Microsoft Defender for Cloud – protecție împotriva configurărilor greșite din cloud

Microsoft Defender for Cloud – protecție împotriva configurărilor greșite din cloud

Vizualizări: 97

În anul 2008, la puțin timp după lansarea produselor dedicate infrastructurilor on-premises Windows Server, Exchange sau SharePoint, Microsoft a prezentat și lansat platforma Windows Azure, cu intenția de a targheta o piață ce a crescut exponențial și după cum ultimii doi ani au confirmat, nu încetează să ne surprindă. Această platformă a fost gândită inițial ca un layer (strat) de servicii cloud computing bazate pe resurse ce foloseau Windows Server localizate în datacenetere gestionate direct de vendor.

Fiind o platformă ce oferă elasticitatea resurselor (capacitatea de a se adapta la nivelul de încărcare necesar), cloud computingul a oferit soluții agile ce au permis transformarea afacerilor pe măsură ce clienții și nevoile pieței au fost schimbate, modul în care acest lucru a fost vizibil în 2020-2021 fiind o confirmare a viziunii vendorului.

De-a lungul anilor, plaforma a fost îmbunătățită și redunimită ca Microsoft Azure oferind capabilități din ce în ce mai mari, mai ales odată cu schimbarea modelului inițial de provizionare a resurselor numit service manager în cel mai felxibil și modern lansat la sfârșitul lui 2012 numit Azure Resource Manager.

Odată cu creșterea accelerată a numărului de soluții și produse găzduite si livrate prin Microsoft Azure, vendorul a avut în atenție și oferirea garanțiilor de protecție securitate mult superioare celor din infrastructurile on-premises ca de exemplu replicarea de date între regiuni, update-uri automate, recuperarea automată a funcționalității serviciilor, scalarea aproape nelimitată a resurselor și nu în ultimul rând o platformă inteligentă și performantă de monitorizare și gestionare a securității numită inițial Microsoft Security Center.

Redenumită în 2021 Microsoft Defender for Cloud, această platformă oferă protecție și securitate pentru serviciile și resursele din cloud ale companiilor, analiștii de securitate ai acestora având posibilitatea de a o folosi pentru implementarea mecanismelor de protecție specifice tipului de resursă și pentru gestionarea posturii de securitate în cloud.

Microsoft Defender for Cloud oferă caracteristici ce acoperă doi mari piloni ai securității în cloud:

  • Cloud Security Posture Management (CSPM): ce oferă vizibilitate ce permite înțelegerea nivelului de securitate existent și îndrumări corective pentru a ajuta la îmbunătățirea acestuia
  • Cloud Workload Protection (CWP): prin generarea de alerte de securitate ce se bazează pe platforma Microsoft Threat Intelligence și oferirea de protecții avansate și inteligente pentru resurse

Microsoft Defender for Cloud oferă alerte de securitate și protecție avansată împotriva amenințărilor pentru mașini virtuale, baze de date SQL, containere, aplicații web, rețea, medii de stocare oferind protecție completă pentru resurse prin următoarele planuri ce pot fi activate în subscripția Azure:

  • Microsoft Defender pentru servere
  • Microsoft Defender pentru serviciul de aplicații
  • Microsoft Defender pentru stocare
  • Microsoft Defender pentru server SQL
  • Microsoft Defender pentru containere
  • Microsoft Defender pentru Key Vault
  • Microsoft Defender pentru Resource Manager
  • Microsoft Defender pentru DNS
  • Microsoft Defender pentru baze de date relaționale open-source

Totodată, platforma de securitate oferă și capabilități avansate de protecție a resurselor hibride: servere non-Azure sau mașini virtuale din Amazon Web Services sau Google Cloud Platform. Prin integrarea cu serviciul gratuit Microsoft Arc se poate extinde protecția la mașinile virtuale și bazele de date din alte platforme de cloud sau mediile on-premises pentru care vor fi generate însă costuri de utilizare a planurilor Microsoft Defender for Cloud ca în imaginea de mai sus.

Detectarea unei amenințări la nivelul resurselor protejate generează alerte de securitate ce dau detalii despre resursele afectate, pașii de remediere sugerați și în multe cazuri sunt asociate cu opțiuni de răspuns automat. Aceste informații pot fi exportate către soluțiile SIEM (Security Information and Event Management), SOAR (Security Orchestration,Automation and Response) și XDR (Extended Detection and Response) ca Microsoft Sentinel sau alte soluții IT Service Management.

Microsoft Defender for Cloud oferă funcții avansate de protecție precum scanarea vulnerabilităților mașinilor virtuale, a bazelor de date SQL, a containerelor și aplicațiilor, a mediilor de rețea și stocare de date, securizarea porturilor de acces prin Just in Time Access și controale adaptive ale aplicațiilor ce trebuie să ruleze.

