Soluții de Securitate în Cloud oferite de platforma Microsoft Cloud Security pentru Microsoft Azure și Microsoft 365

Soluții de Securitate în Cloud oferite de platforma Microsoft Cloud Security pentru Microsoft Azure și Microsoft 365

Vizualizări: 96

În articolul anterior discutam principiile de securitate aplicate platformelor de cloud, ce au la bază modelul Zero Trust Security, complet diferit de ideea de a concentra tehnologiile de securitate pentru crearea unui perimetru puternic securizat, cu scopul de a ține atacatorii înafara acestuia. Aplicarea măsurilor de securitate specifice infrastructurilor enterprise, se baza  pe tratarea serviciilor și resurselor poziționate în acest perimetru securizat ca fiind credibile și protejate, tot ceea ce se afla în exterior fiind privit ca potențial ostil.

Noile principii de securitate pe baza cărora sunt dezvoltate actualele tehnologii de securitate în cloud

În epoca tehnologiilor cloud  și a infrastructurilor hibride, aceste principii sunt înlocuite de o nouă atitudine față de nevoile de securitate bazată pe ideea asumării breșelor de securitate și a modelului de încredere zero (Zero Trust), ce scot în evidență realitatea zilelor noastre, ce forțează organizațiile să nu mai considere că apărarea perimetrului de siguranță este exclusiv apanajul specialiștilor de securitate. Organizațiile moderne, aflate în plin proces de transformare digitală a afacerii și infrastructurilor proprii, sunt obligate să ofere acces la datele și serviciile proprii utilizatorilor și angajaților aflați atât în spatele soluțiilor de securitate firewall cât și in afara acestora.

Modelul încrederii zero (ZTM) a fost introdus de firma de analiză Forrester Research și după cum aminteam în prima parte a acestui articol, introducea conceptul validării continue a securității în locul asumării directe a acesteia în funcție de poziționarea resurselor și a consumatorilor acestora. Totodată, pleacă de la ideea că, odată ce utilizatorii și dispozitivele acestora primesc acces la resursele organizației, nu va mai fi implicit asumat nivelul de securitate doar prin poziționarea consumatorilor în perimetrul organizației, acesta fiind continuu validat.

Implementarea tradițională a tehnologiilor de securitate este strâns legată de tipologia resurselor ce trebuiesc protejate și este realizată la nivelul organizației. Scenariile în care sunt implicate resurse ale mai multor organizații folosite în parteneriat din locații multiple, complică destul de mult modul de implementare și control al securității și ridică problema responsabilității partenerilor față de eventualele breșe de securitate și atacuri derulate asupra resurselor.  Monitorizarea istorică a evenimentelor ce au loc în fiecare organizație va trebui corelată astfel încât să fie surprinse și aspectele legate de comportamentul utilizatorilor organizațiilor partenere, iar acest lucru impune folosirea unor platforme de monitorizare și analiză poziționate înafara infrastructurilor auditate.

Poziționarea resurselor organizaționale în cloud, pune la dispoziția utilizatorilor un număr mare de componente de infrastructură poziționate la nivel global și simplifică modul în care organizațiile pot colabora pentru schimbul reciproc de date. Totodată împarte responsabilitatea implementării măsurilor de securitate între vendor (care furnizează infrastructura contra cost) și organizația ce deține și plătește subscripția cloud, acest model fiind numit model de responsabilitate partajată (Shared Responsability Model).

Acest nivel de responsabilitate este strâns legat de tipul resurselor din cloud, cele de tip Infrastructure as a Service (IaaS) avand o responsabilitate mai ridicată a organizației iar cel de tip Software as a Service (SaaS) pentru vendor, cum poate fi ușor identificat in imaginea 1.

Shared Responsability Model

Imaginea 1 – Shared Responsability Model, sursa Microsoft Docs

Pentru a înțelege cum se aplică acest principiu de partajare a responsabilității, să luăm spre exemplificare o mașină virtuală (VM) în Azure (resursă cloud IaaS) pe care organizația va ține o aplicație proprietară. În timp ce vendorul Microsoft este responsabil pentru securitatea mediilor de rețea fizice, a mediilor de stocare fizice și a platformei de virtualizare inclusiv update-urile serverelor fizice, organizația ce va utiliza această mașină virtuală are responsabilitatea de a securiza punctele de acces publice și interne către VM, update-urile periodice ale sistemului de operare al acesteia și securizarea aplicațiilor ce vor fi instalate în aceasta.

