Microsoft Defender for Server ha raggiunto un ottimo livello di maturità, tant’è che durante le migrazioni delle infrastrutture dei clienti verso il cloud, mi capita sempre più spesso di inserirlo nelle proposte e, successivamente, attivarlo sui vari workload.
Il licensing seppure semplice (esistono solo due piani: Plan 1 e Plan 2) può generare qualche dubbio.
Ma partiamo, innanzitutto, con una tabella riassuntiva delle più importanti differenze tra le due licenze:
Tra le caratteristiche comuni vediamo in particolare la funzionalità di onboarding automatico delle risorse Azure, AWS e GCP, ma, soprattutto, la completa integrazione con Microsoft Defender for Endpoint. Questa integrazione fornisce funzionalità complete di endpoint detection and response (EDR).
Abilitando Defender for Servers, Defender for Cloud avrà accesso a tutti i dati di Dedender for Endpoint relativi a vulnerabilità, software installati e allarmi.
Semplificando (di molto) il processo, quando Defender individua un rischio genera un allarme, quest’ultimo viene visualizzato nella console di Defender for Cloud, permettendo di eseguire una indagine dettagliata per scoprire la portata dell’attacco e definire le azioni correttive.
Senza entrare troppo in dettaglio sulle differenze, volevo segnalare una feature di cui non si parla spesso, ovvero del JIT (Just-in time VM Access). Come sappiamo i primi tentativi di attacco avvengono sulle porte di gestione come, per esempio, RDP (3389) e SSH (22), tutte le vm sono target potenziali di una compromissione.
Abilitando Defender for Server Plan 2 è possibile utilizzare un accesso Just-in-time per bloccare il traffico in ingresso alle macchine virtuali, riabilitandolo temporaneamente solo quando davvero necessario.
Tornando a parlare del Licensing, come dicevo, è formalmente abbastanza semplice:
Vediamo subito che il costo è indicato /Server/hour, quindi il billing è orario e solo relativo alle macchine accese (ricordiamoci che spente non vuol dire deallocate). L’attivazione dei piani Defender avviene per Subscription, il che vuol dire che, di default, attivare il piano per una vm significa attivarlo per tutti i workload.
E’ possibile, seguendo questa guida, creare delle configurazioni custom per alcune risorse, così da farle differire da quelle globali della sottoscrizione.
Possiamo verificare lo stato di attivazione dei nostri servizi di Defender dalla sezione Environment Settings:
La prima cosa che notiamo è che il piano Foundational CSPM (Cloud security posture management) è attivo di default, questo avviene per tutte le subscription.
Vediamo, poi, che non c’è menzione del Plan 1, questo aspetto non è chiarissimo nella documentazione Microsoft ma ci si arriva per “deduzione”.
Selezionando Defender CSPM possiamo attivare un set di funzionalità più avanzate che include le medesime presenti nel piano base di Defender for Server, ma, come Microsoft ci ricorda: “Defender for Servers Plan 1 is entry-level and must be enabled at the subscription level”.
Altro aspetto importante è che, nonostante il costo sia calcolato per ora di utilizzo, nel portale si fa riferimento alla media mensile (es.: Plan 2 $15/Server/Month) ma ricordiamoci che per le macchine virtuali deallocate non viene fatturato il servizio.
In questo articolo non ho volutamente parlato della possibilità di fare onboarding anche delle macchine on-premises (ci sono diversi metodi), questo sarà oggetto di una prossima puntata su Azure Arc.