Nu în ultimul rând, include funcții de scanare, avaluare și administrare a vulnerabilităților mașinilor virtuale și a containerelor fără a genera costuri suplimentare, chiar dacă aceste scanere folosesc Qualis pentru care ar fi trebuit cumpărată licență.

Microsoft Defender for Cloud conține instrumentele necesare pentru a consolidarea resurselor organizației și pentru a urmări postura de securitate a acesteia, protejând împotriva atacurilor cibernetice și crescând eficiența gestionării securității. Fiind integrat nativ cu Microsoft Graph for Security API cu alte platforme de securitate Microsoft, implementarea Defender for Cloud este ușoară și oferă aprovizionare automată simplă pentru a vă proteja automat resursele.

Platforma îndeplinește trei sarcini pe măsură ce sunt gestionate securitatea resurselor și a sarcinilor de lucru în cloud și la nivel local:

  • Evaluare continuă– prin înțelegerea în timp real a posturii actuale de securitate.
  • Securizare– prin consolidarea resurselor și serviciilor conectate.
  • Apărare– prin detecți și rezolvarea amenințărilor la adresa resurselor și serviciilor.

Pentru a te ajuta să te protejezi împotriva acestor provocări, Microsoft Defender pentru Cloud oferă instrumentele pentru calculul unui Scor de securitateRecomandări de securitate (sarcini de consolidare personalizate și prioritizate pentru îmbunătățirea posturii) și Alerte de securitate ce apar în portalul Azure și pe care Microsoft Defender for Cloud le poate trimite și prin e-mail specialiștilor din organizație sau pot fi transmise și către alte soluții de securitate sau IT Service Management în funcție de nevoi.

Unul dintre cele mai puternice instrumente oferite pentru monitorizarea continuă a stării de securitate a rețelei este harta rețelei, ce permite vizibilitatea topologiei resurselor și a modului corect de configurare a fiecărui nod reprezentat.

Pot fi astfel vizualizate relațiile dintre acestea, fiind mai ușor de identificat și blocat conexiunile nedorite care ar putea facilita accesul unui atacator de-a lungul rețelei.

Cea mai mare valoare a platformei este dată de recomandările oferite de platfomă, adaptate la preocupările de securitate specifice resurselor protejate, făcând astfel munca de administrator de securitate al organizației și oferind alături de vizibilitate vulnerabilităților și instrucțiuni care să ajute specialiștii organizației să le elimine.

Protecția împotriva amenințărilor Defender for Cloud permite totodată detecția și prevenirea amenințărilor la nivelul resurselor Infrastructure as a Service (IaaS), serverelor non-Azure și resurselor Platforms as a Service (PaaS) în Azure și analiza cyber kill-chain, corelată automat cu alertele din mediul organizației pentru a înțelege mai bine povestea completă a unei campanii de atac.

Sursa lockeedmartin.com

Microsoft Defender for Cloud include integrarea automată și nativă cu Microsoft Defender pentru Endpoint, astfel încât, fără a fi necesară o configurație specifică, mașinile înrolate (onboard) Windows și Linux vor fi complet integrate cu recomandările și evaluările platformei de securitate din Azure , fiind automatizate politicile de control ale aplicațiilor în mediile de server.

O altă facilitate este detecția amenințărilor în serviciile Azure PaaS care vizează serviciile Azure, inclusiv Azure App Service, Azure SQL, Azure Storage Account și mai multe servicii de date. Integrarea nativă cu Microsoft Defender for Cloud Apps, User and Entity Behavioral Analytics (UEBA) permite detectarea anomaliilor în jurnalele de activitate (activity logs) Azure.

Microsoft Defender for Cloud sprijină limitarea expunerii la atacurile de forță brută prin reducerea accesului la porturile mașinilor virtuale. Folosind accesul la VM just-in-time, îți poți întări rețeaua prevenind accesul neautorizat și limitându-l ca durată prin setarea de politici de acces sigur pe porturile selectate numai pentru utilizatorii autorizați, specificarea intervalelor de adrese IP sursă sau adrese IP permise și a perioadelor limitate de timp.

Platforma de securitate din Microsoft Azure include capabilități ce clasifică automat datele organizației în Azure SQL și generearea evaluărilor pentru potențialele vulnerabilități în serviciile Azure SQL și Storage, precum și a recomandărilor pentru a putea fi atenuate.

Integrarea nativă Azure Policy și Azure Monitor, combinată cu integrarea cu alte soluții de securitate Microsoft ca Microsoft Defender for Cloud Apps și Microsoft Defender pentru Endpoint, garantează organizației o soluție de securitate cuprinzătoare, ușor de integrat și de implementat.

