הגדרת Tier והמלצות אבטחה בשירות Azure Security Center
הגנה על שכבות שונות בשירות Azure היא אתגר לכל דבר, וכיום לא מדובר רק על הגנה על מכונות וירטואליות ברמת שכבת IaaS, אלא הגנה על הרכיבים והשכבות הנוספות, ובפרט הגנה על Native Apps, כגון: App Services או Container.
האתגר גדול עוד יותר כאשר נכנס לתמונה שירות ענן נוסף או הצורך לשלב הגנה לסביבה מקומית, וכאשר מדובר על סביבה מקומית אנו לוקחים בתכנון את הרכיבים שהם חלק מתצורה היברידית בלבד.
כיום סביבות ענן מרובות הן תרחיש קיים בהמון ארגונים, ולכן הגנה על סביבת Multi Cloud הוא משהו מתאגר עוד יותר הדרוש מאיתנו לדעת את כל האפשרויות של ספקי הענן וחשוב מכך איך אנו יכולים להגן על סביבות כאלה עם מינימום כלי אבטחה.
החלק הבעייתי ביותר בסביבה מרובת עננים הוא חוסר הידיעה של רכיבים חשופים ובעיות אבטחה אשר נובעות מתוך מיסקונפיגורציה, ולכן הדגש הוא על Shared Responsibility.
שכבות הגנה בענן
שירות הענן של Azure מורכב מאינספור רכיבים ופלטפורמות שונות, ורגע לפני שמבצעים הגנה כדאי לדעת מהי הארכיטקטורה ועל מה אנו נדרשים להגן, ולכן ארכיטקטורה יכולה להיות שונה מפתרון לפתרון כמו בדוגמאות שלפנינו.
ארכיטקטורה אשר מתקדמת בפתרון PaaS ומשלבת רכיבי DNS, SQL, Storage ורכיבים נוספים
ארכיטקטורה אשר מתקדמת בפתרון IaaS עם חלוקה של Hub & Spoke, מכונות וירטואליות ורכיבי תקשורת שונים
כאשר מתסכלים על כלים להגנה על סביבת Azure אנו חייבים לקחת בתכנון מספר דגשים חשובים מאוד:
- האם אנו מבצעים הגנה רק על סביבת Azure
- האם מדובר על תרחיש של סביבה מרובת עננים
- האם צריך לתת מענה לסביבה מקומית
- האם האכיפה צריכה מותנית ברגולציות שונות
- איך מבצעים Enforcement מצב של בעיות אבטחה
אלה הם רק חלק קטן מתוך דרישות בהגנה על Azure וישנם קטגוריות ותתי קטגוריות נוספות, כגון:
• Blueprint (including Automation)
• Identity Protection
• Infrastructure Security (IaaS)
• Compliance & Data Privacy
• Security Risk Analysis
• Shadow and Visibility
• Data Protection (data at rest and data in transit)
• Governance (including Enforcement)
• Threat Detection & Continuous Monitoring
• Audit, Logging and log archive
• Configuration Management
• Environment Lockdown
• Vulnerability Management
• Patch Management
• Secure DevOps
• SIEM integration
• SOC Automation
לפני שמתחילים באיפיון ופריסה של הכלים המוצעים מתוך Azure Security Center אנו נדרשים לדעת מהם השכבות שעליהם אנו רוצים להגן, האם תשתיות ענן קלאסית של מכונות, או האם רק על אפליקציות Native, או שאולי בכלל אנו נדרשים להגן על תשתית היברידית משולבת Multi-Cloud.
כיום, ברוב המקרים אנו נצטרך לתת מענה והגנה על סביבה אשר מורכבת מסביבה מרובת עננים ושילוב סביבה מקומית בדגש על הגנה לשכבת Native Platform.
טיפ: כלי האבטחה של Azure Security Center תומכים בתקינה וברגולציות שונות כגון: Azure CIS 1.1.0, ISO 27001 ותקנים נוספים, וחשוב מכך מציגים באופן פרואקטיבי את מדדי היישום של כל תקן מול המשאבים המנוטרים.
הגנה באמצעות Azure Security Center נחלקת למספר קטגוריות:
ניהול זהויות וגישה מאפשר אינטגרציה בין Azure Security Center לבין Azure AD ובפרט מול Azure AD Identity Protection,כולל היכולות המוכרות של Azure MFA, האפשרויות של גישת Just In Time והתמקדות על גבי Azure AD PIM.
אם נקח לדוגמה את האפשרות של ניטור ובקרות על זהויות, אז היכולות של Azure Security Center מאפשרות זיהוי של חשבונות בעלי סיכון ונקיטת פעולות מנע שלא יאפשרו גישה למשאבים או יחמירו את הגישה של אותו חשבון בסיכון.
