Principalele soluții de securitate în cloud oferite de platforma Microsoft Cloud Security pentru Azure și Microsoft 365

Principalele soluții de securitate în cloud oferite de platforma Microsoft Cloud Security pentru Azure și Microsoft 365

Vizualizări: 81

În urmă cu mai bine de 20 de ani, în timpul pregătirii de peste 6 luni pentru a obține certificarea Microsoft Certified System Engineer pentru platforma Windows Server 2000, luam contact cu viziunea pe care compania Microsoft o avea, la acel moment, față de nevoia implementării mecanismelor de securitate ale platformei server și tehnologiile incluse în sistemul de operare sau livrate ca produse dedicate securității.

Pentru un viitor specialist pe platforma Windows Server, soluția oferită de vendor era de a pune la dispoziție două cărți de peste 1000 de pagini denumite “Ghidul de implementare a securității în platformele Microsoft Server și Desktop”, sub forma unui set de bune practici legate de activarea politicilor de securitate și a regulilor de firewall pentru securizarea traficului de rețea.

În anii care au urmat Microsoft a pus la dispoziția companiilor produse dedicate implementării protecției și securizării infrastructurilor bazate pe Windows Server, între care amintesc Internet Security and Acceleration Server (ISA Server) sau familia Microsoft Forefront ce oferea produse dedicate diverselor nevoi de securitate ale companiilor: succesorul lui ISA Server rebotezat Threat Management Gateway, produse dedicate platformei de mesagerie Microsoft Exchange și de colaborare Microsoft SharePoint, Unified Access gateway ca și succesor al platformei de completare ISA Server numită Intelligent Application Gateway.

Bineînțeles că atenția vendorului a fost întotdeauna acordată îmbunătățirii permanente a sistemului de operare în care au fost incluse servicii dedicate securității, politici avansate de control gestionate prin Active Directory și măsuri implicite de securizare a sistemului sub forma unor standarde de securitate integrate, conforme cu normativele globale. Odată cu activarea acestor tehnologii la nivelul platformelor Microsoft, acestea puteau fi securizate conform standardelor de securitate a informațiilor și sistemelor cum ar fi ISO/IEC 27001 și 27002, FISMA, CIS, NIST, PCI-DSS.

Odată cu portarea platformelor software de mesagerie, colaborare și comunicare către platforma de cloud Office 365 (actuala Microsoft 365) și furnizarea de servicii cloud IaaS, PaaS și SaaS prin platforma Microsoft Azure, vechea abordare a implementării tehnologiilor de securitate a fost înlocuită și schimbată din temelii. În locul securității perimetrului ce oferea garanția protecției dispozitivelor și aplicațiilor conectate la acesta, a fost propus modelul Zero Trust  Model ce asumă existența breșelor de securitate pe principiul “never trust, always verify”. Astfel, fiecare cerere  de accesare a platformei solicită o autentificare completă prin mecanisme multiple, un mod de autorizare adaptivă ce se mulează pe condițiile îndeplinite de dispozitivul solicitant și pe forțarea criptării și semnării digitale a informației înaintea acordării accesului.

Aceste moduri de scanare continuă a solicitantului, oferă garanția că, odată cu schimbarea condițiilor de conectare a dspozitivelor,  sistemul de securitate va putea reacționa rapid, adaptându-se unor situații de expunere neprevăzute și neanticipate de istoricul de conectare. Pentru a face posibilă implementarea acestei paradigme, sunt aplicate mecanisme de microsegmentare, principiul implicit al celui mai mic privilegiu de conectare, platforma AI (inteligență artificială) ce analizeaza rapid volume mari de date provenite dintr-un număr ridicat de evenimente și răspunsul în timp real la anomaliile detectate.

Deși domeniul securității în cloud este unul foarte ridicat, voi încerca în cele ce urmează, trecerea în revistă a celor mai importante tehnologii pe care Microsoft le integrează cu platformele de cloud sau le oferă ca și servicii complementare contra-cost companiilor ce vor sa-și securizeze infrastructurile interne sau serviciile găzduite în platformele cloud Microsoft 365 și Azure.

În timp ce în infrastructurile On-premises ale organizațiilor utilizatorii foloseau computere poziționate de regulă în rețeaua internă protejată, accesând aplicații și servicii stocate pe serverele din datacenterele companiei, beneficiind uneori de sisteme interne închise neexpuse conexiunilor din și către Internet, utilizatorii platformelor de cloud acceseaza aplicații și date din datacenterele globale ale vendorului, organizația nemaiavând controlul direct al conturilor de utilizator, al mediului de rețea și mai ales a multitudinii de dispozitive folosite de utilizator.

Modelul Zero Trust constă în verificarea permanentă a condițiilor de acces impuse atât utilizatorului cât și a dispozitivului folosit (acces condițional), fără a acorda încredere acestora doar prin conectarea la perimetrul organizației.