În cazul în care organizația decide ca în locul mașinii virtuale să folosească servicii Platform as a Service (PaaS), vendorul va proviziona și gestiona instanțele ce vor pune la dispoziția organizației serviciile necesare, garantand securitatea acestora, update-urile periodice ale sistemelor de operare si a platformei software, precum și monitorizarea, scalabilitatea și reziliența. Există însă o zonă de responsabilitate comună pentru serviciul de autentificare și autorizare (identity), platforma de aplicație accesată (spre exemplu Web services sau SQL database) și controlul securității în rețea (expunerea endpointurilor, activarea serviciilor de firewall, DDoS sau VPN, deschiderea porturilor necesare, alocarea de adrese IP publice).

La o soluție Software as a Service, ca spre exemplu Microsoft 365, responsabilitatea vendorului Microsoft include și platforma de aplicație și controlul mediului de rețea (endpointurile sunt predefinite), responsabilitatea comună fiind doar pe zona platformei de identity. Indiferent însă de model, organizația va fi întotdeauna responsabilă pentru definirea conturilor de acces, a parolelor, protecția datelor personale și implementarea mecanismelor de governance, gestionarea accesului și activarea licențelor asociate utilizatorilor.

Architectura de referință definită de Cloud Security Alliance

Conform principiilor de proiectare aplicate infrastructurilor cloud si a arhitecturii de referință definite de Cloud Security Alliance, orice mediu va fi compus din următoarele componente:

Cloud Security Alliance

Sursa Cloud Security Alliance

Prin urmare, implementarea mecanismelor de securitate trebuie să țină cont de această organizare, tehnologiile implicate fiind asociate și specializate pentru fiecare subcomponentă astfel:

  • Bussinesss Operation Support Services – BOSS (definit de SABSA Institute Enterprise Security Architecture): compliance , data governance, operational risk management, human resources security, security monitoring , legal services și internal investigations
  • Information Technology Operation & Support – ITOS (definit de ITIL – Information Technology Infrastructure Library: IT Operation, Service Delivery și Service Support
  • Architecture services (definite de  Open Group Architecture Framework – TOGAF Standard):
    • Presentation Services (consumer service platform, enterprise service platform, enpoints, speech recognition and handwritting)
    • Application Services (programming interfaces, security knowledge lifecycle, development process, integration, connectivity and delivery)
    • Information Services (service delivery and support, reporting services, data governance and risk management, security monitoring, user directory services)
    • Infrastructure Services (Internal Infrastructure – servers, storage, network, equipments, endpoint, mpatch management și Virtual Infrastructure – desktop, server, application virtualization, network, virtual workspaces, file based virtualization)
  • Security and Risk management (definit de JERICHO Forum Commandments):
    • Governance Risk & Compliance (compliance, policy, vendorm audit, IT Risk management, Technical Awareness and Training)
    • Privilege Management Infrastructure (identity management, authentication services, authorization services, privilege usage management)
    • Threat and Vulnerability Management (compliance testing, penetration testing, vulnerability management, threat management)
    • Infrastructure Protection Services (server, end-point, network, application)
    • Data protection (data lifecycle management, data loss prevention, intellectual property protection, cryptographic services)
    • Policies and Standards (operational security baselines, role based awareness, Information Security policies, Techinical Security Standards, Data/Asset classification, vest practices, regulatory corellation).

Pentru o imagine completă a acestor componente vă invit să studiați pagina oficiala Cloud Security Alliance și portalul CSA, unde sunt disponibile și principiile fundamentale de securitate ce ghidează vendorii de servicii cloud să asiste clienții serviciilor furnizate în gestionarea și analiza riscurilor de securitate prin unelte ca  Cloud Security Alliance Cloud Controls Matrix (CCM) .

Microsoft Cybersecurity Reference Architecture

Plecand de la modelul descris de CSA, Microsoft a definit și integrat în oferta de servicii cloud, principiile securității mediilor enterprise hibride cu titulatura Cybersecurity Reference Architecture:

Cybersecurity Reference Architecture

Cybersecurity Reference Architecture – sursa siteul oficial Microsoft

Investiția anuală anunțată oficial de către Microsoft CEO Satya Nadella, de peste un miliard USD dedicați cercetării și dezvoltării soluțiilor de securitate integrate în infrastructurile cloud services, a făcut posibilă dezvoltarea unor soluții inovative reprezentate de imaginea de mai sus și pe care le vom descrie în continuare. Microsoft investește și în start-up-uri ce dezvoltă soluții și produse avansate de securitate cum este compania israeliana Team8 și extinde permanent capabilitățile platformelor Windows și Office ce integrează Windows Defender și Windows Defender Security Center.

