Descrivere le protezioni dei carichi di lavoro in Microsoft Defender per il cloud

  • 11 minuti

Defender per il cloud è uno strumento per la gestione del comportamento di sicurezza e la protezione dalle minacce. Rafforza la postura di sicurezza delle risorse cloud e, con i piani integrati di Microsoft Defender, Defender for Cloud protegge i carichi di lavoro in esecuzione in Azure, in ambienti ibridi e in altre piattaforme cloud.

Defender per il cloud fornisce gli strumenti necessari per la protezione avanzata delle risorse, per tenere traccia del comportamento di sicurezza, per proteggersi dagli attacchi informatici e per semplificare la gestione della sicurezza. Poiché è integrato in modo nativo, la distribuzione di Defender per il cloud è semplice e offre il provisioning automatico semplice per proteggere le risorse per impostazione predefinita. Defender per il cloud soddisfa tre esigenze fondamentali man mano che si gestisce la sicurezza delle risorse e dei carichi di lavoro nel cloud e in locale:

  • Valutazione continua: comprendere il comportamento di sicurezza corrente.

  • Protezione: rafforzare tutte le risorse e i servizi connessi.

  • Difesa: rilevare e risolvere le minacce a tali risorse e servizi.

Per garantire la protezione da questi problemi, Microsoft Defender per il cloud offre gli strumenti necessari per:

  • Punteggio di sicurezza: un singolo punteggio che permette di capire, a colpo d'occhio, lo stato di sicurezza attuale: maggiore è il punteggio, minore è il livello di rischio identificato.

  • Raccomandazioni per la sicurezza: attività di protezione avanzata personalizzate e con priorità per migliorare il comportamento. Si implementa una raccomandazione seguendo i passaggi dettagliati di correzione forniti in quest'ultima. Per molte raccomandazioni, Defender per il cloud offre un pulsante "Correggi" per l'implementazione automatica.

  • Avvisi di sicurezza: con le funzionalità di sicurezza avanzate abilitate, Defender per il cloud rileva le minacce alle risorse e ai carichi di lavoro. Questi avvisi vengono visualizzati nel portale di Azure e Defender per il cloud può anche inviarli tramite posta elettronica al personale pertinente dell'organizzazione. Possono anche essere trasmessi a soluzioni SIEM, SOAR o IT Service Management in base alle esigenze.

Architettura

Poiché Defender per il cloud è nativo in Azure, i servizi PaaS di Azure, come Service Fabric, Database SQL, Istanza gestita di SQL e gli account di archiviazione, vengono monitorati e protetti da Defender per il cloud senza la necessità di una distribuzione.

Defender per il cloud protegge inoltre i server e le macchine virtuali non di Azure nel cloud o in locale, sia per i server di Windows che per quelli di Linux, installando l'agente di Log Analytics nei server stessi. Le macchine virtuali di Azure vengono sottoposte a provisioning automatico in Microsoft Defender per il cloud.

Gli eventi raccolti dagli agenti e da Azure sono correlati nel motore di analisi della sicurezza per fornire raccomandazioni personalizzate (attività di protezione avanzata), che è necessario seguire per garantire che i carichi di lavoro siano protetti. È necessario esaminare gli avvisi appena possibile per assicurarsi che non siano in corso attacchi dannosi ai carichi di lavoro.

Quando si abilita Defender per il cloud, i criteri di sicurezza predefiniti in Defender per il cloud si riflettono in Criteri di Azure come iniziativa predefinita nella categoria Defender per il cloud. L'iniziativa predefinita viene automaticamente assegnata a tutte le sottoscrizioni registrate di Defender per il cloud (indipendentemente dal fatto che Defender per il cloud sia abilitato o meno). L'iniziativa predefinita contiene solo criteri di controllo. Per altre informazioni sui criteri di Defender per il cloud in Criteri di Azure, vedere Utilizzo dei criteri di sicurezza.

Migliorare il comportamento di sicurezza

Defender per il cloud consente di rafforzare il comportamento di sicurezza. Ciò significa che consente di identificare ed eseguire le attività di protezione avanzata come procedure consigliate di sicurezza e di implementarle su computer, servizi di dati e app. Incluse la gestione e l'applicazione dei criteri di sicurezza e la verifica della conformità di macchine virtuali di Azure, server non Azure e servizi PaaS di Azure. Defender per il cloud offre gli strumenti necessari per avere una panoramica generale sui carichi di lavoro, con uno sguardo approfondito al patrimonio della sicurezza di rete.

Gestione delle policy di sicurezza dell’organizzazione e conformità

Conoscere e verificare che i carichi di lavoro siano protetti è fondamentale. Per farlo, è necessario disporre di policy di sicurezza personalizzate. Dal momento che tutti i criteri in Defender per il cloud sono basati su controlli di Criteri di Azure, è possibile usufruire dell'intera gamma e della flessibilità di una soluzione di qualità elevata per la gestione dei criteri. In Defender per il cloud è possibile impostare i propri criteri da eseguire su gruppi di gestione, sottoscrizioni e anche su un intero tenant.

Defender per il cloud consente di identificare le sottoscrizioni Shadow IT. Esaminando le sottoscrizioni con l'etichetta "non coperte" nel dashboard, è possibile sapere immediatamente quando vengono create nuove sottoscrizioni e assicurarsi che siano coperte dai criteri e protette da Defender per il cloud.

