Безопасность Microsoft Azure: как защитить свою облачную среду

Безопасность Microsoft Azure: как защитить свою облачную среду? Этот вопрос становится все более важных для компаний Казахстана. Давайте разберемся.

Microsoft Azure — это облачная платформа, используемая многими компаниями для размещения данных и запуска приложений.

Однако популярность облачных сервисов часто делает их частой мишенью для киберзлоумышленников.

Хотя Azure по умолчанию имеет надежную инфраструктуру и безопасность на уровне ОС, организации несут ответственность за безопасность любых приложений и данных, которые они запускают на платформе. Когда дело касается облачной безопасности , существует множество проблем и рисков .

В этом руководстве мы рассмотрим основы безопасности Azure и рассмотрим некоторые рекомендации по защите ваших конечных точек и данных в облаке.

Понимание безопасности Microsoft Azure

Azure — поставщик облачной платформы и инфраструктуры, который обслуживает многочисленные центры обработки данных и продает вычислительные ресурсы частным лицам и организациям. Microsoft управляет центрами обработки данных, заботясь об оборудовании и безопасности на уровне ОС. Он использует гипервизоры Azure для управления виртуальными машинами (ВМ), которые сдаются в аренду пользователям, но гипервизор недоступен для публики. На уровне хоста работает усиленная версия Windows Server, в которой настроены только компоненты, необходимые для размещения виртуальных машин.

Клиентам предоставляется доступ к виртуальным машинам, работающим поверх гипервизора. Каждая виртуальная машина защищена брандмауэром, и пользователи контролируют, какие порты доступны через брандмауэр. Аналогичные утверждения можно сказать и о предложениях «Платформа как услуга», таких как Azure SQL, Azure Files и других.

Клиенты несут ответственность за безопасность своих учетных записей и за безопасность любых приложений, которые они запускают на своих компьютерах. Microsoft управляет физическим и сетевым уровнями безопасности и предоставляет инструменты для обеспечения безопасности периметра. Пользователи несут ответственность за безопасность конечных точек, приложений и данных, а также за предотвращение нарушений в результате фишинга или других форм пользовательских ошибок.

Ключевые проблемы безопасности в Azure

Как и другие облачные платформы, Azure часто становится целью киберзлоумышленников. Некоторые общие угрозы и проблемы безопасности включают в себя:

• Смишинг, фишинг и другие атаки социальной инженерии
• Атаки типа «отказ в обслуживании»
• Атаки нулевого дня на программное обеспечение, размещенное на платформе
• Утечки данных/несанкционированный доступ через небезопасные конечные точки

Рекомендации по обеспечению безопасности Azure

Безопасность Azure требует многостороннего подхода, который охватывает управление идентификацией и доступом, технические угрозы, обнаружение вторжений, смягчение их последствий, а также резервное копирование и восстановление. Детали любой реализации безопасности будут различаться в зависимости от характера сервисов, которые вы используете на платформе. Мы предоставили контрольный список рекомендаций по обеспечению безопасности Azure, который поможет вам спланировать меры безопасности.

Ниже мы рассмотрим каждую из этих областей безопасности более подробно.

Управление идентификацией и доступом

Microsoft предоставляет ряд способов защиты ваших данных с помощью управления идентификацией и учетными записями. Azure Active Directory можно использовать для управления доступом на основе ролей (RBAC), ограничивая пользователей только теми системами, которые им необходимы для выполнения своей работы. Microsoft Entra ID — это мощный инструмент для управления привилегированными пользователями (PIM), позволяющий системным администраторам управлять тем, кто имеет доступ к каким системам, а также способом аутентификации в этих системах. 

Целесообразно следовать передовым практикам безопасности Azure AD, используя детальные элементы управления для назначения прав и привилегий пользователям в зависимости от их ролей и гарантируя использование надежных паролей наряду с многофакторной проверкой подлинности для предотвращения взлома учетных записей.

Сетевая безопасность

Поддержание сетевой безопасности в Azure требует тщательного планирования. Microsoft предлагает некоторые рекомендации по обеспечению безопасности сети Azure, которые могут помочь повысить безопасность вашей Azure. Вот некоторые из лучших практик:

• Определите виртуальные сети, к которым будут принадлежать ваши виртуальные машины Azure, и используйте конечные точки службы виртуальной сети для маршрутизации трафика внутри сети Azure.
• Сегментируйте большие адресные пространства на подсети и определите правила контроля доступа для этих подсетей. Не используйте правила, основанные на очень больших блоках IP-адресов.
• Поддерживайте разумный размер подсетей. Создание очень маленьких подсетей имеет ограниченные преимущества в плане безопасности и может затруднить добавление устройств в дальнейшем.
• Используйте частные конечные точки для безопасного подключения к службам Azure.
• Объедините брандмауэры и другие инструменты безопасности с мониторингом и журналированием в рамках комплексного подхода к безопасности конечных точек .
• Воспользуйтесь преимуществами мониторинга трафика, телеметрии и инструментов Azure DDoS Protection для защиты общедоступных конечных точек от атак типа «отказ в обслуживании».

