Microsoft Defender for Cloud è un'infrastruttura collettiva che promuove la gestione della sicurezza all'interno dello spazio dei servizi di Azure. Il ruolo principale di Microsoft Defender for Cloud è rafforzare l'intera postura di sicurezza dei data center di Azure. Non importa se si è all'interno del cloud Azure o meno; Microsoft Defender for Cloud ha il potenziale per offrire la gestione delle minacce per tutti i tipi di carichi di lavoro ibridi all'interno di diversi cloud. In questo articolo andremo a dare uno sguardo più approfondito a cos’è Microsoft Defender for Cloud, come funziona e quali sono le differenze principali con altri servizi di Azure dedicati alla cybersecurity
.png)
Nel panorama digitale contemporaneo la sicurezza è una preoccupazione fondamentale per qualsiasi applicazione ospitata o costruita, sia on-premises che nel cloud, ed è responsabilità degli sviluppatori prevenire accessi non autorizzati alle applicazioni e mitigare altre problematiche legate alla sicurezza.
In particolare, è stata una preoccupazione per le aziende che stanno valutando l'adozione del cloud pubblico. Questo perché i provider di cloud pubblico utilizzano un'architettura multi-tenant, dove diversi utenti condividono l'hardware sottostante. Di conseguenza, molti fornitori hanno sviluppato strumenti e metodi di sicurezza, come crittografia, gestione degli accessi e autenticazione, per le implementazioni nel cloud pubblico.
Microsoft sta attivamente integrando diversi controlli fisici, operativi e infrastrutturali per contribuire a mettere in sicurezza i servizi cloud di Azure e tra questi c’è Microsoft Defender for Cloud.
Microsoft Defender for Cloud è un sistema di gestione per proteggere i dati nel cloud Azure che offre protezione avanzata dalle minacce per vari carichi di lavoro, inclusi quelli di altri fornitori di cloud o on-premises.
Microsoft Defender for Cloud ha il potenziale per salvaguardare i carichi di lavoro dal momento in cui viene abilitato e rinforzerà gli aspetti di sicurezza cloud dell'infrastruttura, con l'obiettivo di offrire protezione contro tutti i tipi di carichi di lavoro ibridi, sia all'interno di Azure che in altri cloud. Vediamo meglio in che modo nelle prossime sezioni.
La sicurezza del cloud è una responsabilità condivisa tra il provider del cloud e il cliente. Mentre il provider del cloud garantisce la sicurezza dell’infrastruttura sottostante, il cliente è responsabile dei dati, delle applicazioni e delle configurazioni all’interno dell’ambiente cloud. I clienti giocano un ruolo fondamentale nel mantenere una postura di sicurezza robusta.
Questo obiettivo può essere raggiunto sensibilizzando i dipendenti sulle best practice di cybersecurity, per aiutarli a identificare e evitare tentativi di phishing. Inoltre, l'implementazione di controlli di accesso rigorosi e pratiche di crittografia dei dati riduce il rischio di accessi non autorizzati.
Le organizzazioni affrontano una vasta gamma di minacce nel cloud, tra cui:
Affidarsi esclusivamente a risposte reattive agli incidenti di sicurezza non è sufficiente. Un approccio proattivo nel cloud sfrutta le capacità di numerosi strumenti per raggiungere specifici obiettivi di sicurezza.
Microsoft Defender for Cloud di Microsoft è una soluzione che offre gestione unificata della sicurezza per i carichi di lavoro in cloud ibrido. Fornisce protezione dalle minacce sia per i data center nel cloud sia per quelli on-premise. La piattaforma funziona anche con cloud ibridi che non fanno parte dell’ecosistema Azure.
Microsoft Defender for Cloud è un punto centrale per proteggere l’ambiente cloud di Azure e una soluzione completa di tipo Cloud Native Application Protection Platform (CNAPP), che unifica Cloud Security Posture Management (CSPM), Cloud Workload Protection Platform (CWPP) e Development Security Operations (DevSecOps), che offre visibilità, rilevamento delle minacce e gestione della postura di sicurezza.
È progettato per risolvere un problema urgente quando un’organizzazione migra al cloud. I clienti cloud devono assumersi maggiori responsabilità quando passano a soluzioni Infrastructure-as-a-Service (IaaS), rispetto a soluzioni come Platform-as-a-Service (PaaS) e Software-as-a-Service (SaaS), in cui il provider del servizio cloud si occupa della maggior parte dei compiti legati alla sicurezza della rete e dei servizi.
