In articolul anterior discutam principiile de securitate aplicate platformelor de cloud, ce au la bază modelul Zero Trust Security, complet diferit de ideea de a concentra tehnologiile de securitate pentru crearea unui perimetru puternic securizat, cu scopul de a ține atacatorii în afara acestuia. Aplicarea măsurilor de securitate specifice infrastructurilor enterprise, se baza pe tratarea serviciilor și resurselor poziționate în acest perimetru securizat ca fiind credibile și protejate, tot ceea ce se afla în exterior fiind privit ca potențial ostil.
Architectura de referință definită de Cloud Security Alliance
Conform principiilor de proiectare aplicate infrastructurilor cloud si a arhitecturii de referință definite de Cloud Security Alliance, orice mediu va fi compus din următoarele componente:
Sursa: Cloud Security Alliance
Prin urmare, implementarea mecanismelor de securitate trebuie să țină cont de această organizare, tehnologiile implicate fiind asociate și specializate pentru fiecare subcomponentă astfel:
- Bussinesss Operation Support Services – BOSS (definit de SABSA Institute Enterprise Security Architecture): compliance , data governance, operational risk management, human resources security, security monitoring , legal services și internal investigations
- Information Technology Operation & Support – ITOS (definit de ITIL – Information Technology Infrastructure Library: IT Operation, Service Delivery și Service Support
- Architecture services (definite de Open Group Architecture Framework – TOGAF Standard):
- Presentation Services (consumer service platform, enterprise service platform, enpoints, speech recognition and handwritting)
- Application Services (programming interfaces, security knowledge lifecycle, development process, integration, connectivity and delivery)
- Information Services (service delivery and support, reporting services, data governance and risk management, security monitoring, user directory services)
- Infrastructure Services (Internal Infrastructure – servers, storage, network, equipments, endpoint, mpatch management și Virtual Infrastructure – desktop, server, application virtualization, network, virtual workspaces, file based virtualization)
- Security and Risk management (definit de JERICHO Forum Commandments):
- Governance Risk & Compliance (compliance, policy, vendorm audit, IT Risk management, Technical Awareness and Training)
- Privilege Management Infrastructure (identity management, authentication services, authorization services, privilege usage management)
- Threat and Vulnerability Management (compliance testing, penetration testing, vulnerability management, threat management)
- Infrastructure Protection Services (server, end-point, network, application)
- Data protection (data lifecycle management, data loss prevention, intellectual property protection, cryptographic services)
- Policies and Standards (operational security baselines, role based awareness, Information Security policies, Techinical Security Standards, Data/Asset classification, vest practices, regulatory corellation).
Pentru o imagine completă a acestor componente va invit să studiați pagina oficiala Cloud Security Alliance și portalul CSA, unde sunt disponibile și principiile fundamentale de securitate ce ghidează vendorii de servicii cloud să asiste clienții serviciilor furnizate în gestionarea și analiza riscurilor de securitate prin unelte ca Cloud Security Alliance Cloud Controls Matrix (CCM) .
Microsoft Cybersecurity Reference Architecture
Plecând de la modelul descris de CSA, Microsoft a definit și integrat în oferta de servicii cloud, principiile securității mediilor enterprise hibride cu titulatura Cybersecurity Reference Architecture:
Cybersecurity Reference Architecture – sursa siteul oficial Microsoft
Investiția anuală anunțată oficial de către Microsoft CEO Satya Nadella, de peste un miliard USD dedicați cercetării și dezvoltării soluțiilor de securitate integrate în infrastructurile cloud services, a făcut posibilă dezvoltarea unor soluții inovative reprezentate de imaginea de mai sus și pe care le vom descrie în continuare. Microsoft investește și în start-up-uri ce dezvoltă soluții și produse avansate de securitate cum este compania israeliana Team8 și extinde permanent capabilitățile platformelor Windows și Office ce integrează Windows Defender și Windows Defender Security Center.