Безопасность данных

Azure предлагает собственное шифрование хранилища, которое использует 256-битное шифрование AES для защиты данных в хранилище Azure. Он также предлагает Azure Key Vault, предназначенный для защиты ключей API, криптографических ключей, сертификатов, паролей и других ценных активов. Важно воспользоваться этими возможностями. Не храните важные учетные данные в незашифрованной форме в файловой системе виртуальной машины.

Возможность помещать данные в состояние многократного чтения (WORM) с помощью наборов функций неизменяемости также является критически важным фактором для конфиденциальных данных, хранящихся в Azure.

Azure предлагает неизменяемое хранилище для хранилища BLOB-объектов Azure, которое можно легко настроить с помощью политик хранения с учетом времени или юридического хранения. Неизменяемое хранилище — это фундаментальный принцип нулевого доверия, а также резервного копирования и восстановления. Это означает, что после того, как резервные копии были помещены в хранилище, они не могут быть зашифрованы, изменены или удалены злоумышленниками.

Разработчики также могут воспользоваться различными  функциями безопасности базы данных SQL , включая защиту на уровне строк и столбцов, системы аудита и аутентификации.

Следование лучшим практикам безопасности SQL Azure может снизить риск утечки данных как внутри, так и за пределами организации. Использование Veeam Azure SQL Backup and Recovery в качестве дополнительного уровня защиты также может защитить от потери данных.

Мониторинг и регистрация

Согласно отчету IBM за 2020 год , на обнаружение нарушения безопасности требуется в среднем 207 дней и 73 дня на его сдерживание. Azure предоставляет множество полезных инструментов мониторинга и ведения журналов, которые могут сократить этот временной интервал, давая организациям больше шансов минимизировать нарушения безопасности. Эти инструменты включают в себя:

• Azure Monitor: отслеживает действия и использование ресурсов и настраивает оповещения, если использование выходит за пределы определенных параметров.
• Центр безопасности Azure: собирает события из ресурсов Azure и журналы из настроенных ресурсов, отличных от Azure, а также позволяет просматривать карты сети и получать рекомендации по безопасности на основе этих журналов.
• Azure Sentinel: инструмент управления событиями информации о безопасности (SIEM), помогающий обнаруживать, исследовать и реагировать на угрозы.

Соответствие и управление

Правительственные организации сталкиваются с необходимостью строгого регулирования и соблюдения требований. Azure Government — это платформа облачных сервисов, созданная с учетом критически важных потребностей этих организаций. Он использует физически изолированные центры обработки данных, расположенные в Соединенных Штатах, и предъявляет строгие требования к доступу, гарантируя, что доступ к услуге смогут получить только проверенные лица из соответствующих организаций.

Если ваша организация соответствует требованиям Azure Government, вы можете запросить учетную запись через правительственный портал Azure. После того, как вы станете участником, вы сможете использовать встроенные инициативы по обеспечению соответствия нормативным требованиям Политики Azure, которые помогут вам оценить соответствие государственным стандартам, таким как DoD IL4, DoD IL5, FedRAMP High и т. д. Azure Blueprints и Azure Policy могут только дают частичное представление о вашем статусе соответствия требованиям, но они являются ценной отправной точкой, а следование рекомендациям, представленным вместе с передовыми практиками облачной безопасности Azure, может помочь вашей команде избежать распространенных ошибок.

Практики безопасной разработки

Соблюдение практик безопасной разработки имеет важное значение при переходе на облачную платформу. Полезный процесс, которому следует следовать при миграции в облако Azure:

• Оцените рабочие нагрузки и спланируйте миграцию
• Развертывание служб и репликация локальных ресурсов в Azure.
• Управляйте расходами и выставлением счетов
• Как только сервисы будут оптимизированы и протестированы, выпустите их в производство.

Чтобы обеспечить плавный переход, рекомендуется сосредоточиться на небольших пакетах рабочих нагрузок одновременно. Начните с тех, которые не являются критически важными, чтобы у вас была возможность изучить платформу, протестировать свои системы и максимизировать производительность, прежде чем переходить к следующей рабочей нагрузке.

Безопасность Azure DevOps

Безопасность среды и наличие эффективных систем контроля доступа — ключевые элементы передовых методов обеспечения безопасности Azure DevOps. В частности, важно ограничить доступ к проектам и репозиториям и запретить пользователям создавать общедоступные проекты.

Azure предлагает ряд инструментов для управления учетными записями, проверки кода, слияний и конвейеров CI. Следование этим рекомендациям поможет обеспечить безопасность ваших активов и базы кода.

Безопасность контейнеров

Kubernetes — мощный инструмент для оркестровки и управления контейнерами. Однако важно следовать рекомендациям по обеспечению безопасности Azure Kubernetes, чтобы обеспечить правильную изоляцию контейнеров, правильную проверку образов и получение только из безопасных источников, а все учетные данные, используемые контейнерами, хранятся в безопасных хранилищах.

Azure предоставляет инструменты и рекомендации, которые помогут в этом, а также инструменты мониторинга, позволяющие следить за состоянием ваших контейнеров.

