Microsoft Azure қауіпсіздігі: бұлтты ортаны қалай қорғауға болады

Microsoft Azure қауіпсіздігі: бұлтты ортаны қалай қорғауға болады? Бұл мәселе Қазақстандағы компаниялар үшін өзекті бола түсуде. Оны анықтап көрейік.

Microsoft Azure – деректерді орналастыру және қолданбаларды іске қосу үшін көптеген компаниялар пайдаланатын бұлттық платформа.

Дегенмен, бұлттық қызметтердің танымалдылығы оларды жиі кибершабуылдаушылар үшін жиі нысанаға айналдырады.

Azure әдепкі бойынша сенімді инфрақұрылымы мен ОЖ деңгейіндегі қауіпсіздікке ие болғанымен, ұйымдар платформада іске қосылған кез келген қолданбалар мен деректердің қауіпсіздігіне жауапты. Бұлттық қауіпсіздікке қатысты көптеген қиындықтар мен тәуекелдер бар.

Бұл нұсқаулықта біз Azure қауіпсіздігінің негіздерін қарастырамыз және бұлттағы соңғы нүктелер мен деректерді қорғаудың ең жақсы тәжірибелерін қарастырамыз.

Microsoft Azure қауіпсіздігін түсіну

Azure - бірнеше деректер орталықтарына қызмет көрсететін және жеке тұлғалар мен ұйымдарға есептеу ресурстарын сататын бұлттық платформа және инфрақұрылым провайдері. Microsoft корпорациясы аппараттық және операциялық жүйе деңгейіндегі қауіпсіздікті ескере отырып, деректер орталықтарын басқарады. Ол пайдаланушыларға жалға берілетін виртуалды машиналарды (VM) басқару үшін Azure гипервизорларын пайдаланады, бірақ гипервизор жалпыға қолжетімді емес. Хост деңгейінде виртуалды машиналарды орналастыруға қажетті құрамдастармен конфигурацияланған Windows Server бағдарламасының күшейтілген нұсқасы жұмыс істейді.

Клиенттерге гипервизордың үстінде жұмыс істейтін виртуалды машиналарға рұқсат беріледі. Әрбір виртуалды машина брандмауэр арқылы қорғалған және пайдаланушылар брандмауэр арқылы қай порттарға қол жеткізуге болатынын басқарады. Ұқсас мәлімдемелерді Azure SQL, Azure файлдары және т.б. сияқты қызмет ұсыныстары ретінде платформа туралы жасауға болады.

Тұтынушылар өз шоттарының қауіпсіздігіне және компьютерлерінде іске қосылған кез келген қолданбалардың қауіпсіздігіне жауапты. Microsoft физикалық және желілік қауіпсіздік деңгейлерін басқарады және периметрлік қауіпсіздік құралдарын қамтамасыз етеді. Пайдаланушылар соңғы нүктелердің, қолданбалардың және деректердің қауіпсіздігіне және фишингтен немесе пайдаланушы қатесінің басқа түрлерінен болатын бұзушылықтардың алдын алуға жауапты.

Azure жүйесіндегі негізгі қауіпсіздік мәселелері

Басқа бұлттық платформалар сияқты, Azure жиі кибер шабуылдаушыларға бағытталған. Кейбір жалпы қауіптер мен қауіпсіздік мәселелері мыналарды қамтиды:

• Smishing, фишинг және басқа да әлеуметтік инженерлік шабуылдар
• Қызметтік шабуылдардан бас тарту
• Платформада орналастырылған бағдарламалық жасақтамаға нөлдік күндік шабуылдар
• Деректер ағып кетеді/қауіпсіз соңғы нүктелер арқылы рұқсат етілмеген кіру

Azure қауіпсіздіктің ең жақсы тәжірибелері

Azure қауіпсіздігі идентификацияны және қол жеткізуді басқаруды, техникалық қауіптерді, шабуылды анықтау мен азайтуды, сақтық көшірме жасау мен қалпына келтіруді қамтитын көп қырлы тәсілді қажет етеді. Кез келген қауіпсіздікті енгізу мәліметтері платформада пайдаланатын қызметтердің сипатына байланысты өзгереді. Қауіпсіздік шараларын жоспарлауға көмектесу үшін Azure қауіпсіздіктің ең жақсы тәжірибелерін тексеру тізімін ұсындық.

Төменде біз осы қауіпсіздік аймақтарының әрқайсысын толығырақ қарастырамыз.