Principalele argumente ale vendorului Microsoft pentru alegerea ca principalul partener al clienților și pentru cybersecurity sunt:
- angajamentul puternic față de securitatea cibernetică (investiții de peste 1 miliard anual, folosirea propriilor soluții de securitate găzduite în cloud, extinderea echipelor proprii de specialiști cu ingineri recunoscuți la nivel mondial inclusiv foști CISO).
- abordarea securității pe trei axe: o platformă cuprinzătoare, inteligența artificială ce analizează volume mari de informații transmise prin mecanismele de telemetrie și parteneriate cu cei mai buni specialiști în securitate din întreaga lume.
- angajamentul Microsoft față de securitate: Microsoft Trust Center.
- promotor al partajării celor mai bune practici în materie de securitate cibernetică (NIST, CSF, RFI, Microsoft Security Development Cycle).
- interacțiunea între clienți și educarea acestora cu privire la abordarea și serviciile Microsoft privind securitatea cibernetică – Microsoft a colaborat cu Digital Crimes Unit, Cyber Defense Operations Center, Digital Risk and Security Engineering team, Cloud & Enterprise Security, Windows Security pentru a lansa Centrul de informare executivă privind securitatea cibernetică (EBC)ce oferă beneficii majore clienților (descrise pe larg aici).
O trecere în revistă a principalelor grupuri de tehnologii și platforme de securitate disponibile în platformele Microsoft cloud, dedicate infrastructurilor enterprise publice, acelor hibride și clienților acestora, scoate în evidență următoarele familii de produse:
Soluții și resurse dedicate SOC (Security Operations Center)
Azure Sentinel – Cloud Native Security Information and Event Management (SIEM) și Security Orchestration, Automation and Response platform, dedicat deopotrivă specialiștilor Microsoft Threat Experts, cât și echipelor de răspuns la incidente de securitate.
Microsoft Cloud App Security – ce acționează ca și Cloud Access Security Broker pentru diverse modele de deployment al aplicațiilor: colectarea jurnalelor, conectori API și reverse proxy. MCAS este responsabil pentru descoperire și control prin Shadow IT (bibliotecă cu peste 16000 aplicații și peste 80 de riscuri identificabile), pentru protecția informațiilor sensibile oriunde în cloud, protecția împotriva anomaliilor și amenințărilor cibernetice și testarea nivelului de compliance al aplicațiilor cloud.
Azure Security Center – dedicat testării nivelului de secuitate existent la nivelul infrastructurii cloud prin Secure Score și îmbunătățirea protecției mașinilor virtuale Linux și Windows, a aplicațiilor native cloud, a datelor și soluțiilor IoT prin planul de consum Security Center Standard tier, o extensie contra cost a celui Basic gratuit.
Microsoft Defender ce oferă protecție avansată împotriva amenințărilor (Advanced Threat Protection – Microsoft Defender ATP), furnizează protecție preventivă, detectare post-breșă, investigare automată și răspuns.
Mecanismele de telemetrie, auditare, jurnalizare și protecție a datelor, incluse în platformele Office 365 și Azure și integrarea soluțiilor third party prin Microsoft Graph Security API încheie lista soluțiilor SOC.
Soluții și resurse dedicate administrării clienților
Dispozitivele mobile și a celor neadministrate și neînrolate sunt gestionate prin platforma Intune MDM/MAM și mai noua platformă Microsoft Endpoint Manager (ambele componente ale Microsoft 365 incluse în Enterprise Mobility & Security), iar a clienților administrați centralizat în mediile enterprise platforma System Center Configuration Manager.
Administrarea clienților se bazează totodată pe asocierea acestora cu Microsoft Defender ATP și monitorizarea nivelului de securitate prin Secure Score, ce va pune la dispoziția specialiștilor de securitate recomandări privind remedierea aspectelor ce pot fi îmbunătățite.