Безопасность приложений

Плохая безопасность приложений является распространенной причиной утечки данных. В «Топ-10 безопасности API OWASP» перечислены некоторые наиболее распространенные проблемы безопасности конечных точек API. Проверка всех приложений, которые вы развертываете, на предмет этих уязвимостей и следование передовым практикам безопасности управления API Azure может помочь снизить риск взлома приложения злоумышленниками-оппортунистами, ищущими распространенные уязвимости.

Аварийное восстановление и непрерывность бизнеса

Предотвращение нарушений безопасности — идеальная цель, а архитектура высокой доступности Azure обеспечивает спокойствие, когда дело доходит до сбоев. Однако важно планировать худший сценарий. Наличие надежного  плана аварийного восстановления упрощает обеспечение непрерывности бизнеса в случае атаки программы-вымогателя, серьезного сбоя или другого непредвиденного инцидента. Veeam Azure Backup and Recovery предлагает автоматизированные инструменты для создания изолированных и безопасных резервных копий важных данных. 

Создание резервных копий — первый шаг к непрерывности бизнеса. Однако важно протестировать план аварийного восстановления, чтобы убедиться, что он работает и охватывает все, что вам нужно. Veeam Orchestrated Recovery поможет быстро и эффективно развернуть резервные копии, чтобы вы могли быстро приступить к работе в кризисной ситуации.

Реагирование на инциденты и управление ими

Как упоминалось ранее, Azure предлагает несколько полезных инструментов для реагирования на инциденты безопасности в виде Azure Sentinel, который предоставляет функции SIEM и SOAR. Вместе со сторонними инструментами SIEM это может лечь в основу плана реагирования на инциденты кибербезопасности (CIRP). Полный план в идеале должен включать:

• Сортировка и категоризация
• Эскалация и принятие решений
• Технический ответ
• Обзор после инцидента

Инструменты и ресурсы безопасности Azure

По умолчанию Azure предоставляет множество инструментов и ресурсов безопасности. В дополнение к этим ресурсам мы рекомендуем использовать такие инструменты, как Veeam Azure Backup and Recovery, чтобы обеспечить дополнительное спокойствие. Основные инструменты безопасности Azure включают в себя:

• Центр безопасности Azure : предоставляет информацию о безопасности, рекомендации и информационные панели.
• Политика Azure : панель мониторинга соответствия, помогающая организациям оценить соответствие и обеспечить соблюдение стандартов.
• Azure Key Vault : для хранения важных учетных данных, ключей и других активов.
• Azure Sentinel : инструмент SIEM и SOAR, помогающий обнаруживать угрозы и реагировать на инциденты.
• Документация и обучение по безопасности Azure : разнообразные ресурсы, охватывающие все аспекты передовых методов обеспечения безопасности Azure.

Тематические исследования

Одним из недавних примеров атаки на Microsoft Azure является взлом UNC3944, который был обнаружен исследователями Mandiant Intelligence. Злоумышленники получили доступ к учетной записи администратора Azure посредством атаки с заменой SIM-карты и смогли получить полный доступ к арендатору Azure благодаря глобальным привилегиям, предоставленным этой учетной записи. Войдя в учетную запись, злоумышленник использовал последовательную консоль для запуска команд на виртуальной машине. Они также развернули ряд известных инструментов удаленного доступа, чтобы иметь возможность поддерживать доступ к системе.

Поскольку злоумышленники использовали хорошо известные инструменты законного применения, им удавалось в течение некоторого времени избегать обнаружения с помощью автоматизированных инструментов. Однако Мандиант отмечает, что существует несколько локальных событий и событий Azure Monitor, которые могут служить предупреждающим знаком атаки. Настройка оповещений для этих событий и отключение последовательной консоли, если вы ею не пользуетесь, может облегчить вам обнаружение взлома учетной записи администратора Azure.

Поскольку это было нарушение систем группы исследователей безопасности, злоумышленники не получили ценных данных и не нанесли долгосрочного ущерба. Однако уровень контроля над системами делает такого рода нарушения серьезной проблемой для других предприятий.

Заключение

Если ваша организация использует платформу Azure, очень важно следовать лучшим практикам в области безопасности. Это означает использование надежных средств контроля доступа и MFA для защиты учетных записей пользователей, а также поддержания хорошей безопасности сети и данных. Любые пользовательские приложения, которые вы развертываете, должны соответствовать передовым практикам для защиты от распространенных уязвимостей. Эти меры должны быть подкреплены непрерывным журналированием и мониторингом, а также планом обеспечения непрерывности бизнеса и аварийного восстановления. Киберугрозы постоянно развиваются, поэтому ваш план безопасности Azure должен представлять собой живой документ, в котором применяется философия постоянного мониторинга и улучшения.

Сделайте Azure Backup and Recovery частью своего плана обеспечения безопасности данных. Разверните его бесплатно  до 10 экземпляров или опробуйте нашу гибридную/мультиоблачную службу в бесплатной пробной версии и воспользуйтесь преимуществами наших автоматизированных, гибких и безопасных инструментов для защиты ваших данных.