Сәйкестендіру және қол жеткізуді басқару

Microsoft корпорациясы жеке басын куәландыратын және тіркелгіні басқару арқылы деректеріңізді қорғаудың бірқатар жолдарын ұсынады. Azure Active Directory рөлге негізделген қол жеткізуді басқару (RBAC) үшін пайдаланылуы мүмкін, бұл пайдаланушыларды өз жұмыстарын орындау үшін қажет жүйелермен ғана шектейді. Microsoft Entra ID – жүйе әкімшілеріне кімнің қандай жүйелерге қол жеткізе алатынын, сондай-ақ олардың сол жүйелерге қалай аутентификацияланатынын басқаруға мүмкіндік беретін қуатты артықшылықты пайдаланушыны басқару (PIM) құралы. 

Пайдаланушыларға рөлдеріне негізделген құқықтар мен артықшылықтарды тағайындау және есептік жазбаның бұзылуын болдырмау үшін көп факторлы аутентификациямен бірге күшті құпия сөздердің пайдаланылуын қамтамасыз ету үшін егжей-тегжейлі басқару элементтерін пайдалану арқылы Azure AD қауіпсіздігінің ең жақсы тәжірибелерін ұстанған дұрыс.

Желі қауіпсіздігі

Azure жүйесінде желі қауіпсіздігін сақтау мұқият жоспарлауды қажет етеді. Microsoft корпорациясы Azure қауіпсіздігін жақсартуға көмектесетін кейбір Azure желі қауіпсіздігінің ең жақсы тәжірибелерін ұсынады. Мұнда ең жақсы тәжірибелердің кейбірі берілген:

• Azure VM құрылғыларыңыз тиесілі болатын виртуалды желілерді анықтаңыз және Azure желісіндегі трафикті бағыттау үшін виртуалды желі қызметінің соңғы нүктелерін пайдаланыңыз.
• Үлкен мекенжай кеңістіктерін ішкі желілерге бөліңіз және сол ішкі желілер үшін қатынасты басқару ережелерін анықтаңыз. IP мекенжайларының өте үлкен блоктарына негізделген ережелерді пайдаланудан аулақ болыңыз.
• Ақылға қонымды ішкі желі өлшемдерін сақтаңыз. Өте кішкентай ішкі желілерді жасау шектеулі қауіпсіздік артықшылықтарына ие және кейінірек құрылғыларды қосуды қиындатуы мүмкін.
• Azure қызметтеріне қауіпсіз қосылу үшін жеке соңғы нүктелерді пайдаланыңыз.
• Соңғы нүкте қауіпсіздігіне кешенді көзқарас үшін желіаралық қалқандарды және басқа қауіпсіздік құралдарын бақылау және тіркеумен біріктіріңіз.
• Қоғамдық соңғы нүктелерді қызмет көрсетуден бас тарту шабуылдарынан қорғау үшін трафикті бақылау, телеметрия және Azure DDoS қорғау құралдарының артықшылығын пайдаланыңыз.

Деректер қауіпсіздігі

Azure Azure жадындағы деректерді қорғау үшін 256 биттік AES шифрлауын пайдаланатын жергілікті жад шифрлауын ұсынады. Ол сонымен қатар API кілттерін, криптографиялық кілттерді, сертификаттарды, құпия сөздерді және басқа құнды активтерді қорғауға арналған Azure Key Vault ұсынады. Бұл мүмкіндіктерді тиімді пайдалану маңызды. Виртуалды машина файл жүйесінде құпия тіркелгі деректерін шифрланбаған түрде сақтамаңыз.

Өзгермейтін мүмкіндіктер жиынын пайдаланып деректерді оқу уақыты ( WORM ) күйіне қою мүмкіндігі Azure ішінде сақталған құпия деректер үшін де маңызды.

Azure Azure Blob сақтау орны үшін өзгермейтін жадты ұсынады , оны уақытқа негізделген немесе заңды сақтау саясаттарымен оңай конфигурациялауға болады. Өзгермейтін жад нөлдік сенім мен сақтық көшірме жасау мен қалпына келтірудің негізгі принципі болып табылады. Бұл сақтық көшірмелер қоймаға қойылғаннан кейін оларды шифрлау, өзгерту немесе шабуылдаушылар жою мүмкін емес дегенді білдіреді.

Әзірлеушілер сонымен қатар SQL дерекқорының әртүрлі қауіпсіздік мүмкіндіктерін, соның ішінде жол және баған деңгейіндегі қауіпсіздік, аудит және аутентификация жүйелерін пайдалана алады.

