Nata come un’estensione delle soluzioni on-premises di Microsoft, la piattaforma Azure Cloud è molto utilizzata negli ambienti ibridi. Infatti, il 95% delle aziende Fortune 500 utilizza Azure. Ma ci sono alcuni aspetti da chiarire in merito alla sicurezza della piattaforma.
Spesso, le aziende decidono di implementare la piattaforma Azure con la falsa convinzione che gli stessi controlli di sicurezza applicabili a AWS (Amazon Web Services) o GCP (Google Cloud Platform), si applichino anche alla piattaforma Microsoft. Non è questo il caso.
Di seguito sono elencati alcuni aspetti comuni legati alla sicurezza con relative best practice per aiutarvi a mitigare i rischi di attacchi informatici e tenere al sicuro il vostro ambiente Azure.
1. Visibilità
Secondo una ricerca effettuata da Palo Alto Networks, la vita media di una risorsa cloud è due ore e sette minuti. Molte aziende hanno ambienti che includono molteplici account cloud. Questo porta ad avere una scarsa visibilità e rende difficile tenere traccia delle risorse.
Dal momento che non puoi proteggere ciò che non puoi vedere, il rilevamento del rischio diventa una vera e propria sfida.
Best Practice: utilizza un approccio alla sicurezza cloud che fornisca visibilità su volume e tipologia di risorse (macchine virtuali, load balancer, gruppi di sicurezza, gateaway, etc.) su più account cloud e che sia gestibile tramite un’unica interfaccia.
Avere visibilità completa del tuo ambiente consente di implementare policy più granulari e contestuali, analizzare gli incidenti e ridurre il rischio.
Se le soluzioni di sicurezza cloud native di Microsoft, come Azure Security Center, sono ottime per la piattaforma Azure, il monitoraggio su scala o attraverso più cloud richiede visibilità di terze parti da piattaforme come RedLock di Palo Alto Networks.
2. Privilegi per Account di Amministratore Globale Active Directory
L’account di utente amministratore globale di Azure Active Directory è quello che può causare più danni quando parti non autorizzate vi accedono. Gli amministratori spesso non ricordano di limitare le azioni possibili con tale account.
Best Practice: È necessario assicurarsi di limitare le azioni in RBAC e associarli alle risorse quando necessario. Un account amministratore dovrebbe essere protetto da un’autenticazione a più fattori (MFA).
3. Privilegi e Azioni per Tutti gli Utenti
Come al punto 2, anche per tutti gli altri utenti non sono impostate alcune limitazioni. .
Best Practice: Utilizzare il controllo di accesso basato su ruoli (RBAC), assicurandosi di limitare le autorizzazioni necessarie ad uno specifico ruolo per un ambito definito (subscription, gruppo di risorse o risorse individuali).
Inoltre, è necessario assicurarsi di integrare il controllo di accesso basato su ruoli con Azure Resource Manager per creare criteri di sicurezza con definizioni che descrivono le risorse o le azioni negate in modo specifico .
4. Autenticazione
La perdita o il furto di credenziali sono una delle cause più diffuse degli incidenti di sicurezza. Non è raro trovare accessi ad ambienti cloud pubblici esposti su internet. Le aziende necessitano di una soluzione per il rilevamento di account compromessi.
Best Practice: è necessario applicare criteri di password complessi e autenticazione a più fattori (MFA). Azure fornisce diverse modalità per l’implementazione di protezione MFA sul tuo account utente, ma la più semplice è sicuramente attivare Azure MFA.
5. Chiave di Accesso
Come abbiamo scritto poco sopra, la perdita o il furto di credenziali sono una delle cause più diffuse degli incidenti di sicurezza.
Spesso gli amministratori assegnano accessi troppo permissivi alle risorse di Azure; lo stesso vale per le chiavi utilizzate per gestire tali risorse, a cui vengono dati privilegi troppo permissivi. In qualsiasi momento, è necessario proteggere tali chiavi da eventuali perdite di dati.
Best Practice: È consigliabile archiviare le chiavi API, le credenziali dell'applicazione, la password e altre credenziali sensibili in Azure Key Vault.
