Zero Trust e Defender per il cloud
Questo articolo fornisce le istruzioni e la strategia per l'integrazione di soluzioni di infrastruttura Zero Trust con Microsoft Defender per il cloud. Il materiale sussidiario include integrazioni con altre soluzioni, tra cui informazioni di sicurezza e gestione degli eventi (SIEM), risposta automatica dell'orchestrazione della sicurezza (SOAR), rilevamento e reazione degli endpoint (EDR) e soluzioni di Gestione dei servizi IT (ITSM).
L'infrastruttura comprende l'hardware, il software, i microservizi, l'infrastruttura di rete e le strutture necessarie per supportare i servizi IT per un'organizzazione. Che si tratti di un'infrastruttura locale o multi-cloud, l'infrastruttura rappresenta un vettore di minaccia critico.
Le soluzioni dell'infrastruttura Zero Trust valutano, monitorano e prevengono le minacce alla sicurezza per l'infrastruttura. Le soluzioni supportano i principi di Zero Trust assicurando che l'accesso alle risorse dell'infrastruttura venga verificato in modo esplicito e concesso usando principi di accesso con privilegi minimi. I meccanismi presuppongono una violazione, quindi cercano e rimediano le minacce alla sicurezza nell'infrastruttura.
Che cos'è Zero Trust?
Zero Trust è una strategia di sicurezza per la progettazione e l'implementazione dei seguenti set di principi di sicurezza:
| Verificare esplicita | Uso dell'accesso con privilegi minimi | Presunzione di violazione |
|---|---|---|
| Eseguire sempre l'autenticazione e l'autorizzazione in base a tutti i punti dati disponibili. | Limitare l'accesso degli utenti con JUST-In-Time e Just-Enough-Access (JIT/JEA), criteri adattivi basati sui rischi e protezione dei dati. | Ridurre al minimo il raggio di attacco e l'accesso al segmento. Verificare la crittografia end-to-end e usare l'analisi per ottenere visibilità, guidare il rilevamento delle minacce e migliorare le difese. |
Zero Trust e Defender per il cloud
Le linee guida per la distribuzione dell'infrastruttura Zero Trust forniscono le fasi chiave della strategia dell'infrastruttura Zero Trust:
- Valutare la conformità con gli standard e i criteri scelti.
- Configurazione della protezione avanzata ovunque si trovino lacune.
- Usare altri strumenti di protezione avanzata, ad esempio l'accesso just-in-time (JIT) alle VM.
- Configurare la protezione dalle minacce.
- Bloccare e contrassegnare automaticamente il comportamento rischioso e intraprendere azioni protettive.
Ecco come vengono mappate queste fasi per Defender per il cloud.
| Obiettivo | Defender for Cloud |
|---|---|
| Valutare la conformità | In Defender per il cloud a ogni sottoscrizione viene assegnata automaticamente l'iniziativa di Microsoft Cloud Security Benchmark (MCSB). Usando gli strumenti del punteggio di sicurezza e il dashboard di conformità alle normative è possibile ottenere una conoscenza approfondita del comportamento di sicurezza. |
| Implementare la protezione avanzata della configurazione | Le impostazioni dell'infrastruttura e dell'ambiente vengono valutate in base allo standard di conformità e in base a tali valutazioni sono rilasciati gli elementi consigliati. Nel tempo, è possibile esaminare e correggere le raccomandazioni sulla sicurezza e [tenere traccia dei miglioramenti del punteggio di sicurezza] (secure-score-access-and-track.md). È possibile classificare in ordine di priorità gli elementi consigliati per rimediare, in base ai potenziali percorsi di attacco. |
| Usare i meccanismi di protezione avanzata | L'accesso con privilegi minimi è un principio zero trust. Defender per il cloud consente di attivare la protezione avanzata delle macchine virtuali e delle impostazioni di rete usando questo principio con funzionalità quali: Accesso Just-In-Time (JIT) alla macchina virtuale. |
