Monitorování prostředků Azure v Azure Security Center

  • Článek
  • 10 min ke čtení

Většina cloudové architektury má komponenty pro výpočty, sítě, data a identity a každá z nich vyžaduje různé monitorovací mechanismy. Dokonce i služby Azure mají individuální potřeby monitorování. Pokud například chcete monitorovat Azure Functions chcete povolit Azure Application Přehledy.

Azure Security Center mnoho plánů, které monitorují stav zabezpečení počítačů, sítí, úložišť a datových služeb a aplikací, aby se zjistily potenciální problémy se zabezpečením. Mezi běžné problémy patří virtuální počítače připojené k internetu nebo chybějící aktualizace zabezpečení, chybějící ochrana koncových bodů nebo šifrování, odchylky od standardních konfigurací zabezpečení, chybějící Web Application Firewall (WAF) a další.

Klíčové body

  • Povolte Azure Defender jako hloubkové opatření. Používejte funkce Defenderu specifické pro prostředky, například Azure Defender pro servery, Azure Defender pro koncový bod a Azure Defender pro Storage.
  • Sledujte hygienu kontejnerů prostřednictvím nástrojů podporujících kontejnery a pravidelné kontroly.
  • Zkontrolujte všechny protokoly toku sítě prostřednictvím služby Network Watcher. Viz diagnostické protokoly v Azure Security Center.
  • Integrujte všechny protokoly do centrálního řešení SIEM, abyste analyzovali a detekovali podezřelé chování.
  • Monitorujte rizikové události související s identitou ve službě Azure AD reporting amd Azure Active Directory Identity Protection.

Obecné osvědčené postupy

Identifikace běžných aktivit zabezpečení významně sníží celkové riziko.

  • Monitorujte podezřelé aktivity z účtů pro správu.
  • Monitorujte umístění, ze kterých se spravují prostředky Azure.
  • Monitoruje pokusy o přístup k deaktivovaných přihlašovacím údajům.
  • Pomocí automatizovaných nástrojů můžete monitorovat konfigurace síťových prostředků a zjišťovat změny.

Další informace najdete v tématu Standardní hodnoty zabezpečení Azure pro Azure Monitor.

Zabezpečení IaaS a PaaS

V modelu IaaS můžete úlohy hostovat v infrastruktuře Azure. Azure poskytuje bezpečnostní záruky, které udržují izolaci a včasné aktualizace zabezpečení infrastruktury. Kvůli větší kontrole hostíte celé řešení IaaS místně nebo v hostovaném data centru a zodpovídáte za zabezpečení. Je nutné implementovat zabezpečení na hostiteli, virtuálním počítači, síti a úložišti. Pokud máte například vlastní virtuální síť, zvažte povolení Azure Private Link přes Azure Monitor, abyste k tomu měli přístup přes privátní koncový bod.

V PaaS jste s Azure sdíleli odpovědnost za ochranu dat.

Virtuální počítače

Pokud používáte vlastní virtuální počítače Windows Linuxu, použijte Azure Security Center. Využijte výhod bezplatných služeb ke kontrole chybějících oprav operačního systému, chybné konfigurace zabezpečení a základního zabezpečení sítě. Povolení Azure Defender se důrazně doporučuje, protože získáte funkce, které poskytují adaptivní řízení aplikací, monitorování integrity souborů (FIM) a další.

Běžným rizikem je například to, že virtuální počítače nemají řešení kontroly ohrožení zabezpečení, která by hrozby kontroloval. Azure Security Center tyto počítače hlásí. Napravíte to Azure Security Center nasazením řešení kontroly. Můžete použít integrovanou skener ohrožení zabezpečení pro virtuální počítače. Licenci nepotřebujete. Místo toho můžete použít licenci pro podporovaná partnerská řešení.

Poznámka

Posouzení ohrožení zabezpečení jsou dostupná také pro image kontejnerů a SQL servery.

Útočníci neustále kontroluují rozsahy IP adres veřejného cloudu kvůli otevřeným portům pro správu, což může vést k útokům, jako jsou běžná hesla a známá ohrožení zabezpečení bez opravy zabezpečení. Přístup JIT (Just In Time) umožňuje uzamknout příchozí provoz do virtuálních počítačů a v případě potřeby zajistit snadný přístup pro připojení k počítačům. Security Center určuje, na které počítače se má jit použít.

