È normale avere una prospettiva predefinita quando si sente la parola "sicurezza". Alcune persone pensano che le applicazioni siano configurate correttamente o che siano pratiche di codifica non sicure. Alcune persone pensano a concetti di identità come attacchi spray con password, phishing o autenticazione a più fattori. E alcune persone pensano a concetti di infrastruttura come networking, VPN e scansione delle porte. La sicurezza è tutto questo e altro ancora.
Microsoft ti aiuta a gestire un approccio a più livelli alla sicurezza con strumenti che si integrano con i tuoi carichi di lavoro Azure e non Azure. Tre funzionalità comuni utilizzate all'unisono sono Centro sicurezza di Azure, Azure Defender e Azure Sentinel. Quindi qual è la differenza tra loro e quando utilizzeresti ciascun prodotto?
NOTA: al Microsoft Ignite di novembre 2021, Microsoft ha annunciato che una gamma di prodotti per la sicurezza sarebbe stata rinominata. Sebbene la funzionalità rimanga sostanzialmente la stessa,vedere i nomi dei prodotti di sicurezza di Azure aggiornati qui.
Centro sicurezza di Azure - Gestione del comportamento di sicurezza
Questo è il tuo "livello di base" per monitorare la configurazione della sicurezza e l'integrità dei tuoi carichi di lavoro.Centro sicurezza di Azureraccoglie eventi da Azure o agenti di analisi dei log e li correla in un motore di analisi della sicurezza, per fornire consigli personalizzati (attività di rafforzamento). È possibile rafforzare il proprio livello di sicurezza implementando queste raccomandazioni.
Il Centro sicurezza di Azure usa un'iniziativa di criteri di Azure incorporata in modalità di solo controllo (theBenchmark di sicurezza di Azure), nonché i log di Monitoraggio di Azure e altre soluzioni di sicurezza di Azure come Microsoft Cloud App Security.
Il piano tariffario gratuito del Centro sicurezza di Azure è abilitato per impostazione predefinita su tutti gli abbonamenti di Azure, quando si visita il Centro sicurezza di Azure nel portale per la prima volta (o lo si attiva tramite l'API).
Quindi individuerà e inserirà automaticamente le risorse di Azure, inclusi i servizi PaaS in Azure (Service Fabric, database SQL e così via). È inoltre possibile includere risorse non di Azure tramite l'agente Log Analytics e Azure Arc.
Il Centro sicurezza di Azure include anche amappa di rete- una visualizzazione grafica interattiva della topologia di rete dei carichi di lavoro di Azure e dei percorsi di traffico. Per impostazione predefinita, la mappa della topologia visualizza le risorse con raccomandazioni di rete con gravità alta o media. Per saperne di più, visitaProteggi le tue risorse di rete.
Mappa di rete del Centro sicurezza di Azure
Ma una delle caratteristiche più importanti è la proattivitàraccomandazioni sulla sicurezzaper calcolo di Azure, dati, identità e risorse di accesso e di rete. L'implementazione di questi migliorerà il tuoPunteggio sicuro- un'indicazione visiva del miglioramento della tua posizione di sicurezza complessiva.Scopri di più sui consigli sulla sicurezza.
Punteggio sicuro del Centro sicurezza di Azure
Per iniziare, visita ilGuida alla pianificazione e alle operazioni del Centro sicurezza di Azure.
Azure Defender: protezione avanzata del carico di lavoro
Per aggiungere ulteriori avvisi di sicurezza e rilevamento avanzato delle minacce, è possibile monitorare anche alcuni tipi di risorseDifensore azzurro.Il riquadro Azure Defender all'interno del Centro sicurezza di Azure mostra quali carichi di lavoro sono protetti o meno da Azure Defender.Questo è un servizio a pagamentoe l'attivazione di Azure Defender per i server (ad esempio) si applica a tutti i server nella sottoscrizione di Azure, quando sono in esecuzione.
Il cruscotto di Azure Defender
Azure Defender è disponibile per server, servizio app, archiviazione, SQL, Key Vault, Resource Manager, DNS, Kubernetes e registri contenitori. Può applicarsi anche ai server non Azure in locale e in altri cloud, tramiteArco Azzurro.
Diamo un'occhiata ad alcune delle funzionalità che otterresti per il tuo Windows Server (come esempio) aggiungendo Azure Defender per server:
Avvisi di sicurezza:Visualizzati nel Centro sicurezza di Azure, gli avvisi di sicurezza descrivono in dettaglio il processo sospetto eseguito, l'ora di inizio e la tattica MITRE ATT&CK: per Windows, Linux, Servizio app di Azure, Contenitori (AKS), Contenitori (livello host), Database SQL, Analisi sinapsi di Azure, Risorse di Azure Manager, DNS, archiviazione di Azure, Cosmos DB (anteprima), livello di rete di Azure, insieme di credenziali delle chiavi di Azure e protezione DDoS di Azure. Per ulteriori informazioni, vedereAvvisi di sicurezza: una guida di riferimento.
