L'ecosistema Microsoft Azure aiuta le aziende a archiviare in modo sicuro i propri dati e le risorse basate sul cloud utilizzando il proprio Azure Security Framework. Azure Security Framework fornisce alle organizzazioni linee guida dettagliate e insegna loro le best practice per sfruttare appieno il framework, dato che sempre più aziende stanno trasferendo le proprie operazioni sul cloud, rendendole vulnerabili e con un disperato bisogno di sicurezza.
Azure security framework è una caratteristica importante, soprattutto per le aziende che desiderano una soluzione scalabile per le loro esigenze di sicurezza, seguendo al contempo le best practice. Il framework è in linea con i moderni principi Zero Trust, che aboliscono il vecchio perimetro di rete con le sue soluzioni basate sul cloud.
Nel post discuteremo di come Azure Security Framework implementerebbe i principi Zero Trust, come funziona la strategia di difesa approfondita del framework e come le aziende possono utilizzare Azure per operare in modo conforme alle normative.
Comprendere Azure Security Framework
Azure Security Framework è stato progettato per proteggere le risorse cloud nell'ambiente Azure di Microsoft. Aiuta le aziende a soddisfare i requisiti di conformità, occupandosi al contempo dei loro dati, delle loro applicazioni e della loro infrastruttura. Pertanto, questo framework fornisce un framework di sicurezza uniforme e completo per tutti i servizi Azure.
Azure Security Framework rappresenta un insieme di pratiche di sicurezza che aiutano a proteggere e aumentare la qualità del carico di lavoro di Azure. Copre un'ampia gamma di competenze che forniscono un approccio alla protezione delle risorse cloud in Microsoft Azure.
Il framework non si concentra solo sulla protezione dei dati e delle risorse cloud, ma aiuta anche a implementare le migliori pratiche per la sicurezza cloud, che possono poi essere utilizzate dalle aziende per costruire e mantenere una forte difesa contro le minacce informatiche. Segue una strategia di difesa approfondita, creando più livelli di protezione per proteggersi da qualsiasi tipo di vulnerabilità o vettore di attacco.
Il framework fornisce una metodologia definita per garantire che le modifiche siano uniformi in tutto l'ambiente Azure, riducendo il rischio di potenziali vulnerabilità non individuate. Questo metodo è anche scalabile, garantendo che le pratiche di sicurezza possano adattarsi alla crescita dell'infrastruttura cloud di un'organizzazione. Oltre a tutto ciò, l'allineamento del framework agli standard normativi semplifica le attività di conformità per le organizzazioni. Contribuisce a sviluppare l'efficienza risparmiando tempo grazie all'eliminazione dei doppioni.
Quali sono i cinque pilastri del framework di Azure?
Di seguito sono riportati i cinque pilastri del framework di sicurezza di Azure, che costituiscono gli elementi fondamentali di questo approccio alla sicurezza cloud:
1. Gestione delle identità e degli accessi
Segue una semplice regola secondo cui solo gli utenti e i servizi autorizzati possono accedere alle risorse. Utilizza Azure Active Directory (ora noto come Microsoft Entra ID) per fornire autenticazione e autorizzazione. Questo pilastro tiene conto della verifica dell'identità, dell'autenticazione a più fattori e del principio del privilegio minimo per ridurre la superficie di attacco.
2. Sicurezza della rete
Si concentra sulla protezione delle risorse di rete e sull'influenza del flusso di traffico all'interno dell'ambiente Azure. Questo pilastro include funzionalità quali gruppi di sicurezza di rete, firewall Azure e protezione DDoS. Quando le reti sono segmentate e viene applicata una connettività di rete sicura, il rischio potenziale di accessi non autorizzati e violazioni dei dati all'interno dell'organizzazione viene ridotto.
3. Protezione dei dati
Questo livello si concentra sulla protezione dei dati di un'organizzazione. Aiuta a crittografare i dati in entrambe le fasi, sia a riposo che in transito. Contribuisce anche a prevenire la perdita di dati, grazie alle politiche di prevenzione in atto e alla gestione delle chiavi segrete con l'aiuto di Azure Key Vault. Assicura che, anche se le misure di sicurezza vengono compromesse, i dati riservati non vengano esposti.
