Protezione delle macchine virtuali di Azure con il Centro sicurezza di Azure (Defender for Cloud)

Protezione delle macchine virtuali di Azure con il Centro sicurezza di Azure (Defender for Cloud)

01/08/2024

Questo articolo tecnico ed educativo ha lo scopo di guidare analisti della sicurezza, amministratori IT e ingegneri di sistema nell'uso di Microsoft Defender for Cloud (in precedenza Azure Security Center) per proteggere le macchine virtuali di Azure (VM). Defender for Cloud è una soluzione completa di gestione della postura di sicurezza del cloud (CSPM) e protezione del carico di lavoro del cloud (CWPP) che fornisce visibilità, consigli sulla sicurezza, rilevamento delle minacce e funzionalità di protezione per le VM, garantendo che rimangano sicure e conformi [1].

Introduzione

Le macchine virtuali sono una componente fondamentale di molte infrastrutture cloud, poiché ospitano applicazioni critiche, database e servizi essenziali. Tuttavia, la sicurezza delle macchine virtuali nel cloud è una responsabilità condivisa tra il fornitore di servizi cloud (Azure) e il cliente. Errori di configurazione, software obsoleto, vulnerabilità note e accessi non autorizzati possono esporre le VM a un'ampia gamma di minacce informatiche. Microsoft Defender for Cloud semplifica il compito di proteggere le VM fornendo una visione unificata del livello di sicurezza, identificando in modo proattivo le vulnerabilità e offrendo protezione avanzata dalle minacce, il tutto integrato nativamente nell'ambiente Azure [2].

Questa guida pratica riguarderà l'integrazione delle VM con Defender for Cloud, l'attivazione del piano Defender for Servers, l'analisi e l'implementazione dei consigli sulla sicurezza, la configurazione dell'accesso Just-in-Time (JIT) e il rilevamento delle minacce. Verranno fornite istruzioni dettagliate, esempi di comandi e istruzioni della CLI di Azure in modo che il lettore possa implementare una solida strategia di protezione delle VM, riducendo la superficie di attacco e rafforzando la resilienza informatica della propria infrastruttura di Azure.

Perché Microsoft Defender for Cloud è fondamentale per le VM?

  • Security Posture Management (CSPM): valuta continuamente la configurazione delle VM rispetto alle best practice di sicurezza e agli standard normativi, fornendo consigli attuabili.
  • Workload Protection (CWPP): fornisce protezione avanzata dalle minacce, tra cui rilevamento malware, controllo delle applicazioni, monitoraggio dell'integrità dei file e protezione della rete per le VM.
  • Visibilità centralizzata: consolida gli avvisi di sicurezza e i consigli provenienti da più fonti in un'unica dashboard, semplificando la gestione della sicurezza.
  • Accesso Just-in-Time (JIT): riduce la superficie di attacco delle VM limitando l'accesso alle porte di gestione solo quando necessario e per un periodo di tempo limitato.
  • Integrazione nativa: si integra perfettamente con altri servizi di Azure e soluzioni Microsoft 365 Defender, fornendo un'esperienza di sicurezza unificata.
  • Automazione: consente di automatizzare la correzione delle vulnerabilità e la risposta agli incidenti, ottimizzando le operazioni di sicurezza.

Prerequisiti

Per proteggere le macchine virtuali di Azure con il Centro sicurezza di Azure, saranno necessari i seguenti elementi:

  1. Abbonamento Azure attivo: un abbonamento Azure per creare e gestire risorse.
  2. Accesso amministrativo: un account con il ruolo di "Proprietario", "Collaboratore" o "Amministratore della sicurezza" nella sottoscrizione di Azure o nel gruppo di risorse in cui si trovano le VM.
  3. Macchine virtuali di Azure esistenti: macchine virtuali di Azure che desideri proteggere. Per questo tutorial presupporremo che tu abbia già distribuito VM.
  4. Facoltativo: interfaccia della riga di comando di Azure o Azure PowerShell: per l'automazione e la gestione tramite riga di comando.

Passo dopo passo: protezione delle VM con il Centro sicurezza

Configuriamo il Centro sicurezza per proteggere le tue VM di Azure.

1. Abilitare Microsoft Defender for Cloud nel tuo abbonamento

Defender for Cloud è abilitato per l'abbonamento. Se non è già abilitato, procedi nel seguente modo:

  1. Apri il browser e accedi al portale di Azure: "https://portal.azure.com".
  2. Accedi con un account che disponga delle autorizzazioni necessarie.
  3. Nel campo di ricerca in alto, digita "Defender for Cloud" e selezionalo dai risultati.
  4. Nel dashboard di Defender for Cloud, seleziona Impostazioni ambiente nel riquadro di navigazione a sinistra.
  5. Seleziona la sottoscrizione di Azure che contiene le tue VM.
  6. Nella pagina dei piani Defender, assicurati che il piano Defender for Servers sia "Aattivato`. In caso contrario, fare clic su "Abilita" e seguire le istruzioni per abilitarlo. Questo piano è essenziale per la protezione avanzata delle VM [4].