Passare a una soluzione IaaS richiede di proteggere l'ecosistema di rete e i servizi migrati al cloud in un modo nuovo, poiché si assume la responsabilità dei processi che il provider cloud gestiva in un ambiente SaaS o PaaS.
Microsoft Defender for Cloud offre una piattaforma unificata per proteggere e gestire carichi di lavoro in rapida evoluzione e affrontare le sfide di sicurezza nei carichi di lavoro cloud ibridi. La piattaforma aiuta le organizzazioni a:
Con Microsoft Defender for Cloud, le organizzazioni possono controllare la sicurezza di un numero sempre crescente di servizi, costantemente minacciati da malware sempre più sofisticati.
Abbiamo creato il team Infra&Security, verticale sul cloud Azure, per rispondere alle esigenze dei clienti che ci coinvolgono nelle decisioni tecniche e strategiche. Oltre a configurare e gestire il loro tenant, ci occupiamo di:
Con Dev4Side, hai un partner affidabile in grado di supportarti sull'intero ecosistema applicativo di Microsoft.
Non è necessario distribuire specificamente Microsoft Defender for Cloud se la propria organizzazione utilizza già Microsoft Azure. Microsoft Defender for Cloud monitora e protegge nativamente i servizi Azure PaaS, come Service Fabric, SQL Database, SQL Managed Instance e gli account di archiviazione.
Vediamo adesso alcune delle sue caratteristiche principali.
Lo strumento protegge anche server Windows e Linux non Azure, su cui si eseguono servizi nel cloud o on-premise. Microsoft Defender for Cloud protegge automaticamente le macchine virtuali in tali ambienti, utilizzando l’integrazione con Microsoft Defender for Endpoint.
Successivamente, Microsoft Defender for Cloud elabora e analizza gli eventi raccolti dagli agenti e da Azure per fornire raccomandazioni personalizzate su come proteggere i carichi di lavoro. Genera avvisi di sicurezza per il team IT, aiutandolo a valutare e prevenire tentativi di intrusione da codice dannoso.
Con Microsoft Defender for Cloud attivo, si inizieranno a ricevere raccomandazioni e avvisi di sicurezza che aiutano a rafforzare la sicurezza della rete nel cloud. In questo modo, il team può identificare facilmente le misure da adottare e applicare le raccomandazioni per rafforzare la sicurezza su tutto l'ecosistema IT, inclusi server, endpoint, servizi dati e applicazioni aziendali in esecuzione.
Microsoft Defender for Cloud consente di applicare le politiche di sicurezza specifiche su ambienti diversi, inclusi server non Azure, macchine virtuali Azure e servizi PaaS Azure. Questo consente di assicurarsi che tutti i dispositivi e servizi siano conformi alle politiche di sicurezza e alle migliori pratiche raccomandate.
Poiché le organizzazioni creano nuove subscription regolarmente, Microsoft Defender for Cloud offre una funzione che identifica e etichetta le subscription Shadow IT. Questa funzionalità consente al team di individuare rapidamente nuove Shadow IT subscription non protette e intraprendere azioni immediate per garantire che siano conformi e protette.
Una organizzazione di medie o grandi dimensioni esegue carichi di lavoro dinamici in cui vengono distribuite nuove risorse ogni giorno. La scoperta automatica delle risorse è una delle funzionalità di Microsoft Defender for Cloud, che permette di verificare se eventuali nuove risorse rispettano le best practice di sicurezza.
Microsoft Defender for Cloud genera elenchi di raccomandazioni su cosa occorre correggere e migliorare per proteggere meglio i beni digitali. Quando Microsoft Defender for Cloud trova nuove risorse distribuite, assegna loro un Secure Score e raggruppa le raccomandazioni in controlli di sicurezza, per facilitare la priorità delle misure di sicurezza da implementare con urgenza.
Microsoft Defender for Cloud crea una mappa di rete (nota: richiede Defender for Servers Plan 2), mostrando la topologia dei carichi di lavoro e permettendo di verificare che ciascun nodo sia configurato come richiesto per la massima sicurezza.
Avere una topologia di rete complessa richiede un tale strumento per avere una visione completa delle connessioni di rete disponibili e valutare i punti deboli potenziali. La mappa di rete è essenziale per individuare nodi di rete dove connessioni indesiderate potrebbero consentire a un malintenzionato di superare le difese.
Sebbene le raccomandazioni di sicurezza e le mappe di rete siano considerate tra le funzionalità più potenti di Microsoft Defender for Cloud, la soluzione è completa grazie alla protezione proattiva contro le minacce informatiche.