Procesul de configurare al platformei Microsoft Defender for cloud include următoarele etape:

  • Conectarea și inventarierea resurselor Azure folosind agentul Log Analytics
  • Conectarea și inventarierea mașinilor virtuale Windows și Linux non-Azure
  • Conectarea resurselor AWS și GCP
  • Remedierea alertelor de securitate

Microsoft Defender pentru Cloud colectează date de la mașinile virtuale (VM) Azure, seturi de mașini virtuale la scară, containere IaaS și mașini non-Azure (inclusiv locale) pentru a monitoriza vulnerabilitățile și amenințările de securitate.

Colectarea datelor este necesară numai pentru resursele de calcul (mașini virtuale, seturi de mașini virtuale, containere IaaS și computere non-Azure), pentru a oferi vizibilitate asupra actualizărilor lipsă, setărilor de securitate ale sistemului de operare configurate greșit, stării de protecție a punctelor terminale și protecției sănătății și amenințărilor. Se poate folosi Microsoft Defender for Cloud fără agenți însă veți avea o securitate limitată, iar capabilitățile enumerate mai sus nu sunt acceptate.

Datele sunt colectate folosind:

  • Agentul Log Analytics, care citește diverse configurații legate de securitate și jurnalele de evenimente de pe computer și copiază datele în spațiul de lucru pentru analiză (Log Analytics Workspace).
  • Extensii de securitate, cum ar fi Azure Policy Add-on pentru Kubernetes, care poate furniza și date Centrului de securitate cu privire la tipurile de resurse specializate.

Dacă este activată instalarea automată pentru agentul Log Analytics, Defender for Cloud îl implementează pe toate mașinile virtuale Azure acceptate și pe toate mașinile noi create.

Atenție:   Microsoft Defender for Cloud este necesar pentru stocarea datelor despre evenimentele de securitate Windows, dar stocarea datelor în Log Analytics poate atrage mai multe costuri pentru stocarea datelor!

Pentru a detecta amenințările reale și a reduce alertele fals pozitive, Microsoft Defender for Cloud colectează, analizează și integrează date de jurnal din resursele tale Azure, din rețea și soluții partenere conectate, cum ar fi soluții de firewall și de protecție a punctelor finale. Aceste informații sunt analizate fiind asociate și corelate informații din mai multe surse, pentru a identifica eficientamenințările.

Microsoft Defender for Cloud folosește analize avansate de securitate și inteligența artificială, ce depășesc cu mult abordările bazate pe semnături și se bazează pe descoperirile din domeniul big data și tehnologiile de învățare automată pentru a evalua evenimentele, detectând amenințările care ar fi imposibil de identificat folosind abordări manuale și prezicerea evoluției atacurilor. Aceste analize de securitate includ:

  • Informații integrate privind amenințările: Microsoft are o cantitate imensă de informații de telemetrie despre amenințări globale, provenite din mai multe surse: Azure, Microsoft 365, Microsoft CRM online, Microsoft Dynamics AX, outlook.com, MSN.com, Microsoft Digital Crimes Unit (DCU) și Microsoft Security Response Center (MSRC). Platforma de securitate poate folosi aceste informații pentru a vă avertiza cu privire la amenințările deja cunoscute .
  • Analiza comportamentală: este o tehnică care analizează și compară datele cu o colecție de modele cunoscute  pentru a identifica resursele compromise pe baza analizei jurnalelor mașinilor virtuale, jurnalelor dispozitivelor de rețea virtuală, jurnalelor fabricii și a altor surse.
  • Detectarea anomaliilor: pentru a identifica amenințările, fiind o analiză mai personalizată și concentrată pe liniile directoare (baseline) specifice implementărilor de resurse.  Învățarea automată este aplicată iniuțial pentru a determina activitatea normală, apoi sunt generate reguli pentru a defini condițiile inacceptabile care ar putea reprezenta un eveniment de securitate.

Microsoft Defender for Cloud beneficiază de faptul că dispune de echipe de cercetare în domeniul securității și știința datelor în cadrul Microsoft, care monitorizează continuu schimbările în peisajul amenințărilor. Aceasta include următoarele inițiative: monitorizarea informațiilor despre amenințări:, partajarea semnalului,  specialiștii Microsoft  în securitate și reglarea detectării prin algoritmii rulați pe seturi de date reale ale clienților.

  • Pentru a consulta toată gama de cursuri Microsoft oferite de Bittnet Training, click aici.
  • Pentru a consulta toată gama de cursuri din tehnologia cyber security oferite de Bittnet Training, click aici.
  • Pentru a consulta toată gama de cursuri din tehnologia cloud oferite de Bittnet Training, click aici.