Microsoft Advanced Threat Analytics – ATA, dedicat analizei datelor istorice furnizate de soluțiile de monitorizare SIEM, WTF și Windows Event Collector în scopul recunoașterii fazelor atacului, identificării ciclurilor de mișcare laterală și dominarea domeniului. În lista atacurilor ce pot fi detectate prin ATA sunt incluse următoarele: Pass-the-Ticket (PtT), Pass-the-Hash (PtH), Overpass-the-Hash, Forged PAC (MS14-068), Golden Ticket, Malicious replications, Reconnaissance, Brute Force, Remote execution.
Microsoft Advanced Threat Analitycs – sursa Microsoft Docs
Windows 10 Enterprise Security este o componentă a platformei Microsoft 365, extensie a sistemului de operare Microsoft Windows 10 ce include mecanisme avansate de administrare a identității și accesului, protecție împotriva amenințării și protectția informației.
Nu trebuie uitat nici Windows 10 S, versiune limitată a sistemului de operare dedicată dispozitivelor low-end folosite de piața de educație (School PC), dispozitivelor specializate (Microsoft Surface Hub și Surface Studio)
Soluții și produse dedicate mediilor enterprise hibride
Azure Security Center oferă acestor tipuri de infrastructuri vizibilitate cross-platform, protecție și detecția amenințărilor, Just in Time VM Access, Adaptive App Control și igiena configurației.
Azure Firewall este o soluție cloud based network security service, de tip managed (administrată de vendor), firewall complet statefull as a service ce oferă disponibilitate și scalabilitate ridicată iar Network Security Appliances (template-uri din Azure Marketplace ce permit provizionarea de mașini virtuale care conțin soluții de securitate dedicate și sunt integrate în infrastructura cloud a organizației).
Azure DDoS Protection and attack mitigation asigură implicit protecția împotriva încercărilor de floodare si monopolizare a resurselor din infrastructură, beneficiind și de o extensie contra cost ce permite anticiparea situațiilor critice pe baza înregistrărilor istorice.
Express Route permite extinderea rețelelor on-premises către resursele Microsoft cloud Azure și Office 365, prin conexiuni private redundante oferite de parteneri Microsoft la nivel regional și vine în completarea tehnologiei Azure VPN gateway, soluție tradițională de conectivitate dedicată mediilor hibride.
Prin intermediul Azure Policy și Azure Blueprints se realizează managementul templateurilor, standardelor organizationale și condițiilor de provizionare a resurselor și administrarea subscripțiilor Azure, în timp ce Azure Key Vault permite managementul centralizat al cheilor criptografice, a parolelor și certificatelor digitale în cloud.
Azure Web Application Firewall este componenta dedicată protecției aplicațiilor împotriva vulnerabilităților și exploiturilor, integrată cu Azure Application Gateway.
Application & Network Security Groups permite filtrarea traficului din exteriorul și interiorul resurselor cloud și organizarea layerelor aplicației conform nevoilor architecturale.
Azure Backup & Site Recovery asigură protecția datelor, mașinilor virtuale și discurilor virtuale din cloud sau on-premise, atât pentru resursele Azure cât și cele non-cloud.
Disk & Storage Encryption permite criptarea discurilor mașinilor virtuale și a datelor stocate în cloud.
Confidențial computing este dedicat protecției datelor și codului aplicațiilor în cloud.
Platformele Azure Monitor, Azure Alerts, Azure Log Analytics numită inițial Operation management Suite și Azure Application Insights sunt dedicate înregistrării jurnalizate a datelor culese de la resurse, declanșarii de evenimente și analizei în profunzime prin corelarea surselor de date și pot fi integrate cu celelalte soluții de securitate.
Sistemul de operare Windows Server 2019 Security oferă o gamă largă de tehnologii bild-in de securitate între care amintim Just Enough Administration, Hyper-V Containersm Nano și Core server.