Valutazione di vulnerabilità- La tua VM viene scansionata alla ricerca di artefatti che vengono analizzati dal servizio cloud di Qualys e i risultati vengono inviati al Centro sicurezza di Azure. Questi risultati mostrano se sono state identificate eventuali vulnerabilità nel software in esecuzione sulla tua VM (incluso il suo sistema operativo), evidenziando le priorità più alte e includendo le ultime patch disponibili. Il costo di questo servizio è incluso nel prezzo di Azure Defender. Per maggiori dettagli, visitareLa soluzione integrata di valutazione delle vulnerabilità di Azure Defender per macchine Azure e ibride.
Accesso just in time- L'accesso alle VM JIT consente di bloccare le porte di gestione in entrata standard (come la porta 3389) e di aprirle facilmente quando richiesto da un utente appropriato, solo alla sua connessione (o intervallo IP), per un periodo di tempo limitato. Quindi le porte vengono nuovamente bloccate automaticamente. Ciò include un processo di approvazione e nessuna configurazione manuale dei gruppi di sicurezza di rete o del firewall di Azure. Per maggiori informazioni visitaComprendere l'accesso alle macchine virtuali just-in-time (JIT).
Controlli dell'applicazione adattivi- Questa funzionalità fornisce un elenco di autorizzazione intelligente e automatizzato di applicazioni note come sicure per la tua VM. L'apprendimento automatico analizza il tuo carico di lavoro per rilevare ciò che è comune o noto nella tua organizzazione (che puoi personalizzare ulteriormente) e riceverai avvisi di sicurezza se vengono eseguite altre applicazioni che non sono nell'elenco consentito. Scopri di più suUtilizza i controlli adattivi per ridurre la superficie di attacco delle tue macchine.
Azure Defender per server include anche il monitoraggio dell'integrità dei file, il rafforzamento della rete adattivo e il rafforzamento dell'host Docker. Per ulteriori informazioni su queste funzionalità e sugli altri tipi e funzionalità di carichi di lavoro di Azure Defender, visitareIntroduzione ad Azure Defender.
Fin qui tutto bene!La nostra VM viene monitorata dal Centro sicurezza di Azure che protegge tutte le VM nel nostro abbonamento e abbiamo aggiunto Azure Defender per i server per la scansione delle vulnerabilità, il controllo adattivo delle applicazioni e della rete e l'accesso just in time alle porte di gestione. Che dire di Azure Sentinel?
Azure Sentinel: gestione degli eventi relativi alle informazioni sulla sicurezza + risposta automatizzata all'orchestrazione della sicurezza
Azure Sentinel ti aiuta a avere un quadro generale di ciò che sta accadendo nel tuo ambiente e a collegare i punti che potrebbero essere correlati allo stesso incidente di sicurezza. Anche se finora ho menzionato i carichi di lavoro di Azure e on-premise, spesso c'è molto di più nel tuo impatto IT: Microsoft 365, Azure Active Directory, Amazon Web Services - CloudTrail, Citrix Analytics, VMWare Carbon Black Cloud Endpoint e firewall di terze parti e proxy, solo per citare alcuni esempi. Per un elenco completo delle origini dati supportate, visitareConnetti origini dati.
Funzionalità principali di Azure Sentinel
Con tutte queste diverse origini dati connesse, Azure Sentinel utilizza l'intelligenza artificiale e il flusso di intelligence sulle minacce di Microsoft per rilevare le minacce nell'ambiente, correlare gli avvisi agli incidenti, utilizzare strumenti di indagine approfondita per trovare l'ambito e la causa principale e accedere a potenti strumenti di ricerca e query. Ora non è più necessario cercare separatamente i registri in diversi sistemi, cercando di decidere cosa potrebbe essere rilevante e cosa è solo rumore, cercando al tempo stesso di confrontare i timestamp per collegarsi allo stesso possibile evento.
Indagare su una minaccia alla sicurezza
Inoltre,Azure Sentinel supporta i playbook con App per la logica di Azure- crea i tuoi flussi di lavoro automatizzati per aprire ticket, inviare notifiche o attivare azioni quando vengono rilevati eventi particolari.
Riepilogo
In termini umani, il Centro sicurezza di Azure rappresenta il fatto che vivo una vita generalmente sana e cerco segnali di esaurimento. Azure Defender è il mio abbonamento in palestra o vitamine che aiutano a migliorare o potenziare la mia salute, mentre Azure Sentinel sono i test e i trattamenti regolari e specialistici del mio medico, che mi avvisano di segnali specifici che devono essere indagati in tutto il mio corpo, compresi gli esami del sangue.
Ora puoi scegliere quali carichi di lavoro necessitano della protezione aggiuntiva di Azure Defender e quali carichi di lavoro devono essere inclusi per la visibilità in Azure Sentinel, per una gestione completa della sicurezza nell'intero ambiente IT.
Sarah Young si è recentemente unita a noi per spiegare come il Centro sicurezza di Azure e Azure Sentinel possono proteggere gli ambienti ibridi (on-prem + cloud). Dai un'occhiata alle sue sessioni:
OPS101: Proteggi il tuo ambiente ibrido Parte 1 - Centro sicurezza di Azure
OPS103: Sicurezzail tuo ambiente ibrido Parte 2 - Azure Sentinel