4. Sicurezza delle applicazioni
Questo pilastro riguarda le applicazioni distribuite in Azure. Ciò comporta pratiche di sviluppo sicure, valutazioni regolari delle vulnerabilità e l'uso di funzionalità di sicurezza integrate per le applicazioni su Azure. Sottolinea la necessità di proteggere le applicazioni durante tutto il loro ciclo di vita: sviluppo, distribuzione e manutenzione.
5. Gestione e monitoraggio della sicurezza
Questo livello si concentra sulla visibilità dello stato di sicurezza delle risorse di Azure e fornisce risposte efficaci agli eventi. Utilizza Azure Security Center (ora noto come Microsoft Defender for Cloud ) e Azure Sentinel per la convalida continua della sicurezza, la rilevabilità delle minacce e le capacità di risposta agli incidenti. Pertanto, le organizzazioni possono mantenere un approccio proattivo alla sicurezza e lavorare rapidamente per identificare e risolvere potenziali minacce prima che si verifichino incidenti di sicurezza gravi.
Come sapere se il proprio framework Azure è ottimizzato?
Per determinare se un determinato framework di sicurezza Azure è ottimizzato o meno, è necessario effettuare una valutazione dettagliata che copra vari aspetti dell'ambiente cloud e delle pratiche di sicurezza.
In primo luogo, il framework deve basarsi sulle raccomandazioni di Microsoft fornite in Azure Security Benchmark, che costituisce una linea guida di sicurezza per i servizi Azure e un insieme pratico di raccomandazioni che soddisfano i requisiti specifici del settore una volta che questi sono noti. Per misurare con precisione il grado di ottimizzazione del framework di sicurezza, è necessario essere in grado di gestire efficacemente le identità e gli accessi, per cui è necessario disporre di Azure Active Directory con una corretta implementazione dell'autenticazione a più fattori tra tutti i dipendenti.
Devono essere valutate anche le funzionalità di sicurezza della rete del framework, tra cui una protezione adeguata tramite gruppi di sicurezza di rete, Azure Firewall e un'efficace segmentazione della rete.
In termini di sicurezza dei dati, è necessario garantire che i dati siano crittografati sia inattivi che in transito.
È inoltre necessario valutare la sicurezza delle applicazioni, poiché una protezione efficace delle applicazioni è una parte importante del ciclo di sviluppo, della valutazione periodica della sicurezza e dell'implementazione di un firewall per applicazioni Web.
Il monitoraggio degli incidenti di sicurezza dovrebbe anche fornire informazioni sul grado di ottimizzazione del proprio framework di sicurezza e include l'utilizzo di Azure Sentinel per il rilevamento delle minacce, l'analisi avanzata delle minacce, la registrazione completa e piani di risposta agli incidenti ben collaudati.
L'ultimo fattore da valutare è l'ottimizzazione delle misure di sicurezza e la gestione dei relativi costi, ma allo stesso tempo la valutazione finale deve essere lasciata all'organizzazione, così come la formazione e la sensibilizzazione.
Principi fondamentali di Azure Security Framework
Azure Security Framework si basa su due principi: Zero Trust Architecture e la strategia di difesa approfondita. Questi principi contribuiscono a creare un approccio alla sicurezza solido e dettagliato per gli ambienti Azure.
- Il modello Zero Trust funziona secondo il principio "Non fidarti mai, verifica sempre". Pertanto, per accedere a una risorsa, è necessario essere autenticati e disporre dell'accesso alla risorsa. Ciò indipendentemente dalla posizione dell'entità, sia essa all'interno o all'esterno della rete dell'organizzazione. In Azure, il modello Zero Trust o i principi vengono applicati attraverso la verifica esplicita, l'accesso con privilegi minimi e l'ipotesi di violazione.
- Al contrario, la difesa in profondità crede nella creazione di più livelli di sicurezza. Questi livelli comprendono la sicurezza fisica, la gestione delle identità e degli accessi, le difese perimetrali, la sicurezza della rete, la protezione dei calcoli, la sicurezza delle applicazioni e i controlli dei dati in Azure. Azure Firewall, Network Security Groups, Azure DDoS Protection, Azure Security Center e Azure Sentinel sono alcuni degli strumenti forniti da Azure per seguire questo approccio.
Guida al mercato CNAPP
La guida di mercato Gartner per le piattaforme di protezione delle applicazioni cloud-native fornisce informazioni chiave sullo stato del mercato delle CNAPP.