Operațiile administrative desfășurate pentru resursele critice se pot realiza folosind Privileged Access Workstation (PAW) sau Azure Bastion, asigurându-se astfel un punct de conectare la infrastructura cloud puternic securizat.
Windows IoT, Azure IoT Security și Azure Sphere oferă soluții extinsă de securitate pentru dispozitivele Internet of Things în timp ce IoT Hub pune la dispoziția organizațiilor un gateway de date către care sunt trimise datele acestor dispozitive.
Soluții și produse dedicate protecției informației și a datelor
Alături de Microsoft Cloud App Security, Azure Information Protection – AIP, Windows Information protection – WIP numit anterior Enterprise Data protection și Sensitivity labels sunt soluții cloud de clasificare și protecție a documentelor
Office 365 Data Loss Prevention , Data Governance și eDiscovery sprijină direct procesul de control al modului în care sunt respectate legislația și regulamentele organizației privind accesul și manevrarea datelor.
Pentru serviciile paaS de baze de date. Azure SQL Threat Detection, și SQL Encryption & Data Masking
sunt caracteristici de securitate build-in Azure SQL Information Protection ce pot fi extinse prin informațiile culese de Microsoft Defender ATP.
Platforma Microsoft 365 pune la dispoziția utilizatorilor Office 365 Compliance Manager, ce permite pe baza rulării unor teste predefinite de template-uri, nivelul de compliance cu standardele de securitate cele mai cunoscute, la care se adaugă rapoartele și mecanismele de arhivare.
O atenție specială este acordată de Microsoft legislației actuale prin integrarea în platforma de securitate a secțiunii Office 365 Information Protection for GDPR.
Soluții și produse Identity & Access
Platformele de cloud Microsoft Azure și Microsoft 365 se bazează pe Azure Active Directory, platformă universală pentru administrarea și securizarea identității, completată de următoarele servicii:
- Azure AD Identity Protection – permite automatizarea detecției și remedierea riscurilor, investigarea acestora pe baza datelor și exportul acestora către soluții third party specializate în analiză
- Azure AD Privileged Identity Management – PIM serviciu Azure AD dedicat administrării, controlului și monitorizării accesului la cele mai importante resurse cloud
- Multi factor Authentication extensie de securitate în procesul de autentificare ce implică două sau mai multe metode de autentificare
- Azure AD B2B – bussiness to bussiness collaboration
- Azure AD B2C – administrarea accesului aplicațiilor bussiness-to-consumer
Serviciile Hello for Bussiness permit inlocuirea parolelor cu mecanisme two factors authentication în timp ce Microsoft Identity Management – MIM și Privileged Access Management completează serviciile de identity cu mecanisme de integrare și control suplimentare.
Cu siguranță această listă va fi continuu completată și îmbunătățită de Microsoft, păstrând însă modelul architectural de referință și principiile de proiectare CSA amintite mai sus.
Pentru o înțelegere în profunzime a fiecăreia dintre tehnologiile și produsele amintite mai sus, sunt disponibile două specializări cloud, una pentru platforma Microsoft Azure și cealaltă pentru platforma Microsoft 365. Ambele specializări sunt însoțite de cursuri dedicate descrise în aceste pagini oficiale:
sursa Microsoft Docs
- Microsoft 365 Certified Security Administrator Associate asociat cursului MS-500 – Microsoft Security Administration cu durata de 4 zile
sursa Microsoft Docs
Pentru o imagine completă a structurii cursurilor și certificărilor dedicate securității platformelor cloud Microsoft Azure și Microsoft 365 vă invităm să studiați structura cursurilor oficiale Microsoft pe portalul oficial Microsoft Training and Certification și pe portalul Bittnet Training.
Marian Pandilică
Customer learning Architect Bittnet Training
Microsoft Senior Trainer 2001-2021, Authorized Instructor Amazon
Cloud Solution Architect Azure, M365, AWS
Microsoft Learning Consultant 2010-2020
Articolul a fost publicat în Today Software Magazine.