Principalele argumente ale vendorului Microsoft pentru alegerea ca principalul partener al clienților și pentru cybersecurity sunt:

  • angajamentul puternic față de securitatea cibernetică (investiții de peste 1 miliard anual, folosirea propriilor soluții de securitate găzduite în cloud, extinderea echipelor proprii de specialiști cu ingineri recunoscuți la nivel mondial inclusiv foști CISO)
  • abordarea securității pe trei axe: o platformă cuprinzătoare, inteligența artificială ce analizează volume mari de informații transmise prin mecanismele de telemetrie și parteneriate cu cei mai buni specialiști în securitate din întreaga lume
  • angajamentul Microsoft față de securitate: Microsoft Trust Center
  • promotor al partajării celor mai bune practici în materie de securitate cibernetică (NIST, CSF, RFI, Microsoft Security Development Cycle)
  • interacțiunea între clienți și educarea acestora cu privire la abordarea și serviciile Microsoft privind securitatea cibernetică – Microsoft a colaborat cu Digital Crimes Unit, Cyber ​​Defense Operations Center, Digital Risk and Security Engineering team, Cloud & Enterprise Security, Windows Security pentru a lansa Centrul de informare executivă privind securitatea cibernetică (EBC)ce oferă beneficii majore clienților

Relația vendorului Microsoft cu clienții soluțiilor de cloud services

Clienții soluțiilor cloud Microsoft iau contact cu o imagine de ansamblu cuprinzătoare asupra produselor și serviciilor de securitate cibernetică dezvoltate și aliniate pe baza principiilor protejează, detectează și răspunde, se întâlnesc față în față cu experți și lideri din domeniul securității primind informații referitoare la amenințări, servicii de securitate cibernetică, gestionarea riscurilor și învață cum să-și îmbunătățească nivelul de securitate cibernetică, având în Microsoft un consilier și un partener de încredere.

Microsoft contribuie permanent la protejarea utilizatorilor împotriva amenințărilor informatice prin folosirea automatizării și a inteligenței artificiale încorporate în tehnologiile dedicate acestora, atât pentru utilizatorii enterprise cât și pentru cei home-use sau din mediile educaționale.

Pentru aceștia din urmă, principalele recomandări sunt menținerea sistemului de operare Windows actualizat la zi, folosirea facilităților Microsoft Family Safety pentru utilizatorii Windows PC, Android și Xbox, păstrarea fișierelor proprii în siguranță și permanent disponibile prin Onedrive, navigarea în siguranță pe Internet folosind Microsoft Edge și Microsoft Defender SmartScreen, creerea și gestionarea unor parole sigure  de minim 12 caractere și evitarea reutilizării acestora li nu în ultimul rând folosirea platformei Microsoft Teams pentru educație.

Soluțiile de securitate dedicate mediilor enterprise se bazează pe integrarea capabilităților native de securitate ale platformelor folosite, pe simplitate și vizibilitate, principii enunțate de următoarea afirmație:

“Dacă faceți ca securitatea să fie dificilă, oamenii o vor ocoli. Cu Microsoft, primim capacități native, vizibilitate în mediul nostru operațional și simplitate pentru toți angajații.”

– Simon Hodgkinson, șeful grupului de securitate a informațiilor, BP

O trecere în revistă a principalelor grupuri de tehnologii și platforme de securitate disponibile în platformele Microsoft cloud, dedicate infrastructurilor enterprise publice, acelor hibride și clienților acestora, scoate în evidență următoarele familii de produse:

Soluții și resurse dedicate SOC (Security Operations Center)

Azure Sentinel – Cloud Native Security Information and Event Management (SIEM) și Security Orchestration, Automation and Response platform, dedicat deopotrivă specialiștilor Microsoft Threat Experts, cât și echipelor de răspuns la incidente de securitate

Microsoft Cloud App Security – ce acționează ca și Cloud Access Security Broker pentru diverse modele de deployment al aplicațiilor: colecatrea jurnalelor, conectori API și reverse proxy. MCAS este responsabil pentru descoperire și control prin Shadow IT (bibliotecă cu peste 16000 aplicații și peste 80 de riscuri identificabile), pentru protecția informațiilor sensibile oriunde în cloud, protecția împotriva anomaliilor și amenințărilor cibernetice și testarea nivelului de compliance al aplicațiilor cloud

Azure Security Center – dedicat testării nivelului de secuitate existent la nivelul infrastructurii cloud prin Secure Score și îmbunătățirea protecției mașinilor virtuale Linux și Windows, a aplicațiilor native cloud, a datelor și soluțiilor IoT prin planul de consum Security Center Standard tier, o extensie contra cost a celui Basic gratuit

