הגנה על תשתיות Azure עם Azure Security Center

בתקופה האחרונה נשאלתי המון שאלות לגבי אבטחת מידע סביב Azure ולמה אין אפשרויות וטכנולוגיות של אבטחת מידע סביב Azure כמו שיש מול Office 365.
אז יש אבטחת מידע סביב Azure החל מהקשחת זהויות וגישה עם Azure AD, הקשחת המידע והתשתיות,  מענה לאפליקציות ונתונים ועוד.

היבטי אבטחת מידע מול Azure נחלקים לשלושה רבדים:

• זהויות
  Azure AD מאפשר לנהל זהויות וגישה אל משאבים ולהגן על המידע בארגון באמצעות יכולות multi-factor authentication שמגן על הכניסה לרשת באמצעות מזהה נוסף,  AAD Privileged Identity שמאפשר לנהל באופן מלא את הגישה ולאפשר פעולות מסוימות בהתאם לגישה של כל משתמש.
  
• תשתיות
  ברמת התשתיות Azure מאפשר לעבוד כמה רבדים נוספים המאפשרים הקשחת הגישה אל התשתיות והגנה על התשתיות עצמם עם יכולות, כגון: חסימה של תעבודה שאינה מאומתת מול Virtual Network,  שליטה על התעבורה מול מכונות עם NSG.
  בנוסף יש יכולות, כגון: AM for Azure המאפשר לנהל איומים וסיכונים מול משאבים שונים, שליטה וניהול עם Security Center וכו’.
  
• אפליקציות ונתונים
  ברמת אפליקציות ונתונים ניתן לעבוד עם יכולות שונות, כגון: הצפנה המידע (data in rest\transit), כולל קבצים, אפליקציות, services.  הפעלת BitLocker על כוננים מסוימים.

בנוסף לכל אותם אפשרויות Microsoft עובדת לפי תקנים בינאלאומיים ומחמירים של שמירה על המידע, מידע נוסף Microsoft Trust Center Compliance.

הגנה עם Azure Security Center

Azure Security Center (בקצרה ASC) מספק מספר יכולות הגנה על שכבת Infrastructure ומאפשר לזהות איומים וסיכונים, למנוע בעיות וכמובן להגיב על כל אותם בעיות ואיומים לפי פוליסי שהוגדר מול מראש. ניהול באמצעות ASC מגביר את הניראות ואת כל מה שעובר מול Azure וע”י כך מאפשר שליטה יעילה ובטוחה מול משאבי Azure.
היתרון של ASC הוא באינטגרציה, ניטור וניהול הפוליסי מול Azure Subscription.

ASC עובד לפי שלושה מנגנונים:

• למנוע איומים וסיכונים
  בשלב הראשון אנו רוצים ASC מאפשר למנוע סיכונים ואיומים מול Azure Subscription ע”י יכולות ניטור של מצב Security מול משאבי Azure,  הגדרת פוליסי על Azure Subscription ועל משאבים נוספים בהתאם להמלצות ולדרישות ארגוניות כדוגמת: מידע רגיש או אפליקציות חשובות. בנוסף לכך עובד באופן של מידניות מונחית לפי המלצות על גבי תהליכים שמוגדרים מראש.
  כאשר מיישמים את החלק הראשון בתהליך בכדי למנוע איומים וסיכונים חייבים לתכנן בתהליך את המדיניות הארגונית ואת הלשבים בתהליך, בין היתר: איסוף המידע,  ביצוע Remediation, הוספת מנגנון להקשחת השרתים, הקשחת הגישה והפעלת יכולות Security נוספות בהתאם למשאבים, לדוגמא: אפליקציות  או מכונות.
  
• זיהוי ותגובה
  בשלב השני/שלישי ASC עובד לפי מנגנון שמחולק לפי מספר קריטריונים ותהליכים שרובם אוטומטי.
  ASC מבצע באופן אוטומטי ניטור של התעבורה ואיסוף לוגים המבוסס על מידע Security מתוך המשאבים של Azure, לאחר איסוף הלוגים מתבצע ניתוח של המידע , בסיום ניתוח המידע מתבצע קורלציה על המידע וכאן למעשה מתבצע הזיהוי של איומים וסיכונים. בהתאם לזיהוי האיום נוכל להפעילת התראה באופן אוטומטי ובנוסף לקבל המלצות לביצוע איך לטפל באיום.
  מאחורי הלקעים ASC מבצע פעולות רבות והרבה מעבר לגישה של חיפוש איומים המבוססים על חתימות, הפעולות שמתבצעות מאחורי הקלעים נעשות בין היתר ע”י חיפוש אנליטיקות עם advanced security analytics ועם יכולות machine learning שמרחיב את יכולות החיפוש וידיעה מראש של בעיות, איומים וסיכונים.
  