| Configurare la protezione dalle minacce | Defender per il cloud è una Cloud Workload Protection Platform (CWPP) che offre protezione avanzata e intelligente e risorse e carichi di lavoro ibridi di Azure. Altre informazioni. |
| Bloccare automaticamente il comportamento rischioso | Molti elementi consigliati di protezione avanzata in Defender per il cloud offrono un'opzione di rifiuto, per impedire la creazione di risorse che non soddisfano i criteri di protezione avanzata definiti. Altre informazioni. |
| Contrassegnare automaticamente il comportamento sospetto | Gli avvisi di sicurezza di Defender per il cloud vengono attivati dai rilevamenti delle minacce. Defender per il cloud assegna le priorità agli avvisi, formando un elenco dotato di informazioni utili per l'analisi. Inoltre fornisce i passi dettagliati per rimediare agli attacchi. Rivedere un elenco completo degli avvisi di sicurezza. |
Applicare Zero Trust agli scenari ibridi e multicloud
Con i carichi di lavoro cloud che in genere si estendono su più piattaforme cloud, i servizi di sicurezza del cloud devono eseguire le stesse operazioni. Defender per il cloud protegge i carichi di lavoro ovunque siano in esecuzione. In Azure, locale, AWS o GCP.
- AWS: per proteggere i computer AWS, eseguire l'onboarding degli account AWS in Defender per il cloud. Questa integrazione offre una vista unificata degli elementi consigliati di Defender per il cloud e dei risultati di AWS Security Hub. Altre informazioni sulla connessione degli account AWS a Microsoft Defender per il cloud.
- GCP: per proteggere i computer GCP, eseguire l'onboarding degli account GCP in Defender per il cloud. Questa integrazione offre una vista unificata degli elementi consigliati di Defender per il cloud e dei risultati di GCP Security Command Center. Altre informazioni sulla connessione degli account GCP a Microsoft Defender per il cloud.
- Computer locali. È possibile estendere la protezione di Defender per il cloud connettendo i computer locali ai server abilitati per Azure Arc. Altre informazioni sulla connessione di computer locali a Defender per il cloud.
Proteggere i servizi PaaS di Azure
Quando Defender per il cloud è disponibile in una sottoscrizione di Azure e i piani di Defender per il cloud sono abilitati per tutti i tipi di risorse disponibili, un livello di protezione dalle minacce intelligente, basato su Microsoft Threat Intelligence protegge le risorse nei servizi PaaS di Azure, inclusi Azure Key Vault, Archiviazione di Azure, DNS di Azure e altri. Altre informazioni sui tipi di risorse che Defender per il cloud può proteggere.
Automatizzare le risposte con App per la logica di Azure
Usare App per la logica di Azure per creare flussi di lavoro scalabili, processi aziendali e orchestrazioni aziendali automatizzati per integrare le app e i dati nei servizi cloud e nei sistemi locali.
La funzionalità di automazione del flusso di lavoro di Defender per il cloud consente di automatizzare le risposte ai trigger di Defender per il cloud.
Questo è un ottimo modo per definire e rispondere in modo automatizzato e coerente quando vengono individuate le minacce. Ad esempio, per inviare una notifica agli stakeholder pertinenti, avviare un processo di gestione del cambiamento e i applicare passaggi di correzione specifici quando viene rilevata una minaccia.
Implementare l’integrazione con soluzioni SIEM, SOAR e Gestione dei servizi IT
Defender per il cloud può trasmettere gli avvisi di sicurezza alle soluzioni SIEM, SOAR e Gestione dei servizi IT più diffuse. Sono disponibili strumenti nativi di Azure per assicurarsi di poter visualizzare i dati degli avvisi in tutte le soluzioni più diffuse attualmente in uso, tra cui:
- Microsoft Sentinel
- Splunk Enterprise and Splunk Cloud
- QRadar di IBM
- ServiceNow
- ArcSight
- Power BI
- Palo Alto Networks
Integrazione con Microsoft Sentinel
Defender per il cloud si integra in modo nativo con Microsoft Sentinel, la soluzione SIEM/SOAR di Microsoft.
