Bezpieczne przetwarzanie i przechowywanie danych to jedna z priorytetowych kwestii dla współczesnego świata biznesu, a o bezpieczeństwie danych w chmurze można by rozwodzić się bez końca. Ale żeby wyczerpująco podejść do tego zagadnienia, musimy zacząć od podstaw, inaczej nasza dyskusja będzie jałowa.

Temat bezpieczeństwa w chmurze wywołałem już jakiś czas temu na swoim prywatnym blogu. Dziś wracam do tego wątku na Chmurowisku i pokażę Wam, jak wykorzystać usługę Azure Security Center do wykrywania i ochrony przed zagrożeniami.

To pierwszy wpis z serii, będą kolejne.

Chmura a hosting – różnice i podobieństwa

Aby zgłębić zasady bezpieczeństwa w chmurze, musimy zrozumieć, jak działa cloud computing i czym różni się od typowego hostingu.

Z samej koncepcji chmury wynikają różne modele dostarczania usług, które oferują różną swobodę konfiguracji, a tym samym różne stopnie odpowiedzialności.

Diagram poniżej ilustruje to wprost idealnie.

Brak bezpośredniej kontroli nad niższymi warstwami

Co wynika z takiego podziału? Na przykład to, że klient końcowy praktycznie nie ma dostępu do warstw wirtualizacji i sieci (poniżej warstwy transportowej), poza ewentualną możliwością zebrania metryk od dostawcy chmury.

O ile zatem na poziomie logicznym chmura pozwala nam kontrolować ruch w swoich rozwiązaniach pomiędzy komponentami, to na poziomie fizycznym nie mamy żadnego wpływu na urządzenia sieciowe, ich konfiguracje i działanie.

Odpowiedzialność dzielona na dwa

Podział usług mapuje się wprost na model współdzielonej odpowiedzialności pomiędzy dostawcę a klienta. Tę sytuację dobrze odzwierciedla diagram poniżej. Wskazuje on, którymi warstwami powinniśmy się zająć z perspektywy bezpieczeństwa i przygotować dla nich odpowiednie polityki.

Niezależnie od tego, jak szczegółowe polityki czy regulacje stworzymy i jak doskonała będzie wzorcowa architektura naszego rozwiązania, zawsze najsłabszym ogniwem w łańcuchu bezpieczeństwa pozostaje człowiek, który wcale nie musi dostosować się do naszych regulacji i rekomendacji.

Usługa jednolitego zarządzania bezpieczeństwem w chmurze – Azure Security Center

Sprawdzonym rozwiązaniem w walce o jak najlepiej zabezpieczone środowiska w Azure jest usługa Azure Security Center. Dlaczego?

Oto niektóre z możliwości, jakie oferuje:

• Jedno spójne miejsce zarządzania politykami (Azure Policy).
• Stała ocena poprawności konfiguracji rozwiązań wdrożonych w Azure.
• Rekomendacje pod kątem podatności dla danej platformy (Windows i Linux).
• Alerty i incydenty dla wykrytych zagrożeń (np. uruchamianie procesów o dobrze znanych skrótach).
• Czasowy dostęp do maszyn wirtualnych (dostęp just in time).
• Analiza dozwolonych aplikacji w celu lepszej ochrony przed atakami (Adaptive Application Control).
• Integracja i analiza zdarzeń i logów ze środowiska (Log Analytics) oraz rozwiązań partnerskich (np. Application Gateway Firewall, Rapid7 czy Qualys)

Warto dodać, że Security Center pracuje w dwóch wymiarach: z jednej strony umożliwia nam analizę konfiguracji środowiska na bazie określonych reguł eksperckich, z drugiej strony – oferuje integrację Security Center z Log Analytics i rekomendacje oparte o analizę logów, które spływają z podłączonych systemów lub rozwiązań firm trzecich.

Jak to działa? Azure Security Center w warunkach bojowych

Azure Security Center jest zdecydowanie rozwiązaniem, które warto rozważyć w trosce o zabezpieczenie swojego środowiska w chmurze hybrydowej.

Ale po kolei… Aby zaprezentować możliwości rozwiązania Azure w praktycznej odsłonie, przygotowałem dla Was krótki przewodnik po usłudze. Krok po kroku pokażę Wam poszczególne sekcje i omówię, w jaki sposób dana funkcjonalność pomoże zadbać o bezpieczeństwo Waszych danych w chmurze.

UWAGA! Wszystkie zrzuty ekranu pochodzą z naszego dedykowanego, w 100% prawdziwego środowiska, które przygotowałem, by zaprezentować, jak używać Azure Security Center, Log Analytics wraz z Service Map oraz usługę Network Watcher.

Azure Security Center – Zarządzanie subskrypcjami

Na początek spójrzmy na Pulpit menadżerski (Overview), który podsumowuje w jednym miejscu wszystkie ważne aspekty wybranych subskrypcji i pozwala nam kontrolować postępy w zabezpieczeniu środowiska.

Na pulpicie widzimy poziom zgodności wdrożeń w subskrypcji z ustalonymi politykami. 38 polityk rekomenduje Azure, inne możemy określić i ustawić samodzielnie. Zdecydowanie polecam to zrobić. Rekomendacje Microsoft są dobrym punktem wyjścia, ale nie załatwiają np. takich aspektów jak wybrane lokalizacje dla naszych usług, zakres usług, z których pozwalamy korzystać w środowisku, czy choćby oznaczenie zasobów odpowiednimi TAGami.