המנגנון של זיהוי ותגובה עובד עם מערכת המשלבת מספר קריטריונים ומגנונים נוספים:

• מידע לגבי איומים וסיכונים
  הענן של Microsoft בנוי מכמה שירותי ענן ומאגרי מידע שונים, כגון: MSRC ולכן המידע הקיים בענן מאפשר לבצע טלמטריה על כל המידע ובהתאם לכך לבצע ניתוח חכם של המידע ותוך כדי לבצע זיהוי של איומים וסיכונים.
  הדוגמא הנפוצה של זיהוי תעבורה זדונית מול מכונות וירטואליות היא זיהוי תעבורה מול כתובות IP לא תקינה אשר פונה לרשת botnet. במצבים כאלה ASC יודע לזהות תעבורה תקינה או לא תקינה מול מאגרי המידע השונים הקיימים.
  
• התנהגות
  מכיוון שהאיומים כיום יותר חכמים אנו צריכים מערכות שיידעו לזהות מראש איום שאינו רגיל, ניתוח התנהגות הוא טכניקה שמאפשרת לזהות מראש איום. האופן שבו עובד ניתוח ההתנהגות נעשה ע”י אלגוריתם בתוך Machine Learning  שמאפשר לדעת מתי ישנו הבדל בין פעולות רגילות לבין פעולות חשודות מול מכונות וירטואליות, רשתות ומול התקנים.
  דוגמא נפוצה לגבי ניתוח התנהגות אשר נעשה ברמת PowerShell שבו המערכת יודעת לזהות פעילות והאופן שבו מריצים PowerShell על גבי מכונה וירטואלית ומתי מופעל PowerShell בצורה זדונית (תוקף או קישור).
  
• אנומליה
  ASC מבצע אנומליה על המידע והפעולות ובניגוד לניתוח התנהגות (המבוסס על דפוסי התנהגות) אנומליה עובד לפי קווים מנחים שיקבל מראש או קווים מנחים לפי מידע שנאסף ולכן גם כאן יכולות Machine Learning נכנסות לפעולה ע”י חוקים ויישום.

ניתוח התנהגות ואנומליה יכולים לעיתים להיות דומים אחד לשני אך הם עדיין שונים מאד, אנומליה מספקת לנו מידע לגבי אי סדירות שקשה להסביר בכללים או תיאוריות שונות וקיימות,  ככל שנאסף יותר מידע וקווים מנחים כך המידע שנוצר מאפשר לבצע יותר אנומליות והיא נעשית יותר קלה לזיהוי.
מנגד ישנה ניתוח התנהגות המבוסס על אלגוריתמים משתנים בתוך Machine Learning ולא על חתימות ולכן יכולות לתת הגנה נגד איומי Zero-day ומאפשר להתמודד עם  איומים לא גלויים או לא רגילים ושאינם מנוטרלים על ידי מערכות האבטחה הרגילות.

פורטל הניהול של ASC

הפעלה ראשונית של ASC הינו תהליך פשוט אך בכדי לקבל את היכולות הנוספות לאחר מכן ובכדי לעבוד מול מערכות SIEM צריך לבצע מספר הגדרות נוספות. לאחר שמפעילים ASC ניתן לעבוד עם הממשק Security Center – Overview ולקבל תצוגה כללית, להפעיל פוליסי ועוד.

בתצוגה הכללית של ASC המסך מחולק לכמה חלונות של Prevention לניטור וניהול המשאבים, המלצות לביצוע בעקבות הניטור, פוליסי לביצוע והתראות.

במסך הניטור Prevention ניתן לראות כל אותם משאבים שאנו מנטרים ולהציג מידע מפורט

לאחר כניסה אל הניטור נוכל להציג בפרטים את המשאבים ופירוט המיגע שנאסף, המלצות ובכל אחד מהמקרים נוכל להיכנס פנימה אל המידע.

למשל באחת ההמלצות מתקבלת התראה על הצפנת דיסק שאינה מופעלת ברמת המכונה הוירטואלית

דוגמא נוספת היא התראה על חוק פתוח מול אחד השרתים ולא לפי המלצת NSG

איך מפעילים, הגדרת ניטור של משאבים ועבודה לפי המלצות במאמר הבא.