SQL Azure қауіпсіздігінің ең жақсы тәжірибелерінен кейін ұйымыңыздың ішінде де, сыртында да деректерді бұзу қаупін азайтады. Veeam Azure SQL сақтық көшірмесін жасау және қалпына келтіруді қосымша қорғаныс қабаты ретінде пайдалану   деректерді жоғалтудан да қорғай алады.

Бақылау және тіркеу

2020 жылғы IBM есебіне сәйкес, қауіпсіздіктің бұзылуын анықтау үшін орта есеппен 207 күн және оны қамту үшін 73 күн қажет. Azure бұл уақыт терезесін қысқартатын, ұйымдарға қауіпсіздікті бұзуды азайтуға жақсы мүмкіндік беретін көптеген пайдалы бақылау және тіркеу құралдарын ұсынады. Бұл құралдар мыналарды қамтиды:

• Azure мониторы:  әрекетті және ресурстарды пайдалануды бақылайды және пайдалану белгілі бір параметрлерден асып кетсе, ескертулерді орнатады.
• Azure қауіпсіздік орталығы:  Azure ресурстарынан оқиғаларды және конфигурацияланған Azure емес ресурстардан журналдарды жинайды және сол журналдар негізінде желі карталарын көруге және қауіпсіздік ұсыныстарын алуға мүмкіндік береді.
• Azure Sentinel:  қауіптерді анықтауға, зерттеуге және оларға жауап беруге көмектесетін қауіпсіздік ақпараты оқиғаларын басқару (SIEM) құралы.

Сәйкестік және басқару

Мемлекеттік ұйымдар қатаң реттеу мен сәйкестендіру қажеттілігіне тап болды. Azure Үкіметі - бұл ұйымдардың маңызды қажеттіліктерін қанағаттандыруға арналған бұлттық қызметтер платформасы. Ол Америка Құрама Штаттарында орналасқан физикалық оқшауланған деректер орталықтарын пайдаланады және қатал қатынау талаптары бар, бұл тек жарамды ұйымдардың тексерілген тұлғалары қызметке қол жеткізе алатынын қамтамасыз етеді.

Ұйымыңыз Azure үкіметіне жарамды болса, Azure үкіметі порталы арқылы тіркелгіні сұрауға болады. Мүше болғаннан кейін DoD IL4, DoD IL5, FedRAMP High және т.б. сияқты мемлекеттік стандарттарға сәйкестікті бағалауға көмектесу үшін Azure саясатының бекітілген нормативтік сәйкестік бастамаларын пайдалануға болады сәйкестік күйіңізге қатысты, бірақ олар құнды бастапқы нүкте болып табылады және Azure бұлттық қауіпсіздіктің ең жақсы тәжірибелерімен бірге ұсынылған ұсыныстарды орындау сіздің командаңызға жалпы қателіктерден аулақ болуға көмектеседі.

Қауіпсіз даму тәжірибесі

Бұлттық платформаға көшу кезінде қауіпсіз әзірлеу тәжірибесін орындау маңызды. Azure бұлтына көшкен кезде орындалатын пайдалы процесс:

• Жұмыс жүктемесін бағалаңыз және тасымалдауды жоспарлаңыз
• Қызметтерді орналастыру және жергілікті ресурстарды Azure жүйесіне көшіру.
• Шығындар мен шот-фактураларды басқарыңыз
• Қызметтер оңтайландырылып, сынақтан өткеннен кейін оларды өндіріске жіберіңіз.

Біркелкі өтуді қамтамасыз ету үшін бір уақытта жұмыс жүктемелерінің шағын партияларына назар аудару ұсынылады. Келесі жұмыс жүктемесіне көшу алдында платформаны үйренуге, жүйелеріңізді сынауға және өнімділікті арттыруға мүмкіндік алу үшін миссия үшін маңызды емес нәрселерден бастаңыз.

Azure DevOps қауіпсіздігі

Ортаңызды қорғау және қол жеткізуді басқарудың тиімді құралдарының болуы Azure DevOps қауіпсіздік ең жақсы тәжірибелерінің негізгі элементтері болып табылады. Атап айтқанда, жобалар мен репозиторийлерге қолжетімділікті шектеу және пайдаланушылардың жалпыға ортақ жобаларды жасауына жол бермеу маңызды.