Esistono due approcci per garantire che i dati di Defender per il cloud siano rappresentati in Microsoft Sentinel:
Connettori Sentinel: Microsoft Sentinel include connettori predefiniti per Microsoft Defender per il cloud con livelli di abbonamento e di tenant:
- Trasmettere avvisi a Microsoft Sentinel a livello di abbonamento
- Connettere tutti gli abbonamenti nel tenant a Microsoft Sentinel
Suggerimento
Per altre informazioni, vedere Connettere gli avvisi di sicurezza da Microsoft Defender per il cloud.
Flusso dei log di controllo: un modo alternativo per analizzare gli avvisi di Defender per il cloud in Microsoft Sentinel consiste nel trasmettere i log di controllo in Microsoft Sentinel:
Trasmettere gli avvisi con API Microsoft Graph Security
Defender per il cloud include un'integrazione predefinita con l'API Microsoft Graph Security. La configurazione non è necessaria e non sono previsti costi aggiuntivi.
È possibile usare questa API per trasmettere gli avvisi dall'intero tenant e i dati di molti altri prodotti Microsoft Security nelle SIEM di terze parti e altre piattaforme comuni:
- Splunk Enterprise e Splunk Cloud: usare l’add-on API Microsoft Graph Security per Splunk
- Power BI: connettersi all'API Microsoft Graph Security in Power BI Desktop
- ServiceNow: seguire le istruzioni per installare e configurare l'applicazione dell'API Microsoft Graph Security da ServiceNow Store
- QRadar: usare il modulo di supporto dei dispositivi di IBM per Defender per il cloud tramite API di Microsoft Graph
- Palo Alto Networks, Anomali, Lookout, InSparke altro ancora. Altre informazioni su API Microsoft Graph Security.
Trasmettere gli avvisi con Monitoraggio di Azure
Usare la funzionalità di esportazione continua di Defender per il cloud per connettersi a Monitoraggio di Azure tramite Hub eventi di Azure, e trasmettere gli avvisi in ArcSight, SumoLogic, server Syslog, LogRhythm, Logz.io Cloud Observability Platform e altre soluzioni di monitoraggio.
- Questa operazione può essere eseguita anche a livello di gruppo di gestione usando Criteri di Azure. Informazioni sulla creazione di configurazioni di automazione dell'esportazione continua su larga scala.
- Per visualizzare gli schemi eventi dei tipi di dati esportati, rivedere gli schemi di eventi di Hub eventi.
Altre informazioni sul flusso di avvisi per le soluzioni di monitoraggio.
Integrare con soluzioni EDR
Microsoft Defender for Endpoint
Microsoft Defender per endpoint è una soluzione di sicurezza degli endpoint olistica distribuita nel cloud. Il piano di carico di lavoro dei server Defender per il cloud, Defender per server, include una licenza integrata per Defender per endpoint. Insieme offrono funzionalità EDR complete. Altre informazioni sulla protezione degli endpoint.
Quando Microsoft Defender per endpoint rileva una minaccia, attiva un avviso. L'avviso viene visualizzato in Defender for Cloud. Da Defender per il cloud è anche possibile passare alla console di Microsoft Defender per endpoint e svolgere un'indagine dettagliata per individuare l'ambito dell'attacco.
Altre soluzioni EDR
Defender per il cloud offre la valutazione integrità per le versioni delle soluzioni EDR supportate.
Defender per il cloud offre elementi consigliati basati sul benchmark di Microsoft Security. Uno dei controlli nel benchmark è correlato alla sicurezza degli endpoint: ES-1: usare rilevamento e reazione degli endpoint (EDR). Sono disponibili due raccomandazioni per assicurarsi di abilitare Endpoint Protection e di funzionare correttamente. Altre informazioni sulla valutazione per le soluzioni EDR supportate in Defender per il cloud.
Passaggi successivi
Iniziare a pianificare la protezione dati multi-cloud.