2. Onboarding della macchina virtuale

Prima che il Centro sicurezza possa monitorare e proteggere le macchine virtuali, è necessario che sia installato l'agente Log Analytics (noto anche come Microsoft Monitoring Agent - MMA). Per le macchine virtuali di Azure, questa operazione viene in genere eseguita automaticamente quando viene attivato il piano Defender for Servers. Per le macchine virtuali non di Azure sarà necessario eseguirne l'onboarding tramite Azure Arc.

  1. Dopo aver abilitato Defender for Servers, Defender for Cloud tenterà di eseguire automaticamente il provisioning dell'agente Log Analytics su tutte le macchine virtuali di Azure nella sottoscrizione.
  2. È possibile controllare lo stato dell'agente in Inventario risorse nel Centro sicurezza. Filtra per "Tipo di risorsa" = "Macchine virtuali".
  3. Fare clic su una VM per visualizzarne lo stato di integrità e se l'agente è installato.

3. Revisione delle raccomandazioni sulla sicurezza

Il Centro sicurezza valuta continuamente le tue VM e fornisce consigli per migliorare il tuo livello di sicurezza.

  1. Nel dashboard di Defender for Cloud, seleziona Consigli nel riquadro di navigazione a sinistra.
  2. Filtra i suggerimenti per "Tipo di risorsa" = "Macchine virtuali".

  3. Verrà visualizzato un elenco di raccomandazioni come "Le vulnerabilità nelle macchine virtuali dovrebbero essere corrette", "L'accesso JIT alla porta di gestione dovrebbe essere adattato sulle macchine virtuali" o "L'MFA dovrebbe essere abilitata sugli account con autorizzazioni di lettura sui propri abbonamenti".

  4. Fare clic su un suggerimento (ad esempio "Le vulnerabilità nelle macchine virtuali devono essere corrette") per visualizzare i dettagli.

    • Verrà visualizzata una descrizione della vulnerabilità, del potenziale impatto e un elenco delle VM interessate.
    • Defender for Cloud si integra con Microsoft Defender Vulnerability Management per fornire una valutazione completa della vulnerabilità per le tue VM.

4. Implementazione dell'accesso Just-in-Time (JIT) per le macchine virtuali

L'accesso JIT riduce la superficie di attacco delle tue VM garantendo che le porte di gestione (ad esempio RDP 3389, SSH 22) siano aperte solo quando necessario e per un periodo di tempo limitato.

  1. Nel dashboard del Centro sicurezza, seleziona Protezione del carico di lavoro > Accesso just-in-time alle VM.

  2. Verrà visualizzato un elenco di VM idonee per JIT. Seleziona una VM e fai clic su Abilita JIT sulla VM.

  3. Configurare le porte che devono essere protette da JIT (es: 3389 per RDP, 22 per SSH).

  4. Definire il Tempo massimo di richiesta (es: 3 ore) e i Protocolli consentiti.
  5. Impostare gli "Indirizzi IP di origine approvati" (opzionale, per limitare ulteriormente l'accesso).
  6. Fare clic su Salva.

Richiesta di accesso JIT

Quando un utente deve accedere alla VM:

  1. Nel dashboard del Centro sicurezza, seleziona Protezione del carico di lavoro > Accesso just-in-time alle VM.
  2. Seleziona la VM a cui desideri accedere e fai clic su Richiedi accesso.
  3. Specificare la porta, l'ora di accesso e l'indirizzo IP di origine.
  4. Fare clic su Porte aperte.

5. Rilevamento delle minacce e avvisi di sicurezza

Defender for Cloud monitora continuamente le tue VM per rilevare attività sospette e minacce.

  1. Nel dashboard di Defender for Cloud, seleziona Avvisi di sicurezza nel riquadro di navigazione a sinistra.

  2. Verrà visualizzato un elenco di avvisi generati per le tue VM, classificati in base alla gravità (ad esempio "VM Brute Force Attempt", "Suspicious PowerShell Activity").

  3. Fare clic su un avviso per visualizzare i dettagli, tra cui:

    • Descrizione: Spiega la natura della minaccia.
    • Risorse interessate: la VM coinvolta.
    • Azioni consigliate: passaggi per indagare e correggere l'avviso.
    • Cronologia dell'attacco: una rappresentazione visiva della sequenza degli eventi.

Convalida e test

La convalida della protezione delle macchine virtuali con il Centro sicurezza implica la verifica che vengano generati consigli, applicate le protezioni e rilevati gli avvisi.

1. Verifica dei consigli sulla sicurezza

  1. Crea una nuova VM di Azure senza applicare tutte le impostazioni di sicurezza consigliate (ad esempio nessuna crittografia del disco, nessun aggiornamento di sicurezza).
  2. Attendere alcune ore affinché il Centro sicurezza valuti la VM.
  3. Controllare il dashboard Raccomandazioni del Centro sicurezza per verificare se sono stati generati consigli di sicurezza per la nuova VM.