Microsoft Defender ce oferă protecție avansată împotriva amenințărilor (Advanced Threat Protection – Microsoft Defender ATP), furnizează protecție preventivă, detectare post-breșă, investigare automată și răspuns

Mecanismele de telemetrie, auditare, jurnalizare și protecție a datelor, incluse în platformele Office 365 și Azure și integrarea soluțiilor third party prin Microsoft Graph Security  API încheie lista soluțiilor SOC

Soluții și resurse dedicate administrării clienților

Dispozitivele mobile și a cele neadministrate și neînrolate sunt gestionate prin platforma Intune MDM/MAM  și mai noua platformă Microsoft Endpoint Manager (ambele componente ale Microsoft 365 incluse în Enterprise Mobility & Security), iar a clienților administrați centralizat în mediile enterprise platforma System Center Configuration Manager.

Administrarea clienților se bazează totodată pe asocierea acestora cu Microsoft Defender ATP și monitorizarea nivelului de securitate prin Secure Score, ce va pune la dispoziția specialiștilor de securitate recomandări privind remedierea aspectelor ce pot fi îmbunătățite.

Microsoft Advanced Threat Analytics – ATA, dedicat analizei datelor istorice furnizate de soluțiile de monitorizare SIEM, WTF și Windows Event Collector în scopul recunoașterii fazelor atacului, identificării ciclurilor de mișcare laterală și dominarea domeniului. In lista atacurilor ce pot fi detectate prin ATA sunt incluse următoarele: Pass-the-Ticket (PtT), Pass-the-Hash (PtH), Overpass-the-Hash, Forged PAC (MS14-068), Golden Ticket, Malicious replications, Reconnaissance, Brute Force, Remote execution

Microsoft Advanced Threat Analitycs

Microsoft Advanced Threat Analitycs – sursa Microsoft Docs

Windows 10 Enterprise Security este o componentă a platformei Microsoft 365, extensie a sistemului de operare Microsoft Windows 10 ce include mecanisme avansate de administrare a identității și accesului, protecție împotriva amenințării și protectția informației.

Nu trebuie uitat nici Windows 10 S, versiune limitată a sistemului de operare dedicată dispozitivelor low-end folosite de piața de educație (School PC), dispozitivelor specializate (Microsoft Surface Hub și Surface Studio)

Soluții și produse dedicate mediilor enterprise hibride

Azure Security Center oferă acestor tipuri de infrastructuri vizibilitate cross-platform, protecție și detecția amenințărilor, Just in Time VM Access, Adaptive App Control și igiena configurației.

Azure Firewall este o soluție cloud based network security service, de tip managed (administrată de vendor), firewall complet statefull as a service ce oferă disponibilitate și scalabilitate ridicată  iar Network Security Appliances (template-uri din Azure Marketplace ce permit provizionarea de mașini virtuale care conțin soluții de securitate dedicate și sunt integrate în infrastructura cloud a organizației).

Azure DDoS Protection and attack mitigation asigură implicit protecția împotriva încercărilor de floodare si monopolizare a resurselor din infrastructură, beneficiind și de o extensie contra cost ce permite anticiparea situațiilor critice pe baza înregistrărilor istorice.

Express Route permite extinderea rețelelor on-premises către resursele Microsoft cloud Azure și Office 365, prin conexiuni private redundante oferite de parteneri Microsoft la nivel regional și vine în completarea tehnologiei Azure VPN gateway, soluție tradițională de conectivitate dedicată mediilor hibride.

Prin intermediul Azure Policy și Azure Blueprints se realizează managementul templateurilor, standardelor organizationale și condițiilor de provizionare a resurselor și administrarea subscripțiilor Azure, în timp ce Azure Key Vault permite managementul centralizat al cheilor criptografice, a parolelor și certificatelor digitale în cloud

Azure Web Application Firewall este componenta dedicată protecției aplicațiilor împotriva vulnerabilităților și exploiturilor, integrată cu Azure Application Gateway

Application & Network Security Groups permite filtrarea traficului din exteriorul și interiorul resurselor cloud și organizarea layerelor aplicației conform nevoilor architecturale

Azure Backup & Site Recovery asigură protecția datelor, mașinilor virtuale și discurilor virtuale din cloud sau on-premise, atît pentru resursele Azure cât și cele non-cloud

Disk & Storage Encryption permite criptarea discurilor mașinilor virtuale și a datelor stocate în cloud

Confidențial computing este dedicat protecției datelor și codului aplicațiilor în cloud

Platformele Azure Monitor, Azure Alerts, Azure Log Analytics  numită inițial Operation management Suite și Azure Application Insights sunt dedicate înregistrării jurnalizate a datelor culese de la resurse, declanșarii de evenimente și analizei în profunzime prin corelarea surselor de date și pot fi integrate cu celelalte soluții de securitate.