6. Ampi Intervalli IP per Gruppi di Sicurezza e Traffico in Uscita Non Limitato
I gruppi di sicurezza di rete contengono regole di sicurezza che consentono o rifiutano il traffico di rete in ingresso o in uscita da diversi tipi di risorse di Azure. Un gruppo di sicurezza di rete può contenere zero regole o il numero di regole desiderato.
Spesso, gli amministratori assegnano intervalli IP NSG (Network Security Groups) più ampi del necessario. In aggiunta, l’85% delle risorse associate ai gruppi di sicurezza non limita affatto il traffico in uscita.
Una ricerca condotta dal team di cloud intelligence di Unit 42 di Palo Alto Networks ha rilevato che un numero crescente di organizzazioni non seguiva le best practice relative alla sicurezza di rete e aveva configurazioni errate o rischiose.
Le best practice del settore impongono che l'accesso in uscita debba essere limitato per evitare la perdita accidentale di dati o il furto in caso di violazione.
Best Practice: Limita gli intervalli IP che assegni a ciascun gruppo di sicurezza in modo tale che tutto proceda correttamente, senza avere però un intervallo più aperto del necessario.
Inoltre, assicurati di segmentare le reti virtuali in sottoreti per controllare il routing sulle macchine virtuali. È necessario anche limitare o disabilitare l’accesso SSH e RDP alle macchine virtuali.
7. Revisione Log di Audit
Le aziende necessitano di visibilità completa sulle attività degli utenti per rilevare account compromessi, minacce interne e altri rischi.
La virtualizzazione, spina dorsale delle reti cloud, insieme alla possibilità di utilizzare l’infrastruttura di un fornitore di terze parti molto grande ed esperto, garantiscono agilità in quanto gli utenti che hanno le dovute autorizzazioni possono apportare modifiche all'ambiente in base alle esigenze.
È comunque necessario tenere traccia delle attività dell’utente per identificare account compromessi e minacce interne. Fortunatamente, le aziende possono monitorare efficacemente gli utenti quando sono implementate le tecnologie giuste.
Best Practice: Il monitoraggio delle attività di accesso è la chiave per capire cosa sta succedendo all'interno delle tue risorse Azure. È possibile utilizzare un sistema di rilevamento delle anomalie (come RedLock User-based Analytics basato su machine learning) che rileva ogni attività sospetta come, ad esempio, troppi tentativi di accesso all'account falliti.
8. Patch di Macchine Virtuali
Un altro aspetto fondamentale è assicurarsi che le patch di sicurezza più recenti siano state applicate agli host all'interno del proprio ambiente. L’ultima ricerca da Unit 42 di Palo Alto Networks fornisce informazioni su un problema correlato.
I tradizionali scanner di vulnerabilità di rete sono più efficaci per le reti locali ma non altrettanto quando sono utilizzati per reti cloud.
Best Practice: Assicurati che le patch di sicurezza siano applicate agli host e applica qualsiasi hotfix necessario rilasciato dal tuo fornitore OEM. Inoltre, assicurati che le nuove immagini di macchine virtuali siano create con le ultime patch e aggiornamenti per tale sistema operativo.
Nota: questo articolo può sembrare simile a 8 Best Practice per la Sicurezza della Piattaforma Google Cloud, ma è importante notare che ci sono differenze significative nella modalità con cui operano le differenti piattaforme cloud.
La piattaforma di Cloud Security RedLock Cloud 360 permette ad un’organizzazione di estendere la gestione della propria sicurezza in Cloud, in particolare permette di rilevare le minacce e consentire una risposta rapida ed automatica nell’intero ambiente cloud pubblico di un’organizzazione (Amazon AWS, Microsoft Azure, Google Cloud).
Per avere maggiori informazioni su Redlock o su altre soluzioni Palo Alto Networks invia una mail a cio@florence-consulting.it o chiama lo (055) 538-3250. Visita questa pagina per ricevere ulteriore materiale informativo o per richiedere una demo gratuita.
In alternativa, puoi compilare il form sottostante con la tua domanda.