Díky Azure Defender získáte také Microsoft Defender for Endpoint. Poskytuje nástroje pro vyšetřování Detekce a reakce koncových bodů (EDR), které pomáhají při detekci a analýze hrozeb.

Azure Defender pro servery také sleduje síť do a z virtuálních počítačů. Pokud k řízení přístupu k virtuálním počítačům používáte skupiny zabezpečení sítě a pravidla jsou příliš Security Center označíte příznakem. Adaptivní zabezpečení sítě poskytuje doporučení pro další zlepšení pravidel NSG.

Úplný seznam funkcí najdete v tématu Pokrytí funkcí pro počítače.

Odebrání přímého připojení k internetu

Ujistěte se, že zásady a procesy vyžadují omezení a monitorování přímého připojení k internetu virtuálními počítači.

V případě Azure můžete vynucovat zásady:

  • Enterprise na úrovni celého prostředí – Zabraňte neúmyslné odhalení pomocí oprávnění a rolí popsaných v referenčním modelu.

    • Zajišťuje, aby síťový provoz byl ve výchozím nastavení směrován přes schválené výchozí body.

    • Výjimky (například přidání veřejné IP adresy k prostředku) musí projít centralizovanou skupinou, která vyhodnocuje žádosti o výjimky a zajišťuje použití vhodných ovládacích prvků.

  • Identifikujte a opravte vystavené virtuální počítače pomocí vizualizace Azure Security Center k rychlé identifikaci prostředků vystavených internetu.

  • Omezte porty pro správu (RDP, SSH) pomocí přístupu podle času v Azure Security Center.

Jedním ze způsobů správy virtuálních počítačů ve virtuální síti je použití Azure Bastion. Tato služba umožňuje přihlásit se k virtuálním počítačům ve virtuální síti přes SSH nebo protokol RDP (Remote Desktop Protocol), aniž by se virtuální počítače vystavil přímo na internetu. Referenční architekturu, která používá Bastion, najdete v tématu Síť DMZ mezi Azure a místním datacentrem.

Kontejnery

Kontejnerizované úlohy mají další vrstvu abstrakce a orchestrace. Tato složitost vyžaduje specifická bezpečnostní opatření, která chrání před běžnými útoky na kontejnery, jako jsou útoky na dodavatelský řetězec.

  • Použijte registry kontejnerů, u které se ověřuje zabezpečení. Image ve veřejných registrech můžou obsahovat malware nebo nežádoucí aplikace, které se aktivují, když je kontejner spuštěný. Vytvořte proces, který vývojářům umožňuje vyžádat a rychle získat ověření zabezpečení nových kontejnerů a imagí. Tento proces by se měl ověřovat podle vašich standardů zabezpečení. To zahrnuje použití aktualizací zabezpečení, vyhledávání nežádoucího kódu, jako jsou zadní vůdce a nepovolené kryptografické mince, vyhledávání ohrožení zabezpečení a použití zabezpečených postupů vývoje.

    Oblíbeným vzorem procesu je vzor karantény. Tento model umožňuje získat image ve vyhrazeném registru kontejnerů a podrobovat je kontrole zabezpečení nebo dodržování předpisů, které platí pro vaši organizaci. Po ověření je pak možné je uvolnit z karantény a povýšit na dostupnou.

    Azure Security Center identifikuje nespravované kontejnery hostované na virtuálních počítačích IaaS s Linuxem nebo jiných počítačích s Linuxem, na které běží kontejnery Dockeru.

  • Ujistěte se, že používáte image z autorizovaných registrů. Toto omezení můžete vynutit prostřednictvím Azure Policy. Například pro cluster Azure Kubernetes Service (AKS) zásady, které omezují cluster tak, aby natahoval jenom image ze služby Azure Container Registry (ACR), která je nasazená jako součást architektury.

    Tip

    Tady jsou zdroje informací pro předchozí příklad:

    GitHub loga GitHub: Azure Kubernetes Service (AKS) Secure Baseline Reference Implementation .