Leggi la guidaGestione delle identità e degli accessi in Azure
La gestione delle identità e degli accessi è essenziale per il framework di sicurezza di Microsoft Azure. Azure offre vari strumenti e servizi che consentono di controllare le identità e gli accessi nel cloud e in locale. Tra questi figurano:
Azure Active Directory (AAD)
Azure Active Directory è un servizio cloud-based di gestione delle identità e degli accessi sviluppato da Microsoft. Costituisce il nucleo dell'IAM per la maggior parte dell'offerta Infrastructure as a Service in Azure. La soluzione protegge le informazioni sensibili e garantisce la conformità, consente un accesso senza interruzioni alle applicazioni preferite da qualsiasi luogo e migliora la gestibilità utilizzando un'unica soluzione di gestione delle identità e degli accessi per tutte le applicazioni locali, SaaS e di altro tipo.
Autenticazione a più fattori (MFA) e criteri di accesso condizionale
Azure contribuisce ad aggiungere un ulteriore livello di protezione con l'aiuto dell'autenticazione a più fattori (MFA) (MFA). Questa funzionalità richiede agli utenti di superare un ulteriore livello di verifica prima di poter accedere a qualsiasi risorsa. Le politiche di accesso condizionale consentono l'implementazione di controlli di accesso, che aiutano fondamentalmente a configurare determinate condizioni che devono essere soddisfatte prima che l'accesso venga concesso.
Gestione delle identità privilegiate (PIM)
La gestione delle identità privilegiate è una funzionalità di Azure che consente di gestire, controllare e monitorare l'accesso alle risorse importanti in Azure Active Directory. Con PIM, i rischi associati ai privilegi amministrativi sono difficili da compromettere. PIM può aiutare a garantire che l'accesso privilegiato venga concesso solo quando necessario e per un breve periodo, mantenendo il principio del privilegio minimo.
Azure AD B2B e B2C
Azure AD B2B (Business-to-Business) e B2C (Business-to-Consumer) sono estensioni di Azure AD nel campo della gestione degli utenti esterni.
Azure AD B2B consente all'utente di invitare utenti ospiti di altre aziende tramite le app Azure AD. Gli utenti esterni possono utilizzare le proprie credenziali per accedere, il che potrebbe ridurre gli sforzi amministrativi necessari per la manutenzione di un intero endpoint per gli utenti esterni.
Azure AD B2C è una soluzione di gestione degli accessi delle identità dei clienti. Si tratta di una soluzione CIAM (Customer Identity Access Management) che consente di controllare e personalizzare le modalità di registrazione, accesso e gestione dei profili degli utenti quando utilizzano le loro applicazioni.
Implementazione della sicurezza di rete, delle applicazioni e dei dati in Azure
Azure offre un'ampia gamma di strumenti e servizi per implementare la sicurezza di rete, delle applicazioni e dei dati. La combinazione di queste tecnologie crea un approccio multilivello alla sicurezza che protegge i sistemi da vari tipi di minacce e problemi.
Reti virtuali (VNets) e gruppi di sicurezza di rete (NSG)
È la base della rete privata che gli utenti possono creare nel cloud e collegare le risorse tra loro, a Internet e alla rete locale. Le reti virtuali (VNet) offrono isolamento, segmentazione, spazio di indirizzi IP e funzionalità di sottorete, oltre a consentire la configurazione del DNS. Ogni istanza di risorse aggiunta a una VNet interagirà solo con altre istanze in quella rete. Il filtraggio del traffico in entrata e in uscita viene eseguito da Azure Network Security Group, che costituisce un livello di protezione. I gruppi di sicurezza di rete (NSG) sono essenzialmente un firewall integrato che dispone di regole di sicurezza che consentono o negano il traffico in base agli indirizzi IP di origine e destinazione, alle porte e ai protocolli.
Azure Firewall e protezione DDoS
Azure Firewall è un servizio di sicurezza di rete gestito e basato sul cloud che protegge le risorse di Azure Virtual Network. Si tratta di un firewall come servizio con alta disponibilità integrata e scalabilità cloud illimitata. Il firewall può creare, applicare e registrare criteri di connettività di rete e delle applicazioni in modo centralizzato per tutte le sottoscrizioni e le reti virtuali. Con le applicazioni Azure DDoS Protection in esecuzione su Azure, sono protette dagli attacchi Distributed Denial of Service. La protezione DDoS offre un monitoraggio del traffico sempre attivo e una gestione in tempo reale degli attacchi comuni a livello di rete.