Microsoft Defender for Cloud può identificare e prevenire minacce sia a livello IaaS sia PaaS in Azure, offrendo la stessa protezione per server non Azure su tutte le reti. Lo strumento offre funzionalità di analisi forense, consentendo al team di indagare su come e dove ha avuto origine un attacco, come si è diffuso e quali risorse ha interessato.
Microsoft Defender for Cloud si integra nativamente con Microsoft Defender for Endpoint per proteggere automaticamente le macchine Windows e Linux. È possibile automatizzare le politiche di controllo delle applicazioni sugli ambienti server con Adaptive Application Controls e sfruttando una application allowlist end-to-end per i server Windows. Il processo è completamente automatizzato, quindi non è necessario creare regole e controllare le violazioni.
Con queste funzionalità di sicurezza attive, si otterrà:
Poiché Microsoft Defender for Cloud fa parte di un’offerta di prodotti più ampia, le organizzazioni possono integrarlo facilmente con altre soluzioni come Microsoft Defender for Cloud Apps e Microsoft Defender for Endpoint. Allo stesso tempo, è disponibile un'integrazione nativa per le politiche Azure e i log di Azure Monitor.
Microsoft Defender for Cloud non è l’unico strumento di sicurezza fornito da Azure. La piattaforma di cloud computing Microsoft ha infatti numerosi servizi dedicati alla cybersecurity, ognuno con i suoi specifici obiettivi e utilizzi.
Ma come sempre, quando le opzioni sono numerose, in proporzione aumenta anche il livello di confusione riguardo a quale strumento faccia cosa e in quali contesti utilizzare uno piuttosto che l’altro, specialmente Se si sta appena iniziando a familiarizzare con la piattaforma Azure.
Prendiamoci quindi un momento per chiarire le differenze tra Microsoft Defender for Cloud e due tra i principali servizi dedicati alla sicurezza forniti dalla piattaforma cloud di Microsoft, ovvero Microsoft Sentinel e i Defender Plans. Potremmo persino scoprire che questi servizi non sono mutualmente esclusivi ma maglie differenti di una stessa stretta rete di sicurezza.
Microsoft Sentinel è una soluzione cloud-native di Security Information and Event Management (SIEM) e Security Orchestration, Automation and Response (SOAR) progettato per rilevare e rispondere alle minacce. Microsoft Defender for Cloud, invece, è un sistema di Cloud Security Posture Management (CSPM), che verifica automaticamente la presenza di misconfiguration nell'ambiente cloud.
Esiste una certa sovrapposizione tra ciò che questi due strumenti possono realizzare. Entrambi svolgono ruoli importanti nella raccolta dei dati di sicurezza e nel rilevamento (o analisi) dei problemi. Tuttavia, per il Microsoft Defender for Cloud, questo è il focus principale del prodotto: rilevare problemi di sicurezza nei servizi cloud. Sentinel va oltre, coprendo l’intero ciclo di vita della cybersecurity, poiché indaga sugli incidenti e risponde automaticamente a essi.
Nell'ambito della raccolta e del rilevamento, questi due strumenti svolgono attività leggermente diverse. Microsoft Sentinel è un SIEM, quindi la base del prodotto risiede nei log dei dati, sebbene i prodotti moderni come Sentinel cerchino di ampliare la loro portata. Microsoft Defender for Cloud, d’altra parte, è focalizzato sul completamento delle compliance checklist, assicurando che i servizi cloud della tua organizzazione soddisfino le normative e le migliori pratiche del settore della cybersecurity.
Un’organizzazione utilizzerà Microsoft Defender for Cloud affinché il team di sicurezza possa verificare continuamente che i servizi cloud siano sicuri e aggiornati. Poiché aggiornamenti e installazioni software avvengono di frequente, è importante disporre di una dashboard che indichi quando è necessario intervenire.
Microsoft Sentinel può essere visto come un “cane da guardia” artificiale dell'organizzazione, alimentato dall'intelligenza artificiale di Microsoft. Non è necessario addestrarlo o fornirgli istruzioni costantemente, poiché Sentinel esplora autonomamente le possibili minacce nel tuo ambiente cloud. Può tentare di risolvere i problemi autonomamente o avvisare il team di sicurezza, ma è un supporto prezioso, non un sostituto del team.
Sono prodotti differenti, che offrono funzionalità distinte. Per esempio non si utilizzerebbe Microsoft Sentinel per verificare la conformità alle normative locali: per questo scopo si utilizzerebbe Microsoft Defender for Cloud. Allo stesso modo, non utilizzeresti Microsoft Defender for Cloud per rispondere alle minacce, poiché il software non è progettato per questo.