Azure есептік жазбаны басқаруға, кодтарды шолуға, біріктіруге және CI құбырларына арналған құралдардың ауқымын ұсынады. Осы нұсқауларды орындау сіздің активтеріңіздің және код базасының қауіпсіздігін қамтамасыз етуге көмектеседі.

Контейнер қауіпсіздігі

Kubernetes - контейнерлерді ұйымдастыруға және басқаруға арналған қуатты құрал. Дегенмен, контейнерлердің дұрыс оқшауланғанын, кескіндердің дұрыс тексерілгенін, тек қауіпсіз көздерден алынғанын және контейнерлер пайдаланатын барлық тіркелгі деректерінің қауіпсіз дүкендерде сақталуын қамтамасыз ету үшін Azure Kubernetes қауіпсіздігінің ең жақсы тәжірибелерін ұстану маңызды.

Azure мұны істеуге көмектесетін құралдар мен нұсқауларды, сондай-ақ контейнерлеріңіздің денсаулығын қадағалайтын бақылау құралдарын ұсынады.

Қолданба қауіпсіздігі

Қолданбаның нашар қауіпсіздігі деректердің бұзылуының жалпы себебі болып табылады. OWASP API Security Top 10 ең көп таралған API соңғы нүктесі қауіпсіздік мәселелерінің кейбірін тізімдейді. Осы осалдықтарды анықтау үшін қолданатын барлық қолданбаларды скринингтен өткізу және Azure API Management қауіпсіздіктің ең жақсы тәжірибелеріне құлақ асу жалпы осалдықтарды іздейтін оппортунистік шабуылдаушылар тарапынан қолданбаңыздың бұзылу қаупін азайтуға көмектеседі.

Апатты қалпына келтіру және бизнестің үздіксіздігі

Қауіпсіздікті бұзудың алдын алу - тамаша мақсат және Azure-дің жоғары қолжетімділік архитектурасы сәтсіздіктерге қатысты жан тыныштығын қамтамасыз етеді. Дегенмен, ең нашар сценарийді жоспарлау маңызды. Төтенше жағдайды қалпына келтіру жоспарының болуы төлемдік бағдарламалық құрал шабуылы, үлкен үзіліс немесе басқа күтпеген оқиға жағдайында бизнестің үздіксіздігін қамтамасыз етуді жеңілдетеді.  Veeam Azure Backup and Recovery бағдарламасы  маңызды деректердің оқшауланған және қауіпсіз сақтық көшірмелерін жасау үшін автоматтандырылған құралдарды ұсынады. 

Сақтық көшірмелерді жасау бизнес үздіксіздігінің алғашқы қадамы болып табылады. Дегенмен, оның жұмыс істеп тұрғанына және сізге қажет нәрсенің барлығын қамтитынына көз жеткізу үшін апатты қалпына келтіру жоспарын тексеру маңызды. Veeam Orchestrated Recovery бағдарламасы сақтық көшірмелерді жылдам және тиімді орналастыруға көмектеседі, осылайша дағдарыс жағдайында тез жұмыс істей аласыз.

Оқиғаларды жою және басқару

Бұрын айтылғандай, Azure SIEM және SOAR функционалдығын қамтамасыз ететін Azure Sentinel түрінде қауіпсіздік инциденттеріне жауап беру үшін бірнеше пайдалы құралдарды ұсынады. Үшінші тарап SIEM құралдарымен бірге бұл киберқауіпсіздік оқиғаларына әрекет ету жоспарының ( CIRP ) негізін құра алады . Толық жоспар ең дұрысы мыналарды қамтуы керек:

• Сұрыптау және жіктеу
• Эскалация және шешім қабылдау
• Техникалық жауап
• Оқиғадан кейінгі шолу

Azure қауіпсіздік құралдары мен ресурстары

Әдепкі бойынша Azure көптеген қауіпсіздік құралдары мен ресурстарын қамтамасыз етеді. Осы ресурстарға қоса, қосымша тыныштықты қамтамасыз ету үшін Veeam Azure Backup and Recovery сияқты құралдарды пайдалануды ұсынамыз. Негізгі Azure қауіпсіздік құралдары мыналарды қамтиды:

• Azure қауіпсіздік орталығы  : қауіпсіздік ақпаратын, ұсыныстарды және бақылау тақталарын қамтамасыз етеді.
• Azure саясаты  : ұйымдарға сәйкестікті бағалауға және стандарттарға сәйкестікті қамтамасыз етуге көмектесетін сәйкестік бақылау тақтасы.
• Azure Key Vault  : маңызды тіркелгі деректерін, кілттерді және басқа активтерді сақтау үшін.
• Azure Sentinel  : қауіптерді анықтауға және оқиғаларға жауап беруге көмектесетін SIEM және SOAR құралы.
• Azure қауіпсіздік құжаттамасы және оқыту  : Azure қауіпсіздігінің ең жақсы тәжірибелерінің барлық аспектілерін қамтитын әртүрлі ресурстар.

