, il rischio di eseguire applicazioni compromesse in ambienti di produzione viene drasticamente ridotto.

  • Protezione runtime per applicazioni containerizzate

La protezione runtime di Azure CWPP per le applicazioni containerizzate estende le sue funzionalità di sicurezza ai container in esecuzione e fornisce protezione in tempo reale dalle minacce. Offre le seguenti misure per garantire la protezione runtime:

  1. Monitoraggio comportamentale: La piattaforma monitora continuamente il comportamento dei container in esecuzione e segnala eventuali anomalie o deviazioni dal comportamento normale che potrebbero indicare una violazione della sicurezza o un'attività dannosa.
  2. Segmentazione della rete: Il sistema aiuta le organizzazioni ad applicare le politiche di rete per impedire la comunicazione tra i container quando non è possibile o non è desiderabile, riducendo così la superficie di attacco.
  3. Gestione dei privilegi: L'uso della piattaforma consente alle organizzazioni di gestire i privilegi dei container in esecuzione e garantire il rispetto del principio del privilegio minimo.
  4. Risposta alle minacce in tempo reale: Quando viene rilevata una minaccia, la piattaforma può adottare misure immediate per rispondere, come isolare il contenitore interessato o informare il team di sicurezza dell'organizzazione.

Miglioramenti alla sicurezza specifici per Kubernetes

Azure CWPP dispone anche di diverse funzionalità che migliorano la sicurezza degli ambienti Kubernetes:

  1. Rilevamento delle minacce Kubernetes: Il sistema contiene rilevamenti integrati per minacce specifiche degli ambienti Kubernetes, come chiamate API sospette o la creazione di un pod in uno spazio dei nomi sensibile.
  2. Gestione della sicurezza Kubernetes: la piattaforma esegue regolarmente la scansione delle configurazioni Kubernetes dell'organizzazione per valutare il suo livello di sicurezza rispetto alle best practice e agli standard di conformità e fornire raccomandazioni per il miglioramento.
  3. Controllo delle ammissioni: L'uso di controller di ammissione consente al sistema di applicare politiche di sicurezza a livello di configurazione Kubernetes e impedire l'implementazione di risorse non conformi.
  4. Criteri di rete compatibili con Kubernetes: Il sistema aiuta le organizzazioni a creare e applicare criteri di rete specifici per Kubernetes, come il controllo delle comunicazioni sia da pod a pod che da pod a esterni.

Best practice per la sicurezza dei container in Azure

In questa sezione, discuteremo diverse best practice per sicurezza dei container con Azure CWPP:

  1. Utilizzare immagini di base minime: Si consiglia alle organizzazioni di utilizzare immagini di base minime e ufficiali per ridurre la potenziale superficie di attacco.
  2. Implementare il privilegio minimo: Le organizzazioni dovrebbero eseguire i propri container con i privilegi minimi necessari per svolgere le loro funzioni.
  3. Aggiornamenti e patch regolari: Le organizzazioni dovrebbero garantire che le immagini dei loro container e i sistemi che li eseguono siano regolarmente aggiornati con le patch più recenti.
  4. Segmentazione della rete: Si raccomanda di seguire il principio del privilegio minimo e di garantire un'adeguata segmentazione della rete per limitare il raggio d'azione di un potenziale attacco.
  5. Monitoraggio continuo: Le attività dei container devono essere monitorate e registrate continuamente.
  6. Gestione dei segreti: Azure Key Vault deve essere utilizzato per gestire i segreti necessari per l'esecuzione delle applicazioni containerizzate.

Best practice per Azure CWPP

Di seguito sono riportate le best practice comuni che le aziende dovrebbero implementare per ottenere il massimo da Azure CWPP:

#1. Linee guida per l'installazione e la configurazione iniziali

L'installazione e la configurazione iniziali di Azure CWPP sono importanti per la sua corretta implementazione. Le organizzazioni dovrebbero abilitare Azure Defender su tutti gli abbonamenti e le risorse. Azure CWPP offre vari strumenti per la raccolta di informazioni sulla sicurezza da tutti i servizi Azure richiesti e dagli strumenti di sicurezza di terze parti integrati nell'ambiente, denominati connettori dati per Azure Security Center.

#2. Gestione efficace degli avvisi e triage

I meccanismi di avviso devono essere impostati dai team di sicurezza per una migliore gestione delle minacce. Per implementare questo, è necessario formulare un piano adeguato, che contrassegni le minacce in base al loro livello di gravità e al livello di danno che possono causare. In seguito, è necessario identificare le relazioni di causa-effetto per correlare qualsiasi attività sospetta con l'aiuto degli avvisi.