הגנה על הפלטפורמה מאפשרת הגנה ברמת שכבת IaaS כולל תצורה היברידית וכן ספקי ענן נוספים כדוגמת AWS.
הגנה לפלטפורמה מאפשרת בין היתר הגנה למכונות וירטואליות, הגנה על Network Security Groups, שליטה על התעבורה מול מכונות וירטואליות, ביצוע Assessment ברמת המכונה, ביצוע עדכונים וזיהוי בעיות אבטחה ברמת מערכת הפעלה וכן מענה להתקפות מבוססות DDOS.
הגנה על אפליקציות ונתונים או הגנה על Native Platform היא משהו נדרש ולכן Azure Security Center מאפשר הגנה על רובד אפליקטיבי כדוגמת Conatiner, SQL, Storage, Kubernets, Key Vaults ונוספים.
אם נקח למשל את השירות של Azure Kubernetes Service אנו יכולים לבצע הגנה לפי מספר מאפיינים, כגון: זיהוי וגילוי של Instances בשירות, ביצוע בדיקות אבטחה מתמשכות לזיהוי בעיות ובנוסף לכך אפשרויות זיהוי של פעולות חשודות בשירות.
מיפוי ורישוי
הפעלת Azure Security Center על Azure Subscription היא פעולה של קליק וחצי, ולכן רגע לפני שמפעילים צריך לדעת על מה איזה שירות מפעילים ומה אנו נדרשים לאכוף ומהם ופעולות מנע נדרשות במקרה של בעית אבטחה.
השלב של מיפוי הסביבה והדרישות נעשה כחלק מתהליך הגנה נדרש ובכדי לא לנטר משאבים שאינם נדרשים, למשל שרתי בסביבת טסט וכן הלאה.המיפוי יכול להיעשות לפי מספר דגשים, ובין היתר הדגשים הבאים:
- סביבה מקומית
- רכיבים ושירותי ענן
- אינטגרציה עם Azure SIEM
- הפעלת Log Analytics
- תמיכה לאפשרויות PaaS
מתוך המיפוי אנו מבינים מהו הרישוי הנדרש של Azure Security Center והאם ישנם רכיבים נוספים שהם חלק מצריכים רישוי נוסף, למשל אינטגרציה עם פתרון צד שלישי.
הרישוי של Azure Security Center הוא יחסית פשוט ומציע שני סוגי רישוי: Free & Standard.
רישוי Free – שכבת הגנה אשר מופעלת (אך אינה מוגדרת) על כל Azure Subscription ומציעה יכולות, כגון: ביצוע Assessment על סביבת IaaS, המלצות לגבי בעיות קיימות ופעולות מנע.
רישוי Standard – שכבת הגנה מורחבת אשר כוללת את האפשרויות של רישוי Free אך כוללת יכולות נוספות, כגון: ניטור אבטחה מרכזי של Azure Subscription כולל תצורה היברידית ומרובת עננים, הגנה מפני סיכונים מתקדמים, ניטור אבטחה מול אפליקציות מותאמות ומורשות מול VM’s, אינטגרציה מול כלי אבטחה צד שלישי, אפשרויות כדוגמת JIT, הגנה וזיהוי בעיות אבטחה על Natvie Platform.
בממשק Azure Security Center אנו יכולים לראות את הרישוי המופעל ומהו נותן בכל אחד מהם.
ממשק Azure Security Center
ממשק הניהול של Azure Security Center משתפר ומשתנה באופן דינמי ומספק ראיה הוליסטית על כל הרכיבים שעליהם החלנו את אותו Tier נדרש.
ממשק הניהול של Azure Security Center מחולק למספר קטגוריות:
החלק הראשון הוא חלק כללי של מצב הכלים וסטטוס אבטחה, בחירת הרישוי והגדרת האפשרויות לכל רישוי – החלק הזה בממשק הוא בעיקר לטובת הגדרות ראשונית.
בקטגוריה של Policy & Compliance ישנם הגדרות אבטחה הממוקדות בעיקר בתקינה ורגולציה וכן יישום המלצות לאותם אפשרויות, למשל הגדרת פוליסי על כל Subscription, החלת תקינה ורגולציה, ניהול ויישום ממצאים באמצעות Secure Score – הבדיקות נעשות לרכיבים לפי Tier.
בקטגוריה של Resource Security Hygiene הממשק מגיע לרזולוציות נמוכות יותר ועם אפשרויות נוספות, ולכן במידה וישנה חולשה או סיכון אשר נמצאים ע"י Azure Security Center לרכיבים שונים, הממשק מתריע ומציג ממצאים והמלצות אבטחה ליישום.
המלצות ניתנות בין היתר לרכיבים כגון: מכונות, אפליקציות, גישה, רשתות, התקני IoT, זהויות ועוד.
