Bezpečný svět v oblacích Azure
“Policy, compliance, encryption at rest or in transit, identity protection, network perimeter, DDoS protection, antimalware, thread detection…to vše je jen zlomek pojmů, se kterými byste se měli seznámit, pokud to myslíte se zabezpečením svého prostředí vážně. Už jsem slyšel mnohokrát názor či smýšlení: ,,Když přece přemigruji do cloudu, tak jsem na tom automaticky s bezpečnostní lépe ne?”. Řekl bych jak kdy a jak kde. Pokud bychom to vzali z pohledu fyzického zabezpečení datacentra a přístupu do něj, tak na tom budete pravděpodobně o dost lépe, než když budete mít vlastní serverovnu někde ve vaší budově. Microsoft inventuje do svých datacenter nemalé peníze, které byste jen těžko pro své datacentrum sháněli a vysvětlovali vedení, proč chcete utrácet miliony za super high tech vybavení, když přece stačí jen zamčené dveře a klimatizace. Zbytek oblastí, které se týkají zabezpečení budete muset řešit principiálně stejně. Ať už jde o síťovou bezpečnost, přístupy k datům, ochranu identit, zabezpečení úložišť a jejich redundance atp. Sečteno podtrženo, bezpečnost v cloudu řešit musíte. Pokud ji nebudete řešit, mohou se vaše data po nějakém čase objevit na prodej na deep/dark webu. Jednoznačná výhoda cloudu z pohledu zabezpečení je ta, že funkce a služby, které zajistí vyšší bezpečnost, nemusíte složitě vymýšlet, prostě tam už jsou a stačí je jen používat!
Doufám, že po přečtení prvního odstavce jste zbystřili a že si přečtete, jak si zlepšit bezpečnostní skóre v Azure 😊. Pro lepší pochopení rozdělím bezpečnost v Azure na čtyři části:
- ochrana koncových serverů či zařízení
- ochrana identit a jejich zneužití
- zabezpečení sítě a jeho provozu
- ochrana dat
Záměrně jsem zvolil toto pořadí, protože podle mě jde přesně o posloupnost od nejnáchylnějších prvků v systémů, až po ten nejméně náchylný prvek jako jsou data, která buď někde jen leží nebo lítají po síti.
Ochrana koncových serverů či zařízení
Světe div se, jde o nejrozšířenější slabinu (asi spolu s lidským faktorem chybovosti), kterou útočníci využívají. Většinou jde o neaktualizované operační systémy, využívání starých nezabezpečených protokolů pro komunikaci, neaktualizovaný software běžící na serveru, nulová antimalware ochrana, chabý monitoring a spoustu dalších běžných problémů. Azure má v tomto jasno, pokud máte server, který je spuštěný a nemá žádnou antivirovou ochranu, tak vás na to bude samozřejmě upozorňovat. Proto se vyplatí sledovat bezpečnostní doporučení v Azure Advisor. Pokud bychom chtěli elegantně vyřešit aktualizace operačního systému, tak nám může pomoci Automation Account spolu s Update Managementem. Další výhodou Azure je, že podporuje pouze operační systémy, které mají stále podporu a nejsou “retired”. Rozhodně také doporučuji zvážit využití Security Center a Azure Defender. Ačkoli Azure Defender for Servers stojí nějakých 15$ na měsíc za instanci, tak dostanene slušný balíček věcí navíc jako Just in Time access – v češtině to znamená, že se dostaneš na server právě když to potřebuješ, jinak je komunikace zakázána. Nebo Thread protection, Adaptive application control a k tomu přehledný reporting s dashboardem a compliance včetně bezpečnostního skóre, které může motivovat k lepšímu zabezpečení. S bezpečným připojením správců na server dokáže pomoci Azure Bastion, kde jste schopni se přihlásit na server pomocí prohlížeče, a to bez veřejné IP. Určitě by se nemělo zapomenout na správný monitoring, takže aktivace Azure Monitor pro Virtual Servers – tedy instalace Azure Monitor agenta, by měla být samozřejmostí, včetně nastavení zasílání logů a diagnostických dat do centrálního Log Analytics Workspace. Pokud jste v bezpečnosti pokročilí, určitě využíváte nějaký druh SIEM (Security Information and Event Management), který můžete propojit s Azure Sentinel. Jestliže žádný SIEM nevyužíváte, tak právě Azure Sentinel je pro vás slušný začátek.