#3. Monitoraggio continuo e miglioramento della postura di sicurezza

È necessario un monitoraggio continuo da parte dei team di sicurezza per individuare eventuali vulnerabilità potenziali. Le aziende dovrebbero controllare il punteggio di sicurezza presente in Azure Security Center, che fornirà raccomandazioni e potrà essere utilizzato durante la risoluzione delle minacce.

#4. Pianificazione ed esecuzione della risposta agli incidenti

Un piano di risposta agli incidenti aiuta i team di sicurezza a prepararsi in caso di incidenti di sicurezza o violazioni dei dati. Il piano di risposta agli incidenti dovrebbe menzionare i ruoli e le responsabilità dei diversi soggetti coinvolti in caso di incidente di sicurezza.

#5. Tecniche di ottimizzazione delle prestazioni

L'ottimizzazione delle prestazioni dell'implementazione di Azure CWPP è necessaria per evitare che prosciughi le risorse dell'organizzazione. Revisioni regolari delle prestazioni e messa a punto delle impostazioni CWPP possono aiutare a mantenere un'efficienza ottimale, garantendo al contempo una copertura di sicurezza completa.

Guida al mercato CNAPP

La guida di mercato Gartner per le piattaforme di protezione delle applicazioni cloud-native fornisce informazioni chiave sullo stato del mercato delle CNAPP.

Leggi la guida

Conclusione

Azure CWPP è una parte importante della sicurezza cloud. Azure CWPP è costituito da diversi strumenti di sicurezza che aiutano a proteggere le risorse di un'organizzazione. Alcuni di questi strumenti, come Azure Security Center, Azure Sentinel e Azure Defender, aiutano a proteggere la rete e i dati, oltre alla sicurezza dei container.

Azure CWPP è una soluzione fornita da Azure che aiuta ad affrontare il problema delle vulnerabilità moderne con la sua soluzione specifica per il cloud. Fornisce una visibilità completa sull'ambiente Azure e sugli ambienti ibridi. CWPP offre protezione avanzata dalle minacce e gestione della conformità in qualsiasi momento all'interno dell'organizzazione.

FAQs

Azure Cloud Workload Protection Platform non è solo un singolo strumento. Combina le funzionalità di diversi strumenti in un unico posto, fornendo una combinazione di sicurezza integrata. Le funzionalità comprendono Azure Security Center, Azure Defender, Azure Sentinel e Azure Firewall, che lavorano simultaneamente per fornire protezione ai carichi di lavoro cloud di Azure e proteggere l'organizzazione da diversi tipi di minacce.

Azure Cloud Security Posture Management (CSPM) aiuta le organizzazioni a scegliere il modello più adatto alle loro esigenze offrendo due piani tariffari. Il primo piano offerto è Foundational CSPM, che è gratuito e viene utilizzato dalle organizzazioni che hanno appena iniziato il loro percorso nel cloud e sono in fase di apprendimento. Il secondo piano è Defender CSPM, una versione a pagamento che offre funzionalità avanzate con un prezzo per risorsa e che viene solitamente adottato da organizzazioni che conoscono bene le proprie esigenze e hanno familiarità con il cloud.

Scopri di più su Sicurezza in-the-cloud

Che cos'è la sicurezza dell'infrastruttura cloud?Sicurezza in-the-cloud

Che cos'è la sicurezza dell'infrastruttura cloud?

La sicurezza dell'infrastruttura cloud è la pratica di proteggere l'infrastruttura virtuale e fisica delle risorse cloud da minacce esterne e interne utilizzando strumenti, tecnologie e politiche.

Per saperne di più
Elenco di controllo per il rafforzamento di Active DirectorySicurezza in-the-cloud

Elenco di controllo per il rafforzamento di Active Directory

Vuoi migliorare la sicurezza del tuo Active Directory? Scopri gli elementi chiave della checklist di rafforzamento di Active Directory e assicurati di non perderli!

Per saperne di più
5 best practice per una solida strategia di sicurezzaSicurezza in-the-cloud

5 best practice per una solida strategia di sicurezza

Buone pratiche di sicurezza possono costituire una solida base per la vostra azienda. Scoprite quali sono le più importanti nella nostra guida.

Per saperne di più
7 best practice per la sicurezza dei servizi cloud pubblici della tua organizzazioneSicurezza in-the-cloud

7 best practice per la sicurezza dei servizi cloud pubblici della tua organizzazione

Scopri perché la sicurezza del cloud pubblico è importante e quali sono le migliori pratiche che puoi implementare per migliorarla. In questa guida esamineremo quali funzionano e producono buoni risultati.

Per saperne di più
Siete pronti a rivoluzionare le vostre operazioni di sicurezza?

Siete pronti a rivoluzionare le vostre operazioni di sicurezza?

Scoprite come SentinelOne AI SIEM può trasformare il vostro SOC in una centrale elettrica autonoma. Contattateci oggi stesso per una demo personalizzata e per vedere il futuro della sicurezza in azione.

Richiedi una demo