Crittografia del servizio di archiviazione di Azure (SSE) e crittografia del disco
Azure Storage Service Encryption (SSE) crittografa automaticamente i dati inattivi in Azure Storage. Ciò garantisce la sicurezza dei dati e aiuta l'organizzazione a rispettare i propri impegni in materia di sicurezza e conformità. Crittografa i dati archiviati utilizzando la crittografia AES a 256 bit, uno dei più potenti algoritmi di cifratura a blocchi disponibili. Con la crittografia del disco, è possibile crittografare i dischi delle macchine virtuali IaaS Windows e Linux. La crittografia è disponibile sia per i dischi del sistema operativo che per quelli dei dati e utilizza BitLocker per Windows e la funzionalità Dm-Crypt per Linux.
Azure Key Vault per la gestione di segreti e chiavi
Azure Key Vault è un servizio cloud per la protezione e l'archiviazione dei segreti. Questi segreti possono essere chiavi di crittografia, certificati e password. Key Vault consente di mantenere il controllo delle chiavi che accedono e crittografano i dati. Fornisce strumenti di monitoraggio che aiutano a garantire che solo gli utenti e le applicazioni autorizzati abbiano accesso alle chiavi e ai segreti.
Crittografia dei dati in transito e inattivi
Azure può aiutarci a proteggere i dati utilizzando tecniche di crittografia dei dati. Se i dati sono in fase di transito, Azure applica una serie di regole standard tra il dispositivo in uso e il data center e anche all'interno del data center stesso. Se i dati sono inattivi, possono essere protetti utilizzando tecnologie di crittografia.
Best practice per l'implementazione del framework Azure
Di seguito sono elencate alcune best practice da seguire per l'implementazione del framework Azure:
#1. Implementare il principio del privilegio minimo
Il principio del privilegio minimo rappresenta l'idea di fornire livelli minimi di accesso o autorizzazioni necessari per completare determinate attività. In Azure, il principio viene attuato attraverso l'uso del controllo degli accessi basato sui ruoli. Ogni ruolo implica una determinata serie di autorizzazioni. A utenti, gruppi e applicazioni vengono quindi assegnate queste autorizzazioni, che non possono essere superate. Utilizza Azure AD Privileged Identity Management, che garantisce un accesso privilegiato just-in-time per ridurre il rischio che l'autore dell'attacco acquisisca un livello elevato di autorizzazioni.
#2. Abilitare e configurare l'accesso just-in-time (JIT)
L'accesso JIT alle macchine virtuali è una funzionalità esclusiva di Microsoft Defender per il cloud che blocca il traffico in entrata verso le macchine virtuali monitorate. Quando vi si accede, apre il traffico a quelle fonti identificate per il periodo di tempo specificato. Quando un utente richiede l'accesso a una macchina virtuale, Microsoft Defender for Cloud sarà in grado di verificare se l'utente dispone delle autorizzazioni RBAC. Se ottiene l'autorizzazione, Microsoft Defender for Cloud apre le porte controllate dalla soluzione JIT per il periodo di tempo specificato e le blocca nuovamente una volta trascorso tale periodo.
#3. Implementare la segmentazione di rete e la microsegmentazione
La segmentazione di rete si riferisce al processo di frammentazione di una singola rete in più reti più piccole e all'applicazione della sicurezza a questi microsegmenti. Valutare l'utilizzo di reti virtuali (VNet) e sottoreti in Azure per facilitare una struttura di rete. Utilizzare i gruppi di sicurezza di rete (NSG) nelle sottoreti per implementare queste funzionalità.
#4. Automatizzare le politiche di sicurezza e i controlli di conformità
È necessario mantenere un elevato livello di automazione per garantire un livello di sicurezza unificato per Azure. Azure Policy è in grado di applicare i propri standard in una determinata configurazione e valutare il grado di conformità in tutto l'ambiente. Può correggere automaticamente i difetti nell'architettura e combinarli con i consigli di sicurezza di Azure Security Center.
#5. Condurre valutazioni di sicurezza e test di penetrazione regolari
È necessario valutare regolarmente la protezione del proprio ambiente Azure e condurre test di penetrazione. Azure Security Center può essere utilizzato per condurre valutazioni continue delle risorse Azure. Per eseguire test più completi, è utile sfruttare le offerte di valutazione delle vulnerabilità integrate in Azure o collegare strumenti di test di penetrazione di terze parti.