Tuttavia, entrambi possono lavorare in parallelo per garantire la sicurezza dei servizi. Microsoft Defender for Cloud e la stessa Microsoft consiglia di usarli entrambi in combinazione tra di loro.
In definitiva, la scelta di utilizzare entrambi i servizi dipende dalle esigenze della propria organizzazione, poiché entrambi forniscono vantaggi significativi per la sicurezza dei servizi cloud. La questione non è tanto Microsoft Sentinel contro Microsoft Defender for Cloud, quanto comprendere le loro differenze e come utilizzarli insieme.
Mentre il piano Foundational CSPM (gratuito) fornisce una visione olistica della postura di sicurezza nel cloud, i Defender Plans (Defender for Servers, Defender for Containers, ecc.) vanno più in profondità, offrendo protezione avanzata contro le minacce per carichi di lavoro specifici all'interno dell'ambiente Azure. È una suite di servizi di sicurezza progettata per proteggere le macchine virtuali, i container, i database e le applicazioni cloud e tra i suoi servizi principali possiamo trovare:
Microsoft Defender for Cloud è prevalentemente utilizzato per:
Anche in questo caso possiamo osservare come i due servizi presentano un lieve grado di sovrapposizione che però non li rende lo stesso servizio o mutualmente esclusivi.
Anzi, utilizzando Microsoft Defender for Cloud insieme ad Microsoft Defender for Cloud, le organizzazioni possono creare una postura di sicurezza robusta per il proprio ambiente Azure. La protezione mirata di Defender per carichi di lavoro specifici completa le capacità di gestione della sicurezza più ampie di Microsoft Defender for Cloud.
Come chiunque ha seguito anche solo di sfuggita ha potuto constatare, la sicurezza informatica e l’adozione di misure di controllo e prevenzione delle minacce informatiche non sono mai stati temi tanto caldi quanto negli ultimi anni.
Con l’aumento della quantità e della qualità delle minacce informatiche contemporanee, per le organizzazioni avere infrastrutture di cybersecurity efficienti e all’avanguardia non è più un optional ma una responsabilità di grande peso.
È dunque necessario valutare la propria security posture e, per chi già utilizza la piattaforma cloud di Microsoft (o per chi è interessato a spostare il proprio lavoro su di essa), una soluzione solida come Microsoft Defender for Cloud può aiutare a comprendere come muoversi e agire in sicurezza all’interno degli ambienti del cloud e non solo.
1. Che cos’è Microsoft Defender for Cloud?
Microsoft Defender for Cloud è una soluzione di sicurezza cloud-native che aiuta a gestire e migliorare la postura di sicurezza (CSPM) e a proteggere i carichi di lavoro (CWPP) in Azure, on-premises e in scenari multi-cloud.
2. Microsoft Defender for Cloud è solo per Azure?
No. Anche se è integrato nativamente in Azure, può estendere monitoraggio e protezione a carichi di lavoro ibridi e a risorse che risiedono anche fuori da Azure, inclusi ambienti on-premises e altri cloud.
3. Microsoft Defender for Cloud è gratuito?
È disponibile un livello di base (Foundational CSPM) gratuito per visibilità e posture management. Le funzionalità avanzate di protezione dei workload richiedono l’attivazione dei Defender Plans (ad esempio Defender for Servers, Defender for Containers).
4. Qual è la differenza tra Microsoft Defender for Cloud e Microsoft Sentinel?
Defender for Cloud è focalizzato principalmente su posture management e protezione dei workload (misconfiguration, raccomandazioni, alert su risorse cloud). Microsoft Sentinel è una soluzione SIEM/SOAR pensata per raccogliere log, correlare eventi, investigare incidenti e orchestrare risposte automatiche.
5. Defender for Cloud e Sentinel si possono usare insieme?
Sì. Anzi, spesso si completano: Defender for Cloud individua problemi di configurazione e minacce sui workload; Sentinel centralizza log, correla segnali, abilita investigazioni e automazioni di risposta.
Il team Infra & Security è verticale sulla gestione ed evoluzione dei tenant Microsoft Azure dei nostri clienti. Oltre a configurare e gestire il tenant, si occupa della creazione dei deployment applicativi tramite le pipelines di DevOps, monitora e gestisce tutti gli aspetti di sicurezza del tenant, supportando i Security Operations Centers (SOC).