2. Testare l'accesso JIT

  1. Prova ad accedere a una porta protetta da JIT (ad esempio RDP) suuna VM senza richiedere l'accesso JIT.
    • Risultato previsto: la connessione deve essere rifiutata.
  2. Richiedere l'accesso JIT per la VM e la porta desiderate.
  3. Prova ad accedere nuovamente alla porta entro il periodo di tempo assegnato.
    • Risultato previsto: la connessione dovrebbe avere esito positivo.

3. Simulazione di un avviso di sicurezza

  1. Su una VM di test protetta dal Centro sicurezza, provare a eseguire un'attività che potrebbe generare un avviso (ad esempio, provare più volte ad accedere con credenziali errate tramite RDP per simulare la forza bruta).
  2. Attendi qualche minuto.
  3. Controllare il dashboard Avvisi di sicurezza di Defender for Cloud per verificare se è stato generato un avviso per la VM.

Suggerimenti e best practice per la sicurezza

  • Abilita Defender for Servers: assicurati che il piano Defender for Servers sia abilitato per tutti gli abbonamenti e le VM per la protezione più completa.
  • Segui i consigli: monitora e implementa regolarmente i consigli di sicurezza forniti da Defender for Cloud per mantenere un solido livello di sicurezza.
  • Accesso JIT per le porte di gestione: utilizza sempre l'accesso JIT per le porte di gestione delle VM per ridurre al minimo la superficie di attacco e proteggerti dagli attacchi di forza bruta e dalle scansioni delle porte.
  • Integrazione con criteri di Azure: usa criteri di Azure per applicare standard di sicurezza e garantire che le macchine virtuali vengano distribuite con configurazioni sicure fin dall'inizio.
  • Gestione delle patch: mantieni aggiornati il ​​sistema operativo e le applicazioni sulle tue VM con le ultime patch di sicurezza.
  • Principio del privilegio minimo: concedi solo le autorizzazioni necessarie agli utenti e ai servizi che interagiscono con le tue VM.
  • Monitoraggio dei log: integra i log di sicurezza delle VM con Monitoraggio di Azure e Microsoft Sentinel per l'analisi centralizzata e il rilevamento avanzato delle minacce.

Risoluzione dei problemi comuni

  • Le macchine virtuali non vengono visualizzate in Defender for Cloud: verifica che l'abbonamento sia onboarded e che il piano Defender for Servers sia attivo. Assicurarsi che l'agente Log Analytics sia installato e in esecuzione nella macchina virtuale. Controllare la connettività di rete della VM agli endpoint Log Analytics.
  • Nessun consiglio generato per le VM: il Centro sicurezza potrebbe richiedere del tempo per valutare le VM dopo l'onboarding. Assicurati che l'agente stia inviando dati. Controlla le esclusioni configurate che potrebbero impedire la valutazione.
  • L'accesso JIT non funziona: verificare che JIT sia abilitato per la VM e per le porte corrette. Assicurati che l'indirizzo IP di origine nella richiesta di accesso JIT corrisponda al tuo indirizzo IP pubblico. Controllare i log attività di Azure per eventuali errori relativi a JIT.
  • Avvisi di sicurezza mancanti: verifica che il piano Defender for Servers sia attivo. Assicurarsi che l'agente Log Analytics stia inviando dati di sicurezza. Controlla se hai configurato le esclusioni degli avvisi.
  • Problemi di prestazioni dell'agente: se l'agente di Log Analytics causa problemi di prestazioni nella VM, controlla i requisiti delle risorse e valuta la possibilità di modificare le impostazioni di raccolta dati.

Conclusione

Microsoft Defender for Cloud è uno strumento indispensabile per proteggere le macchine virtuali di Azure, offrendo un approccio integrato alla gestione del livello di sicurezza e alla protezione avanzata dalle minacce. Abilitando il piano Defender for Servers, implementando raccomandazioni di sicurezza, configurando l'accesso Just-in-Time e monitorando gli avvisi, le organizzazioni possono ridurre significativamente i rischi associati alle loro VM cloud. L'uso efficace del Centro sicurezza, combinato con le procedure consigliate di sicurezza e l'integrazione con altri servizi di Azure, garantisce che le macchine virtuali siano una risorsa sicura e resiliente nella tua infrastruttura cloud. Con questa guida pratica, i professionisti della sicurezza saranno ben attrezzati per proteggere le proprie macchine virtuali di Azure mantenendo un ambiente sicuro e conforme.

Riferimenti:

[1]Microsoft Learn. Che cos'è Microsoft Defender per Cloud?. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/defender-for-cloud-introduction [2]Microsoft Learn. Proteggi i tuoi server con Defender for Servers. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/tutorial-enable-servers-plan [3]Microsoft Learn. Accesso Just-in-Time (JIT) alla VM. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/just-in-time-access-usage [4]Microsoft Learn. Matrice di supporto per macchine virtuali. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/support-matrix-compute