Polityki mogą dotyczyć wielu aspektów, takich jak lokalizacja danych w odpowiednich regionach, obecność agenta Log Analytics na stacjach, konieczność szyfrowania dysków maszyn, czy wreszcie wymuszenie obecności tagów na zasobach lub ustalenie konwencji nazewniczej dla zasobów. Rekomendacjami i zagrożeniami zajmiemy się później.

Azure Security Center – Zdarzenia i logi

Następnie rzućmy okiem na Istotne zdarzenia (Notable Events) w rozwiązaniach z perspektywy bezpieczeństwa. Przy ponad 90k zdarzeń przez ostatnie 7 dni wskazanie grup kluczowych incydentów nie jest łatwe.

Azure umożliwia nam wejście w każde ze zdarzeń, przejście do Log Analytics i przyjrzenie się szczegółom każdego z nich.

Azure Security Center – Rekomendacje

Z początkowego pulpitu menedżerskiego szybko możemy przejść do Rekomendacji (Recommendations) pokazującego faktyczne działania, których wdrożenie może pomóc w zabezpieczeniu naszego środowiska.

I tu znowu widzimy integrację z Log Analytics, który analizuje poziom aktualizacji systemów, zdarzenia bezpieczeństwa na samych maszynach, ale też wskazuje na podatności, którym podlegają konkretne podatności.

Poniżej prezentujemy widok luk bezpieczeństwa wykrytych na systemach. Z tego miejsca możemy zejść głębiej i zobaczyć, które maszyny są faktycznie narażone na konkretne niebezpieczeństwo:

Azure Security Center – Analiza struktury sieci

W mojej opinii niepozorna analiza struktury sieci w subskrypcji i rekomendacje dotyczące Network Security Groups oraz Application Security Groups są jednym z najważniejszych aspektów konfiguracji środowiska, nie tylko w wymiarze maszyn wirtualnych.

Bezpieczna sieć to podstawa bezpiecznego wdrożenia w chmurze!

Warstwa sieci to najniższa warstwa zabezpieczeń, jaką możemy skonfigurować i tylko od nas zależy, jaki ruch i pomiędzy jakimi sieciami zostanie przepuszczony.

Co więcej, jest to jedno z tych miejsc, które stosunkowo łatwo atakować z zewnątrz, szczególnie jeśli zostawimy na maszynach publiczne adresacje IP, nie dodamy dedykowanych rozwiązań Firewall warstw 4 i 7, czy też nie skonfigurujemy odpowiednio Firewalla wewnątrz maszyny. Brak możliwości ruchu do maszyn nie wyeliminuje możliwych wektorów ataku, ale je skutecznie ograniczy.

Jeśli nie jesteście do końca przekonani, wykonajcie prosty test.

Wystarczy włączyć usługę Service Map w Log Analytics, ustawić NSG tak, by wpuszczany był cały ruch, zostawić publiczny adres IP i… Pozostaje nam tylko kupić popcorn i śledzić liczbę prób połączeń z przeróżnych stron świata na porty 3389, 445, 22 czy inne.

Zrzut poniżej pokazuje ruch do maszyny honeyvm02 tylko za ostatnie 30 min. Ciekawe, prawda?

Azure Security Center – Analiza zagrożeń (Threat Protection)

W tym module Azure oferuje prawdziwe bogactwo funkcjonalności.

Otrzymujemy możliwość wglądu do analizy zagrożeń na bazie korelacji zdarzeń z logów bezpieczeństwa, zdarzeń w systemie, połączeń do maszyn, czy prób logowań, zarówno tych udanych, jak i nieudanych. Lista wykrywanych zdarzeń jest długa i dobrze udokumentowana przez Microsoft. Polecam artykuł z dokumentacji https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-type.

Azure Security Center – Szczegółowa analiza zdarzeń

Poza wykrywaniem zdarzeń i wskazywaniem, kiedy miały miejsce i na jakich maszynach, możemy również prowadzić jeszcze bardziej szczegółową analizę. Praktycznie z poziomu każdego zdarzenia możemy przenieść się do konsoli takiej jak poniżej, gdzie widzimy graf zdarzeń zależnych, które mogły doprowadzić do tego, że nagle na naszej maszynie wykonywany jest jakiś proces (w tym przypadku mimikatz).

Z jednej strony mamy wywołanie mimikatz, a z drugiej próby logowań kontami anonimowymi, próby logowań z innych maszyn, wykonywanie procesu w ramach konta prawdziwego użytkownika… Nic tylko analizować i badać, co i kto próbuje wykonać na naszej maszynie.

Azure Security Center – Zaawansowany przewodnik po usłudze

Czy możliwości zarządzania bezpieczeństwem w chmurze oferowane przez Azure Was zaciekawiły? Mam nadzieję, że tak!

Dzisiaj zająłem się wstępnym omówieniem wybranych funkcjonalności rozwiązania. Chcecie więcej? Służę pomocą.

Niebawem spodziewajcie się kolejnych części przewodnika po usługach Azure Security Center, w których przyjrzymy się im dokładniej i zweryfikujemy ich dobre i złe strony. Do usłyszenia!