    Aspekty návrhu jsou popsané v článku Základní architektura pro cluster AKS.

  • Před použitím a během používání pravidelně kontrolujte v kontejnerech známá rizika v registru kontejnerů.

  • Pomocí nástrojů pro monitorování zabezpečení, které kontejnery hledí, můžete monitorovat neobvyklé chování a umožnit vyšetřování incidentů.

    Azure Defender pro registry kontejnerů jsou navržené tak, aby chránily clustery AKS, hostitele kontejnerů (virtuální počítače s Dockerem) a registry ACR. Pokud je tato možnost povolená, image, které se natáhly nebo nasouvá do registrů, podléhají kontrolám ohrožení zabezpečení.

Další informace najdete v těchto článcích:

Síť

Jak monitorovat a diagnostikovat stavy sítě?

Jako počáteční krok povolte a zkontrolujte všechny protokoly (včetně nezpracovaných přenosů) ze síťových zařízení.

Využijte funkci zachytávání paketů k nastavení výstrah a získání přístupu k informacím o výkonu v reálném čase na úrovni paketů.

Zachytávání paketů sleduje provoz do a z virtuálních počítačů. Umožňuje spouštět proaktivní zachytávání na základě definovaných síťových anomálií, včetně informací o neoprávněných vniknutí do sítě.

Příklad najdete v tématu Scénář: Získání výstrah, když vámvirtuální počítač odesílá více segmentů TCP než obvykle.

Pak se zaměřte na pozorovatelnost konkrétních služeb tím, že si prohlédněte diagnostické protokoly. Například informace o konfiguraci Azure Application Gateway integrovaným WAF najdete v tématu Protokoly Firewallu webových aplikací. Azure Security Center analyzuje diagnostické protokoly ve virtuálních sítích, branách a skupinách zabezpečení sítě a určuje, jestli jsou ovládací prvky dostatečně zabezpečené. Příklad:

  • Je váš virtuální počítač vystavený veřejnému internetu? Pokud ano, máte úzká pravidla pro skupiny zabezpečení sítě, která chrání počítač?
  • Jsou skupiny zabezpečení sítě (NSG) a pravidla, která kontrolují přístup k virtuálním počítačům přes povolující přístup?
  • Přijímají účty úložiště přenos přes zabezpečená připojení?

Řiďte se doporučeními, která poskytuje Security Center. Další informace najdete v tématu doporučení pro sítě. Používejte protokoly Azure firewall a metriky pro pozorování v provozu a protokoly auditu.

Integrujte všechny protokoly do služby správy událostí a informací o zabezpečení (SIEM), jako je například Azure Sentinel. Řešení SIEM podporují ingestování velkých objemů informací a můžou rychle analyzovat velké datové sady. Na základě těchto přehledů můžete:

  • Nastaví výstrahy nebo zablokuje hranice segmentace přenosu.
  • Identifikujte anomálie.
  • Vyladěním příjmu výrazně snížíte falešně pozitivní výstrahy.

Identita

Sledujte rizikové události související s identitou pomocí adaptivních algoritmů strojového učení, které se rychle před útočníkem získají hlubší přístup k systému.

Kontrola rizik identity

K většině incidentů zabezpečení dochází poté, co útočník poprvé získá přístup pomocí odcizené identity. I v případě, že má identita dostatečná oprávnění, útočník ji může využít k pozdějšímu procházení a získání přístupu k dalším privilegovaným identitám. Tímto způsobem může útočník řídit přístup k cílovým datům nebo systémům.

Bude organizace aktivně monitorovat rizikové události související s identitou, které souvisejí s potenciálně ohroženými identitami?

Monitorujte rizikové události související s identitou pro potenciálně ohrožené identity a opravte tato rizika. Přečtěte si hlášené rizikové události v těchto ohledech:

Azure AD používá pro detekci podezřelých akcí, které souvisejí s vašimi uživatelskými účty, algoritmy adaptivního strojového učení, heuristické a známé ohrožené přihlašovací údaje (dvojice uživatelského jména a hesla). Tyto páry uživatelského jména a hesla pocházejí z monitorování veřejného a tmavého webu a spolupracuje s výzkumníky zabezpečení, vynucováním zákonem, bezpečnostními týmy v Microsoftu a dalšími uživateli.