Тақырыптық зерттеулер

Microsoft Azure-ге жасалған шабуылдың соңғы мысалы - Mandiant Intelligence зерттеушілері тапқан UNC3944 бұзуы. Шабуылдаушылар Azure әкімші тіркелгісіне SIM ауыстыру шабуылы арқылы қол жеткізді және тіркелгіге берілген жаһандық артықшылықтардың арқасында Azure жалға алушысына толық қол жеткізе алды. Тіркелгіге кіргеннен кейін шабуылдаушы виртуалды машинада пәрмендерді орындау үшін сериялық консольді пайдаланды. Сондай-ақ олар жүйеге қол жеткізуді қамтамасыз ету үшін белгілі қашықтан қол жеткізу құралдарын пайдаланды.

Шабуыл жасаушылар белгілі заңды құралдарды пайдаланғандықтан, олар біраз уақыт автоматтандырылған құралдар арқылы анықтаудан жалтарып үлгерді. Дегенмен, Mandiant шабуылдың ескерту белгілері ретінде қызмет ете алатын бірнеше жергілікті және Azure Monitor оқиғалары бар екенін атап өтеді. Осы оқиғалар үшін ескертулерді орнату және оны пайдаланбаған кезде сериялық консольді өшіру Azure әкімші тіркелгісінің бұзылғанын анықтауды жеңілдетеді.

Бұл қауіпсіздікті зерттеу тобының жүйелерін бұзу болғандықтан, шабуылдаушылар құнды деректерді алмаған немесе ұзақ мерзімді зақым келтірмеді. Дегенмен, жүйелерді бақылау деңгейі бұзудың бұл түрін басқа бизнес үшін күрделі мәселе етеді.

Қорытынды

Ұйымыңыз Azure платформасын пайдаланса, қауіпсіздіктің ең жақсы тәжірибелерін ұстану маңызды. Бұл пайдаланушы тіркелгілерін қорғау және жақсы желі мен деректер қауіпсіздігін қамтамасыз ету үшін күшті кіруді басқару элементтерін және СІМ пайдалануды білдіреді. Сіз қолданатын кез келген реттелетін қолданбалар жалпы осалдықтардан қорғау үшін ең жақсы тәжірибелерді орындауы керек. Бұл шараларды үздіксіз тіркеу және бақылау, сондай-ақ бизнестің үздіксіздігі және апатты қалпына келтіру жоспары арқылы қолдау керек. Киберқауіптер үнемі дамып отырады, сондықтан Azure қауіпсіздік жоспары үздіксіз бақылау және жетілдіру философиясын қолданатын тірі құжат болуы керек.

Azure сақтық көшірме жасау және қалпына келтіруді деректер қауіпсіздігі жоспарының бөлігі етіңіз . Оны 10 данаға дейін тегін орналастырыңыз немесе гибридті/көп бұлтты қызметімізді тегін сынақ нұсқасымен қолданып көріңіз және деректеріңізді қорғау үшін автоматтандырылған, икемді және қауіпсіз құралдарымызды пайдаланыңыз.

 

Назар аударыңыз! Бұл мақала ресми құжат емес. Ақпаратты сақтықпен және сынақ ортасында пайдалану керек. Әлемдегі жетекші жеткізушілерден сақтық көшірме жасау және киберқауіпсіздік бағдарламалық құралының тегін сынақ нұсқасына тапсырыс беріңіз: Тегін сақтық көшірме жасау және киберқауіпсіздік бағдарламалық құралының спецификациясын есептеу қызметіміздің артықшылығын пайдаланыңыз: Acronis Arcserve Veeam Vembu Vinchin Acronis Arcserve Veeam Vembu Vinchin   Заманауи сақтық көшірме жасау, репликациялау, деректерді синхрондау және төлемдік бағдарламадан қорғау жүйелерін құру туралы сұрақтарыңыз болса, қазіргі заманғы деректердің сақтық көшірмесін жасау және қалпына келтіру технологиялары бойынша кеңес алу үшін біздің компанияға хабарласыңыз . Біздің компанияның осы салада 20 жылдан астам тәжірибесі бар.