יש לי Azure Sentinel, האם אני צריך Azure Defender או Security Center?
ישנם שני סוגים של ארגונים: ארגונים שהותקפו ונפרצו – ויודעים על כך, וארגונים שהותקפו ונפרצו, אך עדיין אינם יודעים זאת. מה הסטטוס בארגון שלך?
אבטחת מידע בענן, אבטחת מידע בסביבה היברידית או מרובת עננים היא אתגר רציני לכל הדעות, והיא מצריכה בכל מי שנוגע.ת בדבר לתת את המענה המקסימלי לכל השכבות, האובייקטים והנכסים הרגישים.
לאבטחת מידע בענן ישנם קטגוריות שונות, מגוונות ודומיננטיות, וכל אחד מהם מכסה בעיות מסוימות, כל קטגוריה מכסה שכבות שונות ובשורה התחתונה כל קטגוריה צריכה גם להגן על כל אובייקט ואבייקט בסביבת ענן, סביבה היברידית או סביבה מרובת עננים.
המאמר מתמקד באבטחת מידע בענן סביב Posture Management + Workload Protection וכן החיבור מול Azure Sentinel של Azure Security Center ושל Azure Defender.
גישת אבטחה בענן
גישת אבטחה בענן, גישת אבטחה בסביבה היברידית וגישת אבטחה בסביבה מרובת עננים היא מאתגרת והמטרות שלה הם שונות מאשר סביבה מקומית מסובכת ככל שתהיה.
בסביבות היברידיות מרובות עננים יש כל כך הרבה מערכות, רכיבים וטכנולוגיות מגוונות המבוססות על תצורות IaaS, PaaS ועל SaaS. כאשר הרשת המקומית נמתחת מהסביבה המקומית והמוכרת אל ענן אחד או יותר, ולעיתים אל טכנולוגיות שאינן מוכרות, אנו יכולים לאבד את השליטה, הבנה והבקרה על הנעשה.
כיום סביבות היברידיות נמתחות לסביבת מרובת עננים, ואם נקח לדוגמה סביבה עם חיבור אל שירות Office 365, ובנוסף לכך מחוברת אל רכיב מסוים בסביבת Azure ונוסיף לזה גם עוד רכיב בסביבת AWS – מהר מאוד מצאנו את הסביבה שלנו נפרסת על גבי שלושה סביבות נוספות.
במצב כזה אנו מוצאים את הרשת שלנו נמתחת על גבי מספר סביבות שונות שלא בהכרח הטכנולוגיות מוכרות לנו בכולן, ויתרה מכך, אני לא חייב להכיר כל טכנולוגיה שהיא.
הגישה באבטחת מידע בענן השתנתה בשנתיים האחרונות והתעצבה לשלושה קטגוריות הגנה מרכזיות של CSPM, CWPP, CNSP כאשר האחרונה שבהן היא CNSP.
טיפ: גם בימים האלה הגישה משתנה מעת לעת בגלל הדינמיות של הטכנולוגיות בענן
כאשר מיישמים אבטחה לסביבה היברידית מרובת עננים עולות כל כך הרבה שאלות, כמו:
- האם צריך ליישם Blueprint
- מהם השכבות שאני צריך בכל סביבה
- האם אני יכול לעבוד עם אותם כלים לכלל הסביבות
- איך מקטינים את הסיכונים ומגדילים את החיכוך עם התוקף
- האם אני צריך פתרונות מתקדמים כולל שילוב SOC מנוהל (או לא מנוהל)
אלה הן רק חלק מזערי מכל אותן שאלות שצריכות להישאל כאשר מבצעים אבטחת מידע בענן!
אז מהן למעשה כל אותן קטגוריות? ולמה חשוב להתפקס בהן כאשר מיישמים אבטחת מידע בסביבה היברידית מרובת עננים?
הקטגוריה של Cloud Security Posture Management ובקצרה CSPM (בעבר נקרא גם Cloud Infrastructure Security Posture Assessment) היא הקטגוריה בסיסית וחובה, והיא למעשה מטפלת במספר שכבות. בכלים של Posture Management אנו למעשה מטפלים בסיכונים, מיסקונפיגורציות, פערים ובעיות אבטחה בתצורות IaaS קלאסיות ומעט בתצורות PaaS ואף בסביבות מרובות עננים והיברידיות.