Opravte rizika ručním adresováním každého vykázaného účtu nebo nastavením zásad rizik uživatelů , aby vyžadovala změnu hesla pro vysoce rizikové události.

Pravidelná kontrola kritického přístupu

Pravidelně kontrolujte role, kterým jsou přiřazená oprávnění s kritickým dopadem na firmu.

Nastavte vzor opakované kontroly, abyste zajistili odebrání účtů z oprávnění, když se změní role. Kontrolu můžete provést ručně nebo pomocí automatizovaného procesu pomocí nástrojů, jako jsou kontroly přístupu Azure AD.

Zjišťování & nahrazení nezabezpečených protokolů

Zjistí a zakáže použití starších nezabezpečených protokolů SMBv1, LM/ověřovací NTLMv1, wDigest, nepodepsaných vazeb LDAP a slabé šifry v protokolu Kerberos.

Aplikace by měly používat rodinu algoritmu hash SHA-2 (SHA-256, SHA-384, SHA-512). Měli byste se vyhnout použití slabších algoritmů, jako jsou SHA-1 a MD5.

Protokoly pro ověřování jsou zásadním základem téměř všech bezpečnostních ujištění. Tyto starší verze je možné zneužít útočníky s přístupem k vaší síti a často se používají ve starších systémech na infrastruktuře jako služby (IaaS).

Tady jsou způsoby, jak snížit riziko:

  • Seznamte se s využitím protokolu pomocí řídicího panelu nezabezpečeného protokolu nebo nástrojů třetích stran, které najdete v protokolech.

  • Omezení nebo zakázání používání těchto protokolů podle pokynů pro SMB, NTLMa WDigest.

  • Používejte pouze zabezpečené algoritmy hash (SHA-2 Family).

Pro zmírnění rizika provozního přerušení doporučujeme implementovat změny pomocí pilotního nebo jiných testovacích metod.

Další informace

Další informace o algoritmech hash naleznete v tématu algoritmy hash a signatury.

Připojení klienti

Má váš tým zabezpečení přehled o všech stávajících předplatných a cloudových prostředích? Jak objevují nové?

Zajistěte, aby se bezpečnostní tým dozvěděl o všech registracich a přidružených předplatných připojených ke stávajícímu prostředí prostřednictvím sítě ExpressRoute nebo Site-Site VPN. Monitorujte je jako součást celkového podniku.

Vyhodnoťte, jestli jsou pro připojené klienty následovány zásady organizace a příslušné zákonné požadavky. To platí pro všechna prostředí Azure, která se připojují k vaší síti produkčního prostředí.

Cloudová infrastruktura organizací by měla být dobře popsána s tím, že tým zabezpečení přistupuje ke všem prostředkům vyžadovaným pro monitorování a Insight. Provádějte časté prověřování prostředků propojených s cloudem a zajistěte, aby nedošlo k přidání dalších předplatných nebo tenantů mimo organizační ovládací prvky. Pravidelně kontrolujte pokyny Microsoftu, abyste měli jistotu, že jsou osvědčené a sledované osvědčené postupy pro zabezpečení týmu.

Informace o oprávněních pro tento přístup najdete v části přiřazení oprávnění pro správu prostředí.

Navrhované akce

Zajistěte, aby všechna prostředí Azure, která se připojují k vašemu provoznímu prostředí a síti, mohla používat zásady vaší organizace, a řídí se zabezpečením řízení IT.

Existující připojené klienty můžete zjistit pomocí nástroje poskytovaného Microsoftem. Pokyny týkající se oprávnění, která můžete přiřazovat k zabezpečení, jsou v části přiřazení oprávnění pro správu prostředí .

Kanály CI/CD

DevOps postupy jsou pro správu změn zatížení prostřednictvím průběžné integrace, průběžného doručování (CI/CD). Ujistěte se, že jste do kanálů přidali ověřování zabezpečení. Postupujte podle pokynů popsaných v tématu informace o tom, jak přidat průběžné ověřování zabezpečení do kanálu CI/CD.

Další kroky

Zobrazit protokoly a výstrahy