Zero Trust Model – sursa siteul oficial Microsoft

Componentele direct implicate în determinarea nivelului de încredere sunt următoarele:

  • Identity Provider – stabilește identitatea utilizatorului si informațiile asociate acestei identități
  • Device Directory – validează integritatea dispozitivului și nivelul acestuia de protecție
  • Policy Evaluation Service – determină dacă utilizatorul sau dispozitivul sunt conforme politicilor de securitate
  • Access Proxy – determină ce resurse organizaționale pot fi accesate.

Pentru a înțelege în profunzime acest concept să analizăm împreună următorul studiu de caz:

Compania X pune utilizatorilor proprii o platforma de aplicație custom găzduită în datacenterul propriu pe serverele companiei. Utilizatorii interni accesează computerele companiei, conectate la rețeaua internă și sunt enrolate în platforma de identitate Microsoft Active Directory si controlate prin politicile de grup gestionate la nivel de domeniu. Accesul pe aplicație este permis dacă dispozitivele fac parte din domeniul AD și controlat pe baza politicilor de utilizator si computer implementate. În acest caz, mecanismele de securitate si auditare implementate la nivelul organizației acționează permanent asupra acestei infrastructuri, iar în eventualitatea scoaterii unui dispozitiv fizic în afara conexiunii, accesul la infrastructură este securizat prin implementarea unui canal VPN sau Direct Access și folosirea unui Web Application Proxy cu rol de analiză și control a cererii de conectare la resursele interne.

Acest model este înlocuit însă de organizație odată cu migrarea aplicațiilor interne către platformele cloud Microsoft Azure și Microsoft 365, utilizatorii accesând în prezent aplicațiile de pe o multitudine de dispozitive: laptop, tabletă, telefon, din locații publice expuse amenințărilor, prin intermediul unor conexiune gestionate de Internet Service Provideri diferiți. Adăugând și neomogenitatea sistemelor de operare: Windows, Android, IOS, Linux, dar și nevoia de flexibilitate față de modul de utilizare al dispozitivelor deținute atât pentru accesarea mediului enterprise cât și pentru uz personal, iese clar în evidență de ce nu mai putem trata securitatea sistemului de informații pe modelul descris anterior.

Spre exemplu, utilizatorul poate accesa rapid de pe același dispozitiv resurse aflate în locații geografice diferite la perioade mici de timp, lucru neîntălnit în mediile on-premises, unde același utilizator nu putea fi simultan în doua locații diferite fizice. Totodată, folosirea în scop personal a dispozitivelor trebuie să izoleze de facto datele companiei de datele personale și să le protejeze pe cele din urmă în cazul furtului dispozitivului prin wipping sau factory reset.

Pentru a implementa conceptul Zero Trust Security sunt necesare semnale pe baza cărora se vor lua deciziile și vor fi impuse constrângeri ce implementează aceste decizii. Spre exemplu, daca utilizatorul se conectează din rețeaua internă este încadrat la un nivel de risc scăzut, ce se va transforma automat în nivel ridicat dacă dispozitivul folosește o rețea publică. La acest mod de stabilire a nivelului de risc pot insă contribui semnale diverse: locația dispozitivului, apartenența utilizatorului la grupuri stabilite pe criterii organizaționale, tipul aplicației accesate, tipul de validare a identitpții sau nivelul de îndeplinire a unor condiții impuse dispozitivului folosit: updateuri la zi, antivirus activ, versiunea sistemului de operare etc.

Implementarea Modelului Zero Trust – Sursa siteul oficial Microsoft

La baza acestor concepte se află următoarea afirmație: “Identity as a Service = the new control plane” ce înlocuiește vechiul principiu a controlului prin asocierea cu mediul de conectare ce avea la bază o structură bazată pe echipamente fizice, mecanisme de rutare și decizii de trimitere a pachetelor (Routing Information Base – RIB și Forwarding & Data Plane).

Un rol foarte important îl îndeplinește în acest model Azure Active Directory și On-premises Active Directory ce oferă de sine statător sau hibrid serviciile de autentificare, identitate și managementul rolurilor precum și mecanismele de control: politicile de grup sau regulile de acces condițional, sprijinite de mecanisme suplimentare dedicate nevoilor de securizare și interconectate prin Microsoft  graph Security API.

Microsoft Graph Security API – sursa siteul Microsoft docs

Prin Microsoft Graph Security se simplifică modul de interconectare a diferitelor soluții de securitate Microsoft sau oferite de parteneri, ceea ce face posibilă obținerea unei platforme ce valorifică la maximum experiența și funcționalitatea platformelor conectate, standardizând și unificând serviciile de urmărire a alertelor, corelând alerte de securitate generate de surse multiple și targetând mecanismele cele mai eficiente de răspuns cu scopul protecției împotriva amenințărilor, simplificând modul de derulare a investigațiilor pe baza datelor corelate, antrenând permanent soluțiile de securitate cu aportul tehnologiilor AI integrate și răspunzând activ sau proactiv riscurilor de securitate semnalate.