בקטגוריה של Advanced Cloud Defence ניתן לראות אזכור לכלים הקיימים, אך ההבדל הוא שבחלק הזה של הממשק אנו מגדירים ויוצרים פוליסי מוגדר מראש לאפשרויות של Adaptive application controls לבדיקת אפליקציות כל גבי מכונות או Just in time VM access המיועד להקשיח ולנהל את הגישה למשאבים.
מכיוון שהפלטפורמה של Azure Security Center עובדת עם רכיבי אבטחה שונים ואוספת מידע על כל פעולה ובעית אבטחה שאנו מנטריםף הממשק של Threat Detection מציג מידע לגבי בעיות אבטלה, סיכונים, חולשות ומציג תיאור של כל בעיה באופן מורחב ומפורט.
אוטומציה היא חלק מהותי בימים אלה אך קשה ליישום, האפשרויות אוטומציה של Azure Security Center מתבססות על Azure Logic Apps ומאפשרות יצירת security playbook לפי דרישה. בשורה התחותנה ניתן לבצע כל אוטומציה אך במקרים קצה הפעולה עלולה להיות מורכבת.
כל אותם קטגוריות וחלקים בממשק מבתצעים בהתאם לדרישה ולא בהכרח הסדר שמופיע בממשק הוא זה שלפיו צריך לבצע את הגדרת כלי האבטחה.
הערה: ישנו חלק נוסף בממשק של Logs שבקרוב יוחלף ע"י Log Analytics באופן מלא.
הגדרת הסביבה
כמו שניתן לראות הממשק של Azure Security Center מכיל המון תפריטים, הגדרות, אפשרויות, ולכן במאמר נתחיל מהשלב הראשון שהוא הגדרת רישוי על סמך רכיבים קיימים של Azure subscriptions ושל workspaces המוגדרים בסביבה.
דגשים בהגדרת Pricing & settings
במצב של מספר Subscriptions ושל מספר Workspaces יש לבחור את הרכיבים לפי הדגשים הבאים:
- ריבוי רכיבים שלא לצורך עלול לגרום למצב של התראות אבטחה מרובות
- בחירת כל הרכיבים באופן אוטומטי לרישוי Standrad יוביל לעלות רישוי גבוהה
- מומלץ לעבוד לפי תשתית Hub &Spoke בכדי לבחור את הרכיבים הרלוונטיים לכל סביבה
- הגדרת יכולות אבטחה של Subscription הם שונות מאשר Workspace
- רישוי הוא לבסוף חבילה של אפשרויות אבטחה
- ניתן לשלב רישוי Free ורישוי Standard
- הגדרות נשמרות במצב החלפת רישוי Free אל רישוי Standard
- הגדרות אינן נשמרות במצב של החלפת רישוי Standard אל Free
- במידה ומחליפים רישוי של Standard אל Free יש קודם לכן להוסיר הגדרות אבטחה מאותן רכיבים מנטורים ומוגדרים, למשל מכונות
- במצבים בהם ישנו שימוש עם רכיבי Microsoft Threat Ptotection נוספים, ניתן להגדיר אינטגרציה עם Microsoft Cloud App Security – שם אפשר לקבל נראות ברמת הבורג, ובנוסף ניתן לבצע אינטגרציה עם Microsoft Defender ATP.
- כאשר מגדירים Data Collection יש לבצע קודם לכן הגדרת Worksapce לטובת שמירת המידע.
- ניתן לבצע אינטגרציה עם Azure Sentinel ולכן במצב כזה מומלץ לתכנן Workspace קודם לכן.
- במצבים של הגדרת Auto Provision יותקן Agent בכל מצב שבו ישנו זיהוי של מכונה, בין אם המכונה היא בענן כלשהוא או בסביבה היברידית.
- ניתן להגדיר התראות במצב שבהם ישנה בעית אבטחה כלשהיא.
- הגדרת Worksapce הינה חלק חשוב בהגדרת Tier ושינוי Workspace עלול לגרום לחוסר תאימות בהעברת המידע.
השלב של הגדרת Pricing & settings הוא שלב יחסית פשוט אך מרכזי ביישום של Azure Security Center ולכן צריך להיות מיושם בצורה מדויקת.
לסיכום
כלי האבטחה של Azure Security Center מספק הגנה מפני סיכונים ומענה לבעיות אבטחה שונות בענן, החל ממצבים של Password Spray או Brute-force, או הגנה מפני Fileless וכן סיכונים נוספים.
מאמרים נוספים
- הגנה על תשתיות עם Azure Security Center (הקדמה)
- הגנה על תשתיות עם Azure Security Center (רישוי)
- Azure Security Center Attack and Investigate
- Gain unmatched hybrid security management and threat protection
- ASC PowerShell Module – GitHub