הקטגוריה של Cloud Workload Protection Platforms ובקצרה CWPP היא הקטגוריה שאיתה אנו מבצעים הגנה על הרכיבים בענן שבד"כ מבוססים על Agent או Agent-less על תצורות IaaS ובעיקר על תצורות PaaS מגוונות, כמו Serverless, SQL, Storage, קונטיינרים ועוד.
הגנה באמצעות CWPP מתבטאת בהגנה על מכונות בכל סביבת ענן שהיא, בהגנה על מכונות בסביבה מקומית ובאפשרויות הגנה מתקדמות על גבי רכיבי Native שונים בענן כמו Container וכן הלאה.
טיפ: הבדל מהותי בין CSPM לבין SWPP הוא: CSPM מטרתו לתת ממצאים והמלצות על הסביבות השונות. CWPP מטרתו לתת ניטור אבטחה מתקדם של זיהוי, גילוי ומניעה מול אובייקטים בענן.
מתוך Azure Defender – זיהוי ניסיונות תקיפה מול מכונה עם RDP פתוח לעולם 👇
מידע נוסף ודגשים חשובים במאמר של הגנה בסביבת Multi Hybrid Clouds.
אז יש לי Azure Sentinel, והשאלה היא האם אני צריך Azure Defender או Azure Security Center?
הכלים שאיתם אפשר לעבוד בסביבות היברידיות וסביבות מרובות עננים נחלקים למערכות וכלים שונים, אך הנפוצים בהם הם Azure Sentinel, Azure Security Centerו כן Azure Defender. מה ההבדלים בינהם?
Azure Security Center
התשתית של Azure Security Center (בקצרה ASC) נותנת מענה לחלק של Security Posture Management והיא למעשה השכבה הבסיסית עם הכלים הראשונים שאיתם מנטרים תצורות אבטחה שונות, מיסקונפיגורציה ותקינות מערכת.
ASC אוסף לוגים ואירועי מערכת מתוך אובייקטים שהם מנוטרים (מבוססי Agent או ללא Agent), ועל סמך איסוף המידע מבצע ניתוח אוטומטי של הנתונים ושל המידע בכדי לספק ממצאים והמלצות אבטחה לשיפור מערך האבטחה של הסביבות המנוטרות.
היכולות של ASC משלבות יכולות נוספות של Azure בכדי לתת מענה רחב, מקיף ומעמיק עם יכולות כמו Azure Policy או Azure Security Benchmark וכן Azure Monitor Logs וכל זה יכול להתחבר בצורה אינטגרלית אל Cloud App Security בכדי לתת תובנות מתקדמות.
אחד הדברים החשובים של ASC הוא הניטור הפרואקטיבי שמתבצע על Compute, Data, זהויות, תקשרות וגישה אל המשאבים המנוטרים.
הערה: ישנם כלים צד שלישי נוספים, חלקם ברמה מתקדמת שנותנים מענה דומה/זהה לאלה של Azure Defender ושל Azure Security Center.
Azure Defender
התשתית של Azure Defender נותנת מענה לחלק של Workload Protection בכדי לתת התראות אבטחה נוספות, זיהוי וגילוי מתקדם של בעיות אבטחה ובפרט ניטור על משאבי PaaS בענן.
Azure Defender יכול לנטר מכונות, אפליקציות, Storage, מפתחות וסיקרטים, DNS, קונטיינרים ועוד. Azure Defender יכול להיות מותקן במכונות שאינן נמצאות בסביבת Azure, למשל AWS או בסביבה מקומית. יכולות בולטות של Azure Defender:
Security alerts מספק התראות מפורטות כולל אפשרויות תחקור על סמך גילוי וזיהוי בעיות אבטחה
Vulnerability assessment מאפשר זיהוי חולשות שונות על המשאבים המנוטרים וזאת ע"י שילוב מול התשתית של Qualys.
Just in time access מאפשר לאכוף מדיניות גישה אל משאבים מתוך תעבורה נכנסת, למשל פורט 3389. המדיניות נעשית לפי פוליסי מוגדר מראש הכולל: אכיפה של זמנים, הקשחץ גישה למשאבים, אישורי גישה למשאבים ועוד.