SentinelOne per la sicurezza e il monitoraggio di Azure
SentinelOne’s Singularity Endpoint è una potente piattaforma di rilevamento e risposta degli endpoint (EDR) che si integra con Azure per offrire ulteriore sicurezza e monitoraggio.
- Protezione basata sull'intelligenza artificiale: L'uso dell'intelligenza artificiale e dell'apprendimento automatico da parte di SentinelOne consente alla piattaforma di offrire rilevamento delle minacce in tempo reale, risposta completamente autonoma e visibilità completa sull'ambiente Azure. Di conseguenza, l'integrazione con SentinelOne consente alle organizzazioni di aumentare il livello di sicurezza automatizzata e monitorare adeguatamente i propri carichi di lavoro Azure.
- Protezione unificata degli endpoint: L'integrazione di SentinelOne con Azure ci consente di ottenere una protezione unificata degli endpointendpoint su tutte le macchine virtuali Azure e i carichi di lavoro cloud. In particolare, la piattaforma è in grado di eseguire la scansione e proteggere tutte le risorse nell'infrastruttura Azure utilizzando il rilevamento autonomo delle minacce.
- Registrazione e monitoraggio avanzati: Le funzionalità di visibilità approfondita di SentinleOne includono la possibilità di tracciare le attività di sistema, quali processi, modifiche al file system, connessioni di rete e altro, per tutti i tipi di processi e applicazioni in esecuzione sui server. La possibilità di questo tipo di monitoraggio è importante ai fini del rilevamento delle minacce e dell'analisi forense in caso di incidenti di sicurezza.
- Risposta automatizzata: In caso di minaccia, la piattaforma di SentinleOne bloccherebbe ogni possibile diffusione della minaccia, eseguirebbe un rollback automatico delle modifiche causate dal malware e, se necessario, ripristinerebbe il sistema allo stato precedente.
Vedere SentinelOne in azione
Scoprite come la sicurezza del cloud basata sull'intelligenza artificiale può proteggere la vostra organizzazione con una demo individuale con un esperto dei prodotti SentinelOne.
Richiedi una demoConclusione
Azure Security Framework è un approccio alla sicurezza completo ed elaborato che offre una difesa multilivello, rimanendo al passo con i progressi delle moderne minacce alla sicurezza informatica. Come discusso nel blog, possiamo vedere che Azure Security Framework non è solo un insieme di strumenti di sicurezza, ma un pacchetto completo basato sull'architettura Zero Trust e sui principi di difesa approfondita. Questo framework protegge le operazioni cloud di qualsiasi azienda e fornisce loro il massimo livello di flessibilità e capacità in termini di archiviazione delle informazioni ed esecuzione di operazioni digitali nel cloud.
Uno dei vantaggi più evidenti del framework di sicurezza è che riduce la complessità senza compromettere la sicurezza. Azure Security Framework è progettato in modo da essere scalabile e complementare a qualsiasi fase dello sviluppo dell'infrastruttura cloud. È importante sottolineare che il framework è stato progettato appositamente in questo modo, considerando che nel mondo moderno le minacce alla sicurezza informatica legate al cloud tendono a ridurre i vantaggi della trasformazione cloud. Pertanto, l'adozione di questo modello è un modo perfetto per le aziende di rimanere all'avanguardia e migrare e operare nel cloud in modo sicuro.
"Domande frequenti su Azure Security Framework
Il framework Azure incorpora una serie di strumenti che aiutano le organizzazioni a sviluppare, distribuire e mantenere applicazioni cloud. Azure fornisce strumenti per soluzioni IaaS (Infrastructure as a Service), PaaS (Platform as a Service) e SaaS (Software as a Service).
Azure DevOps è stato progettato da Microsoft come un insieme di soluzioni e strumenti di sviluppo. Si concentra su una serie di funzionalità relative al processo, quali il controllo delle versioni, il monitoraggio degli elementi di lavoro, i moduli CI/CD e le funzionalità di test. È fondamentale per le organizzazioni in quanto aiuta i team di progetto a semplificare il ciclo di sviluppo.
Azure Identity Experience Framework è uno dei componenti del sistema di soluzioni di gestione delle identità di Microsoft. È considerato una piattaforma facilmente configurabile progettata per creare soluzioni brandizzate che consentono agli utenti di accedere o registrarsi all'applicazione.