Valutazioni continue

Defender per il cloud individua continuamente nuove risorse distribuite in tutti i carichi di lavoro e valuta se sono configurate in base alle procedure consigliate per la sicurezza. In caso contrario, le risorse vengono contrassegnate e si riceve un elenco di consigli riguardanti gli elementi che è necessario correggere al fine di proteggere i computer.

Per consentire agli utenti di comprendere l'importanza delle singole raccomandazioni ai fini del comportamento di sicurezza complessivo, Defender per il cloud raggruppa le raccomandazioni in controlli di sicurezza e aggiunge a ogni controllo un valore che indica il punteggio di sicurezza. Il punteggio è essenziale per classificare in ordine di priorità gli interventi di sicurezza.

Mappa di rete

Uno degli strumenti più potenti offerti da Defender per il cloud per il monitoraggio continuo dello stato di sicurezza della rete è la mappa di rete. La mappa consente di visualizzare la topologia dei carichi di lavoro, pertanto è possibile controllare che ogni nodo sia configurato correttamente. È possibile visualizzare come sono connessi i nodi per bloccare le connessioni indesiderate che potrebbero potenzialmente agevolare l’attacco alla rete da parte di un utente malintenzionato.

Screenshot of the Defender for Cloud Network map.

Il cuore del valore di Defender per il cloud risiede nelle raccomandazioni. Le raccomandazioni sono personalizzate per i particolari problemi di sicurezza rilevati sui carichi di lavoro. Defender per il cloud funge da amministratore della sicurezza non solo rilevando le vulnerabilità, ma anche fornendo istruzioni specifiche per risolverle.

In questo modo, Defender per il cloud consente non solo di impostare criteri di sicurezza, ma anche di applicare gli standard di una configurazione protetta in tutte le risorse.

Le raccomandazioni consentono di ridurre la superficie di attacco in ogni risorsa: macchine virtuali di Azure, server non Azure e servizi PaaS di Azure, come SQL, account di archiviazione e altro ancora. Ogni tipo di risorsa viene valutato in modo diverso e ha i propri standard.

Protezione contro le minacce

La protezione dalle minacce di Defender per il cloud consente di rilevare ed evitare possibili minacce al livello IaaS (infrastruttura distribuita come servizio), dei server non Azure e PaaS (piattaforme distribuite come servizio) in Azure.

La protezione dalle minacce di Defender per il cloud include l'analisi unificata della kill chain, che mette automaticamente in correlazione gli avvisi nell'ambiente in base all'analisi della kill chain informatica. L'analisi consente di comprendere meglio la storia completa di una campagna di attacco, la posizione da cui è iniziata e il tipo di impatto sulle risorse.

Integrazione con Microsoft Defender per endpoint

Defender per il cloud include l'integrazione nativa e automatica con Microsoft Defender per endpoint. L'integrazione predefinita significa che, senza alcuna configurazione, i computer Windows e Linux sono completamente integrati con le raccomandazioni e le valutazioni di Defender per il cloud.

Inoltre, Defender per il cloud consente di automatizzare i criteri di controllo delle applicazioni in ambienti server. I controlli applicazioni adattivi di Defender per il cloud consentono di inserire le app end-to-end in elenchi di approvazione per i server Windows. Non è necessario creare le regole e verificare le violazioni, viene tutto effettuato automaticamente.

Protezione per PaaS

Centro sicurezza aiuta a rilevare le minacce in tutti i servizi PaaS di Azure. È possibile rilevare le minacce destinate ai servizi di Azure, tra cui Servizio app di Azure, Azure SQL, Account di archiviazione di Azure e altri servizi dati. È anche possibile sfruttare l'integrazione nativa con le analisi sul comportamento di utenti ed entità (UEBA) di Microsoft Defender per il cloud per rilevare le anomalie nei log attività di Azure.

Blocco degli attacchi di forza bruta

Defender per il cloud consente di limitare l’esposizione agli attacchi di forza bruta. Riducendo l'accesso alle porte delle macchine virtuali, tramite l'accesso alle macchine virtuali JIT, è possibile rafforzare la protezione della rete impedendo accessi non necessari. È possibile impostare policy di accesso sicure su porte selezionate, per i soli utenti autorizzati, intervalli di indirizzi IP di origine o singoli indirizzi IP e per un periodo di tempo limitato.

Protezione dei servizi dati

Defender per il cloud include funzionalità che consentono di classificare automaticamente i dati di Azure SQL. È anche possibile ottenere valutazioni per le potenziali vulnerabilità nei servizi di archiviazione e Azure SQL e raccomandazioni su come attenuarle.

Protezione più rapida

L'integrazione nativa in Azure (compresi Criteri di Azure e log di Monitoraggio di Azure), combinata con la perfetta integrazione con altre soluzioni di sicurezza Microsoft, ad esempio Microsoft Defender for Cloud Apps e Microsoft Defender per endpoint, consente di creare una soluzione di sicurezza completa di facile onboarding e implementazione.

È anche possibile usare la soluzione completa al di fuori di Azure, su carichi di lavoro eseguiti in altri data center su cloud e in locale.

Individuare ed eseguire automaticamente l'onboarding delle risorse di Azure con il provisioning automatico

Defender per il cloud offre un'integrazione nativa lineare con Azure e le relative risorse. L'integrazione consente di raccogliere una cronologia di sicurezza completa che includa Criteri di Azure e i criteri predefiniti in Defender per il cloud in tutte le risorse di Azure. Tutto ciò viene applicato automaticamente alle nuove risorse rilevate, man mano che vengono create in Azure.