Adaptive application controls שמספק בקרות מותאמות על סמך אפליקציות ויישומים. מספק רשימת מורשית של יישומים על סמך למידה אוטומטית של אפליקציות ויישומים שנמצאים בארגון או כאלה שנמצאים בשימוש הארגון. במידת הצורך אפשר לקבל התראה על אפליקציות שאינן ברשימה. (לא מדובר על App Locker).
Azure Sentinel
תשתית Azure Sentinel הינה תשתית SIEM ענפה המבוססת על הענן. Azure Sentinel הינה מערכת SIEM מהדור החדש המאפשרת לחבר את כלל מערכות האבטחה בארגון, בין אם מדובר על מערכת Microsoft או מערכות אבטחה צד שלישי, או כל מערכת ואפליקציית ענן שהיא וע"י כך לקבל תמונה כולל של מערך האבטחה בארגון.
Azure Sentinel מאפשר לבצע מעקב אחר כל מערכת באופן פרטני במיוחד, מאפשר לבצע תחקור מעמיק על כל אירוע וכן ומענה אוטומטי לפי workflow ייעודי. מכיוון שמערכת Azure Sentinel מבוססת על רכיבים של Azure כדוגמת Playbook וכן Log Analytics או יכולים לקסטם את המערכת בצורה חכמה יותר ולאפשר אוטומציה מקצה לקצה.
מידע נוסף לגבי Azure Sentinel בקישור הבא הקמה והגדרת Azure Sentinel
למאמר של קבוצת המוצר והבדלים בין התשתיות והכלים 👇
What's the difference between Azure Security Center, Azure Defender, and Azure Sentinel
האתגרים בענן, סיכונים, הבדלים נוספים ומידע על אבטחה בענן, מתוך המאמר המקורי בקישור הבא 👇
C!0ud Posture Management and Workload Protection with Azure Sentinel
אינטגרציה מול Azure Sentinel
האינטגרציה וחיבור של Azure Sentinel מול Azure Defender וכן Azure Security Center הוא תהליך פשוט יחסית שבסיומו ניתן לקבל כל פיסת מידע על כל אובייקט שמנוטר, החל ממכונה עם חולשות ספיציפיות, או ממצא קריטי וכמובן בעיות אבטחה קריטיות.
דרישות
בכדי לבצע אינטגרציה בין Azure Security Center / Azure Defender לבין Azure Sentinel אנו צריכים לוודא את הדרישות הבאות קודם לכן:
Azure Subscription עם משאבים, אובייקטים ומידע
Log Analytics Workspace שמוגדר כחלק מתוך Azure Sentinel
רישוי Azure Defender עם רישוי סטנדרטי (לא רישוי Free TIER)
סביבת Azure Security Center שמוגדרת מול השכבות הנדרשות
מומלץ לוודא מספר הגדרות בסיסיות של Azure Defender טרם אינטגרציה מול Azure Sentinel, בין השאר ההגדרות הבאות:
רישוי Azure בגרסת Standard
לוודא שישנו Coverage של אובייקטים שונים, כמו מכונות, אפליקציות, מפתחות ועוד
לוודא שהאובייקטים מנוטרים מול Security Center
בדיקה נוספת מצד Security Center שהאובייקטים מנוטרים
אינטגרציה מול Azure Sentinel
לאחר שנבדקו כל ההגדרות והאפשרויות של Azure Security Center ושל Azure Defender נתחיל באינטגרציה מול Azure Sentinel לפי ההנחיות הבאות:
בפורטל Azure Sentinel ניגש אל Data Connectors ונחפש את Azure Defender
בקונקטור נבצע הגדרה מול אותו Workspace וכן נחבר את אותו Subscription ספציפי שהנוגדר קודם לכן
בסיום נוכל לתשאל נתונים מתוך Azure Sentinel ולבדוק שאכן מידע ונתונים מגיעים ללא בעיה
בסיום נוודא שהחוק Analytics של Azure Defender מוגדר
איך מסלמצים בעיות אבטחה מתוך Azure Security אל Azure Sentinel בקישור הבא 👇
C!0ud Posture Management and Workload Protection with Azure Sentinel
