Site icon

הגנה על תשתיות עם Azure Security Center (הקדמה)

*מאמר ראשון בסדרת הגנה על תשתיות עם Azure Security Center

ברבעון האחרון של שנת 2017 חל שינוי בענן ויותר לקוחות בחרו לצרוך ענן מבוסס Azure על פני Amazon, לצד השינוי הנ”ל של צריכת שירותי ענן בשירות Azure אנו מחויבים לתת הגנה ומענה של אבטחת מידע לתשתיות החל מהגנה על השכבה החיצונית, דרך זהויות ועד לביצוע תחקור של אירועי ותקיפות סייבר.

בהגנה על תשתיות Azure ישנם מספר שכבות ורובדים מבוססים Azure Security Center וכן יכולות נלוות אשר מסייעים בהגנה ונותנים מענה מתקדם אך יחד עם זאת חשוב להדגיש שהצורך בתפעול המערכות הינו חשוב בין אם הניהול והתחקור נעשה ישירות מול ממשקי Azure Security Center או באינטגרציה מול מערכות SIEM שונות.

לפני שנרחיב ונתמקד ביכולות של הגנה על תשתיות Azure באמצעות Azure Security Center חשוב להבין את איומי הסייבר שאנו חשופים להם ובהתאם לכך להגן על התשתיות השונות.
דוחות הסייבר של חברות אבטחת המידע הציגו דוחות לשנת 2017 על המגמות והטרנדים שהיו עם התייחסות לקראת 2018, הדוחות של שנת 2017 כללו בין היתר פרטים לגבי חברות שהותקפו ונזקים שנגרמו, כדוגמת הדוח של חברת Cisco.
ניתן למצוא בין היתר בדוחות ארגונים שהותקפו ונתונים לגבי מידת השפעה לגבי אותם ארגונים שהותקפו:

אלה הם רק חלק קטן מתוך הנתונים בדוח אך אין ספק שצריך להגן על תשתיות הארגון אך חשוב מכך, צריך לוודא שיש לנו את ההגנה המתאימה שתאפשר ניהול נכון! אחת הבעיות כיום היא שישנם המון מערכות הגנה בארגון אשר גורמות לניהול לא נכון ולמצב של עודף בהתראות ולכן התראות קריטיות אינן מקבלות התייחסות מתאימה.

בדוחות הנוספים של חברות אבטחת המידע ישנם מספר טרנדים ומגמות לקראת 2018 כאשר ישנם מספר מגמות בולטות:

בנוסף לדוח ישנם שני אתגרים גדולים שכל ארגון חייב לאמץ ולדעת לנהל באופן הנכון בשנה הקרובה:

אז איך כל זה קשור אל Azure Security Center, למגמות וטרנדים של סייבר לשנת 2018 ולחדשנות בתחום הסייבר?
ארגונים כיום עובדים באופן כלשהוא עם הענן בין אם בתצורה היברידית ובין אם בתצורת ענן בלבד אך ישנם מספר דגשים אשר משותפים לכלל הארגונים כאשר בוחנים פתרון סייבר:

Azure Security Center מספק הגנה,זיהוי ותגובה על בסיס מספר פלטפורמות שונות, בין היתר על הפלטפורמה של Intelligent Security Graph וכתוצאה מכך ניתן לקבל יכולות הגנה ומענה מתקדמות של תחקור ושל advanced threat protection.
מערכת הניהול של Azure Security Center מבוססת על Unified Security Management לסביבות workload שונות בתצורה היברידית או סביבות ענן בלבד ומאפשר לבצע ניהול, זיהוי ותגובה על כל רכיב, מערכת, שירות ואובייקט נדרש לאותה סביבה.