Sunt astfel targetate trei tipuri de beneficii: Managed Security Service providers, solutiile SIEM și IT Risk management și nu în ultimul rând aplicațiile protejate (threat intelligence, mobile, cloud, IoT, fraud detection, identity & access, risk & compliance, firewall).

Conectarea la aceste platforme se face în trei moduri: direct folosind oțiunile de integrare suportate de vendor, prin integrare nativă și conectori către parteneri sau prin conectori specializați oferiți de Microsoft pentru a targeta diferite tipuri de API-uri și soluții de securitate.

Perioada pe care o traversăm, influențată direct de pandemia COVID19, obligă companiile să-și repoziționeze forța de muncă, păstrând însă productivitatea, comunicarea și securitatea accesului la resursele organizaționale. Mai mult ca oricând, se evidențiază nevoia trecerii rapide de la solutțiile on-premises la cele de cloud, forțând adoptarea de către companii, instituții guvernamentale și organizației a digitalizării prin transformarea digitală.

Unul dintre efectele neașteptate ale pandemiei este faptul că organizațiile au realizat rapid beneficiile transformării digitale. În perioada în care se vorbește de conviețuirea pe termen mediu lung și adaptarea activităților derulate cu unele restricții, companiile sunt mai înclinate să își analizele procesele și procedurile și să-și regândească operațiunile, astfel încât lucrul de la distanță să devină noul mod eficient de operare. Pentru o implementare cu succes a unei transformări digitale, trebuie aliniate toate componentele unei organizații, facilitând lucrul eficient și productiv de acasă al forței de muncă:

  • Capabilitățile IT și gradul de tehnologizare ale companiei;
  • Cultura organizațională și abilitățile personalului.
  • Identificare ineficiențelor în proceselor operaționale;
  • Servicii și produse cu valoare adăugată pentru clienți, furnizori și comunitate;

Tehnologiile care stau la baza implementării securității mediilor de cloud sprijină în mod direct adaptarea și adoptarea rapidă de către companii a capabilităților IT crescând cu costuri minime gradul de tehnologizare al companiei. Prin urmare, mai mult ca oricând, companiile vor trebui să devină din ce în ce mai interesate de migrarea resurselor către platformele cloud, ceea ce va avea impact direct și imediat asupra modului în care datele companiei vor fi protejate și accesate respectând principiile de securitate adaptate la domeniul de activitate al acestora.

Vă propun ca în articolul viitor să parcurgem și să descoperim împreună tehnologiile de securitate furnizate de platformele cloud Microsoft ce fac parte din viziunea Securității inteligente (Intelligent Security) ce se bazează pe următorii piloni:

  • integrarea mecanismelor de comunicare între platforme pentru ca oricine le accesează să poată lucra în siguranță de oriunde și de pe orice platformă
  • utilizarea inteligenței artificiale (Artificial Intelligence) pentru analiza continuă a datelor acumulate istoric și detectarea ciberamenințărilor (cyberthreats) și răspunsul automat adegvat prin automatizare
  • oferirea unei suite cuprinzătoare de tehnologii și soluții de securitate unificate în jurul operatorilor umani, a dispozitivelor și aplicațiilor

Microsoft Cloud Security înseamnă mai mult ca oricând Identity and Access + Threat protection + Information Protection si oferă soluții de protecție cross-cloud. Investițiile de peste un miliard de dolari annual făcute de Microsoft în activitățile de cercetare și dezvoltare a tehnologiilor și produselor de securitate sunt garanția sucesului transformării digitale a oricărei companii din epoca actuală și deschid în viitorul acestora noi oportunități ajutându-le să devină mai suple, mai eficiente și mai productive.

Modelul propus de Microsoft privind responsabilitatea implementării, controlului și administrării soluțiilor de securitate este unul partajat între vendor și client, numit Shared Responsibility Model și reprezentat mai jos:

sursa Microsoft Docs

Vă invit ca la final, să treceți în revistă suita de produse si tehnologii de securitate oferite de Microsoft în platforma Microsoft Azure și Microsoft 365 cu promisiunea că în articolul următor vom detalia rolul și funcționalitatea fiecăreia din tehnologiile reprezentate mai jos:

Sursa portalul oficial Microsoft Azure

Toodată vom identifica împreună principalele roluri în cadrul organizației asociate gestionării securității platformelor implementate și vă invit să studiați structura cursurilor oficiale Microsoft pe portalul oficial Microsoft Training and Certification și pe site-ul Bittnet Training.

Autor: MARIAN PANDILICĂ

LinkedIn

Senior Microsoft Certified Trainer
Microsoft Learning Consultant 2010-2024
Customer Learning Architect
Cloud Solution and Cybersecurity Architect