Ochrana identit a jejich zneužití
Tato oblast je téměř na stejné úrovni náchylnosti jako předešlá. Lidé jsou jednoduše tvorové omylní a klikají všude a na všechno. Cílem této oblasti zabezpečení je právě ochrana uživatelů, respektive jejich identit. Azure naštěstí poskytuje mnoho služeb a funkcí, které byste v on-premises jen těžko hledali nebo byste je museli nahrazovat softwary třetích stran. Co musíte hlídat jako nedobytný hrad je určitě Azure Active Directory, kde by měl být jeho základním ochranným prvkem Azure Multi-Factor Authentication (MFA). Většinou máte appku (Microsoft nebo Google Authenticator), která vás vyzve k potvrzení přihlášení, pokud zadáte správné heslo do přihlašovacího dialogu. Na MFA většinou navazují Conditional policies, které dokáží zajistit přihlašování pomocí MFA bez legacy autentizačních metod. Dokáží také kontrolovat přihlášení ze schválených lokalit nebo zařízení, které splňují určité požadavky. U vyšší verze Azure AD Premium P2 máte pak možnost využít pokročilé funkce Identity protection, kde jste schopni odhalit pomocí automatického cyber intelligence mechanismu rizikové uživatele nebo jejich přihlášení. Například František, který se většinou přihlašuje z ostravské kanceláře se najednou přihlásí z Moskvy – to asi František nebude, teda pokud není zrovna na business tripu 😊. Pro správu rolí a jejich přiřazování určitě doporučuji Privileged Identity Management (PIM), který se ale vyplatí, pokud opravdu často řešíte přiřazování práv pro větší množství uživatelů, protože ho můžete využít pouze s Azure AD Premium P2. Dalším bezpečnostním rizikem bývá podcenění External collaboration nastavení. Jde o to, kdo může zvát guest uživatele a jaký mají mít tito uživatelé přístup. Určitě si také dejte pozor na nastavení Enterprise applications a práv pro Consent aplikací, ať vám nikdo neregistruje nějakou škodlivou appku. Třešničkou na dortu jsou už pak Access review, které vám dle stanoveného období (týdně, měsíčně, jednou za půl roku nebo za rok) automaticky nebo s lidským zásahem revidují přiřazené Azure AD role, práva ve skupinách nebo práva pro aplikace. Za zmínku stojí určitě také Entitlement management, díky kterému můžete přiřazovat Access packages pro připojené organizace nebo partnery, se kterými spolupracujete a tím zajistit řízený a kontrolovaný přístup do více míst najednou (SharePoint, Azure AD skupina, Teams, aplikace).
Zabezpečení sítě a jeho provozu
Zde se nedá začít jinak než ochranou perimetru, tzn. pokud máte v síti nějaký prvek, který vidí do internetu a je to váš přístupový/komunikační bod se světem, tak ten musíte chránit nejlépe jak umíte. Většinou jde o webové servery nebo nějaký typ firewallu – v Azure lze využít Azure Firewall, což je PaaS služba bez kupování všelijakých krabiček. Prakticky vše v Azure je na bázi virtuálních appliance. Pokud již využíváte jiný typ firewallu a jste na něj zvyklí, tak v Azure toto není překážkou. Na Azure Marketplace naleznete velké množství firewallů třetích stran např. FortiGate, Stormshield, Barracuda, Cisco ASA, SonicWall a spoustu dalších. Vhodným pomocníkem může být také Azure DDoS protection pokud víte, že jste často terčem těchto útoků nebo si prostě chcete být jisti, že vás přes sezónní období (Velikonoce, Vánoce, výprodeje aj.) nepostihne výpadek. Pokud jste více orientováni na PaaS a různé typy webových služeb, tak určitě využijete Azure Front Door, což je globální vstupní bod do vašeho Azure, který zajistí optimální a zabezpečenou cestu packetů k vašim serverům. Pro ochranu aplikací je určitě vhodné využít Web Application Firewall, který poskytuje ochranu před známými exploity a zranitelnostmi. V rámci vnitřní sítě doporučuji běžně využívané Network Security Groups, kde si můžete specifikovat jednotlivé povolené a zakázané porty, ať už na úrovni subnetu nebo rozhraní zdroje. Obdobou jsou Application Security Groups, kde můžete sdružovat více virtuálních serverů dle jejich typů využití. Co se týče samotného provozu a jeho ochrany tak zde platí jednoduché pravidlo. Pokud existuje nastavení, jak to zabezpečit, tak to prostě udělejte, Využívání SSH, TLS 1.2, certifikátů, šifrování provozu by mělo být samozřejmostí. Pokud si chcete být jisti, že komunikace v síti probíhá pouze mezi vymezenými zdroji v Azure a nikde jinde, tak doporučuji využití Service endpoints nebo Private endpoints.
Ochrana dat
Posledním článkem v bezpečném světě oblaků, ale zároveň ten nejdůležitější jsou vaše data. Záměrně jsem je umístil na poslední příčku jejich zranitelnosti. Hádejte proč? Vysvětlení je poměrně jednoduché, aby se k vašim datům někdo dostal, tak musí prolomit všechny nebo jednu z dříve zmíněných oblastí. Chce někdo vaše data v notebooku? Musí vám ho někdo fyzicky ukrást nebo jednoduše přes malware získat vzdálený přístup, musí znát vaši identitu – někdy nepotřebuje ani to. Co potřebuje je, abyste klikli na připravený odkaz ve spamovém emailu. Takovému útočníkovi zcela jistě znepříjemníte kontrolu nad vašimi daty, pokud budou šifrovaná, budete mít spolehlivý antivir a nebudete klikat na nesmyslné odkazy v emailech, nebudete brouzdat po nevhodných stránkách, kde za každým klikem může být skrytý automatický skript, kterého si ani nevšimnete, a už vůbec si nevšimnete že něco spustil nebo nainstaloval na váš server/počítač. Pokud jde o ochranu dat v Azure tak jsou data standartně šifrována jak na úložištích, tak v při přenosu po síti. Ochranu můžete zvýšit zapnutím Azure Disk Encryption na virtuálních serverech a používáním Azure Key Vaultu. U Azure SQL database můžete využít Dynamic data masking, což může vyřešit neutorizovaný přístup k datům zákazníků a získání cenných informací. Vhodné je také uvažovat o ochraně před ransomware a mít data například na více místech nebo mít offline zálohy.
Věřím, že vám alespoň trošku tento článek otevřel oči a nastínil bezpečnostní opatření, kterým byste se měli v cloudu věnovat. Nepodceňujte ochranu před hackerskými útoky, protože nikdy nevíte, kdy si vyberou právě vás. Každopádně vám přeji bezpečnostní pohodu a pohodové využívání cloudových služeb.
Sdílej v médiích