Azure Security Center כולל יכולות הגנה, זיהוי ותגובה מול שרתים וירטואליים או שרתים הנמצאים בסביבה מקומית אך בנוסף לזה מאפשר הגנה על גישה לכל אותם worloads שונים כדוגמת אינטגרציה מול זהויות (Azure Identity), פתרונות WAF או פתרונות כדוגמת CheckPoint FW.
האינטגרציה לא חייבת להיות מבוססת רק על מערכות Microsoft וניתן לשלב מערכות צד שלישי שונות כולל הגנה על מערכות לינוקס.
היבטי אבטחת מידע מול Azure נחלקים לשלושה רבדים:

בנוסף לכל אותם אפשרויות Microsoft מחויבת לתקנים בינאלאומיים ומחמירים של שמירה על המידע, מידע נוסף Microsoft Trust Center Compliance.

הגנה על תשתיות באמצעות Azure Security Center

Azure Security Center מספק מספר יכולות הגנה על שכבת התשתית ומאפשר הגנה על התשית, זיהוי איומים וביצוע פעולות תגובה על כל אותם איומים (לפי פוליסי שהוגדר מול מראש). Azure Security Center עובד לפי שלושה מנגנונים:

Azure Security Center עובד לפי מנגנון של Protect + Detect + Respose ולכן מאחורי הקלעים ישנה פלטפורמה ומנגנון הגנה שמבצע כל העת אנליטיקות וניתוח מידע, בין כל המידע ישנה קורלציה וכמות הסינגלים שנשלחת אל שירות Azure מאפשר לכל ארגון לקבל מידע לגבי סוגי מתקפות, זיהוי מתקפות חדשות, זיהוי מתקפות מתקדמות ומענה לאיומים וסיכונים.

 

המנגנון של זיהוי ותגובה עובד עם מערכת המשלבת מספר קריטריונים ומגנונים נוספים:

*ניתוח התנהגות ואנומליה יכול לעיתים להיות דומה אחד לשני אך הם עדיין שונים מאד, אנומליה מספקת לנו מידע לגבי אי סדירות שקשה להסביר בכללים או תיאוריות שונות וקיימות,  ככל שנאסף יותר מידע וקווים מנחים כך המידע שנוצר מאפשר לבצע יותר אנומליות והיא נעשית יותר קלה לזיהוי.
מנגד ישנה ניתוח התנהגות המבוסס על אלגוריתמים משתנים בתוך Machine Learning ולא על חתימות ולכן מתבצעת הגנה איומי Zero-day והיכולת להתמודד עם איומים לא גלויים או לא רגילים ושאינם מנוטרלים על ידי מערכות האבטחה הרגילות.

פורטל הניהול של Azure Security Center

הפעלה ראשונית של Azure Security Center הינו תהליך פשוט אך בכדי לקבל את היכולות הנוספות לאחר מכן ובכדי לעבוד מול מערכות SIEM צריך לבצע מספר הגדרות נוספות. לאחר שמפעילים את Data Collector במערכת הניהול של Azure Security Center ניתן לעבוד עם הממשק Security Center – Overview ולקבל תצוגה כללית, להפעיל פוליסי ועוד.
בתצוגה הכללית של Azure Security Center המסך מחולק לכמה חלונות של Prevention לניטור וניהול המשאבים, המלצות לביצוע בעקבות הניטור, פוליסי לביצוע, התראות ועוד.

במסך הניטור Prevention ניתן לראות כל אותם משאבים שאנו דוגמים ולהציג מידע מפורט

לאחר כניסה אל ממשק דיווח של השרתים נקבל פרטים נוספים, המלצות ובכל אחד מהמקרים נוכל להיכנס פנימה אל המידע.

למשל באחת ההמלצות מתקבלת התראה על הצפנת דיסק שאינה מופעלת ברמת המכונה הוירטואלית

דוגמא נוספת היא התראה על חוק פתוח מול אחד השרתים ולא לפי המלצת NSG

מידע נוסף לגבי Azure Security Center בקישור הבא https://docs.microsoft.com/en-us/azure/security-center/security-center-intro

Exit mobile version