Sistemul de operare Windows Server 2019 Security oferă o gamă largă de tehnologii bild-in de securitate între care amintim Just Enough Administration, Hyper-V Containersm Nano și Core server.

Operațiile administrative desfășurate pentru resursele critice se pot realiza folosind Privileged Access Workstation (PAW) sau Azure Bastion, asigurându-se astfel un punct de conectare la infrastructura cloud puternic securizat.

Windows IoT, Azure IoT Security și Azure Sphere oferă soluții extinseă de securtate pentru dispozitivele Internet of Things în timp ce IoT Hub pune la dispoziția organizațiilor un gateway de date către care sunt trimise datele acestor dispozitive

Soluții și produse dedicate protecției informației și a datelor

Alături de Microsoft Cloud App Security, Azure Information Protection – AIP, Windows Information protection – WIP numit anterior Enterprise Data protection și Sensitivity labels  sunt soluții cloud de clasificare și protecție a documentelor

Office 365 Data Loss Prevention ,  Data Governance și eDiscovery sprijină direct procesul de control al modului în care sunt respectate legislația și regulamentele organizației privind accesul și manevrarea datelor.

Pentru serviciile paaS de baze de date. Azure SQL Threat Detection,  și SQL Encryption & Data Masking sunt caracteristici de securitate build-in Azure SQL Information Protection ce pot fi extinse prin informațiile culese de Microsoft Defender ATP

Platforma Microsoft 365 pune la dispoziția utilizatorilor Office 365 Compliance Manager, ce permite pe baza rulării unor teste predefinite de template-uri, nivelul de compliance cu standardele de securitate cele mai cunoscute, la care se adaugă rapoartele și mecanismele de arhivare.

Compliance Manager components

Compliance Manager components – sursa Microsoft Docs

O atenție specială este acordată de Microsoft legislației actuale prin integrarea în platforma de securitate a secțiunii Office 365 Information Protection for GDPR.

Office 365 Information Protection for GDPR

Soluții și produse Identity & Access

Platformele de cloud Microsoft Azure și Microsoft 365 se bazează pe Azure Active Directory, platformă universală pentru administrarea și securizarea identității, completată de următoarele servicii:

  • Azure AD Identity Protection – permite automatizarea detecției și remedierea riscurilor, investigarea acestora pe baza datelor li exportul acestora către soluții third party specializate în analiză
  • Azure AD Privileged Identity Management – PIM serviciu Azure AD dedicat administrării, conmtrolului și monitorizării accesului la cele mai importante resurse cloud
  • Multi factor Authentication extensie de securitate în procesul de autentificare ce implică două sau mai multe metode de autentificare
  • Azure AD B2B – bussiness to bussiness collaboration
  • Azure AD B2C – administrarea accesului aplicațiilor bussiness-to-consumer

Serviciile Hello for Bussiness permit inlocuirea parolelor cu mecanisme two factors authentication în timp ce Microsoft Identity Management – MIM și Privileged Access Management completează serviciile de identity cu mecanisme de integrare și control suplimentare.

Cu siguranță această listă va fi continuu completată ți îmbunătățită de Microsoft, păstrând însă modelul architectural de referință și principiile de proiectare CSA amintite mai sus.

Pentru o înțelegere în profunzime a fiecăreia dintre tehnologiile și produsele amintite mai sus, sunt disponibile două specializări cloud una pentru platforma Microsoft Azure și cealaltă pentru platforma Microsoft 365. Ambele specializări sunt însoțite de cursuri dedicate descrise în aceste pagini oficiale:

Learning Path for Azure Security Engineer Associate

sursa Microsoft Docs

Learning Path for Security Administrator Associate

sursa Microsoft Docs

Pentru o imagine completă a structurii cursurilor și certificărilor dedicate securității platformelor cloud Microsoft Azure și Microsoft 365 vă invităm să studiați structura cursurilor oficiale Microsoft pe portalul oficial Microsoft Training and Certification și pe portalul Bittnet Training.

Autor: MARIAN PANDILICĂ

LinkedIn

Senior Microsoft Certified Trainer
Microsoft Learning Consultant 2010-2024
Customer Learning Architect
Cloud Solution and Cybersecurity Architect