VIZIUNEA MICROSOFT PRIVIND SECURITATEA IN CLOUD INTEGRATE IN PLATFORMA MICROSOFT CLOUD SECURITY

În urmă cu mai bine de 20 de ani, în timpul pregătirii de peste 6 luni pentru a obține certificarea Microsoft Certified System Engineer pentru platforma Windows Server 2000, luam contact cu viziunea pe care compania Microsoft o avea, la acel moment, față de nevoia implementării mecanismelor de securitate ale platformei server și tehnologiile incluse în sistemul de operare sau livrate ca produse dedicate securității.

Pentru un viitor specialist pe platforma Windows Server, soluția oferită de Microsoft era de a pune la dispoziție două cărți de peste 1000 de pagini denumite “Ghidul de implementare a securității în platformele Microsoft Server și Desktop”, sub forma unui set de bune practici legate de activarea politicilor de securitate și a regulilor de firewall pentru securizarea traficului de rețea.

În anii care au urmat Microsoft a pus la dispoziția companiilor produse dedicate implementării protecției și securizării infrastructurilor bazate pe Windows Server, între care amintesc Internet Security and Acceleration Server (ISA Server) sau familia Microsoft Forefront ce oferea produse dedicate diverselor nevoi de securitate ale companiilor: succesorul lui ISA Server rebotezat Threat Management Gateway, produse dedicate platformei de mesagerie Microsoft Exchange și de colaborare Microsoft SharePoint, Unified Access gateway ca și succesor al platformei de completare ISA Server numită Intelligent Application Gateway și lista poate fi completată de această prezentare a familiei Microsoft Forefront.

Bineînțeles că atenția vendorului a fost întotdeauna acordată îmbunătățirii permanente a sistemului de operare în care au fost incluse servicii dedicate securității, politici avansate de control gestionate prin Active Directory și măsuri implicite de securizare a sistemului sub forma unor standarde de securitate integrate, conforme cu normativele globale. Odată cu activarea acestor tehnologii la nivelul platformelor Microsoft, acestea puteau fi securizate conform standardelor de securitate a informațiilor și sistemelor cum ar fi ISO/IEC 27001 și 27002, FISMA, CIS, NIST, PCI-DSS a căror listă o puteți consulta.

Odată cu portarea platformelor software de mesagerie, colaborare și comunicare către platforma de cloud Office 365 (actuala Microsoft 365) și furnizarea de servicii cloud IaaS, PaaS și SaaS prin platforma Microsoft Azure, vechea abordare a implementării tehnologiilor de securitate a fost înlocuită și schimbată din temelii. În locul securității perimetrului ce oferea garanția protecției dispozitivelor și aplicațiilor conectate la acesta, a fost propus modelul Zero Trust  Model ce asumă existența breșelor de securitate pe principiul “never trust, always verify”. Astfel, fiecare cerere  de accesare a platformei solicită o autentificare completă prin mecanisme multiple, un mod de autorizare adaptivă ce se mulează pe condițiile îndeplinite de dispozitivul solicitant și pe forțarea criptării și semnării digitale a informației înaintea acordării accesului.

Aceste moduri de scanare continuă a solicitantului, oferă garanția că, odată cu schimbarea condițiilor de conectare a dspozitivelor,  sistemul de securitate va putea reacționa rapid, adaptându-se unor situații de expunere neprevăzute și neanticipate de istoricul de conectare. Pentru a face posibilă implementarea acestei paradigme, sunt aplicate mecanisme de microsegmentare, principiul implicit al celui mai mic privilegiu de conectare, platforma AI (inteligență artificială) ce analizează rapid volume mari de date provenite dintr-un număr ridicat de evenimente și răspunsul în timp real la anomaliile detectate.

În timp ce în infrastructurile On-premises ale organizațiilor, utilizatorii foloseau computere poziționate de regulă în rețeaua internă protejată, accesând aplicații și servicii stocate pe serverele din datacenterele companiei, beneficiind uneori de sisteme interne închise neexpuse conexiunilor din și către Internet, utilizatorii platformelor de cloud accesează aplicații și date din datacenterele globale ale vendorului, organizația nemaiavând controlul direct al conturilor de utilizator, al mediului de rețea și mai ales a multitudinii de dispozitive folosite de utilizator.

Modelul Zero Trust constă în verificarea permanentă a condițiilor de acces impuse atât utilizatorului cât și a dispozitivului folosit (acces condițional), fără a acorda încredere acestora doar prin conectarea la perimetrul organizației.

Zero Trust Model – sursa: site-ul oficial Microsoft

Componentele direct implicate în determinarea nivelului de încredere sunt următoarele:

  • Identity Provider – stabilește identitatea utilizatorului si informațiile asociate acestei identități
  • Device Directory – validează integritatea dispozitivului și nivelul acestuia de protecție
  • Policy Evaluation Service – determină dacă utilizatorul sau dispozitivul sunt conforme politicilor de securitate
  • Access Proxy – determină ce resurse organizaționale pot fi accesate.

Pentru a implementa conceptul Zero Trust Security sunt necesare semnale pe baza cărora se vor lua deciziile și vor fi impuse constrângeri ce implementează aceste decizii. Spre exemplu, daca utilizatorul se conectează din rețeaua internă este încadrat la un nivel de risc scăzut, ce se va transforma automat în nivel ridicat dacă dispozitivul folosește o rețea publică. La acest mod de stabilire a nivelului de risc, pot insă contribui semnale diverse: locația dispozitivului, apartenența utilizatorului la grupuri stabilite pe criterii organizaționale, tipul aplicației accesate, tipul de validare a identității sau nivelul de îndeplinire a unor condiții impuse dispozitivului folosit: update-uri la zi, antivirus activ, versiunea sistemului de operare etc.

Implementarea Modelului Zero Trust – Sursa siteul oficial Microsoft

La baza acestor concepte se află următoarea afirmație: “Identity as a Service = the new control plane” ce înlocuiește vechiul principiu a controlului prin asocierea cu mediul de conectare ce avea la bază o structură bazată pe echipamente fizice, mecanisme de rutare și decizii de trimitere a pachetelor (Routing Information Base – RIB și Forwarding & Data Plane).

Un rol foarte important îl îndeplinește în acest model Azure Active Directory și On-premises Active Directory ce oferă de sine statător sau hibrid serviciile de autentificare, identitate și managementul rolurilor precum și mecanismele de control: politicile de grup sau regulile de acces condițional, sprijinite de mecanisme suplimentare dedicate nevoilor de securizare și interconectate prin Microsoft  Graph Security API.

Microsoft Graph Security API – sursa: site-ul Microsoft docs, prezentarea conceptului aici

Prin Microsoft Graph Security se simplifică modul de interconectare a diferitelor soluții de securitate Microsoft sau oferite de parteneri, ceea ce face posibilă obținerea unei platforme ce valorifică la maximum experiența și funcționalitatea platformelor conectate, standardizând și unificând serviciile de urmărire a alertelor, corelând alerte de securitate generate de surse multiple și targetând mecanismele cele mai eficiente de răspuns cu scopul protecției împotriva amenințărilor, simplificând modul de derulare a investigațiilor pe baza datelor corelate, antrenând permanent soluțiile de securitate cu aportul tehnologiilor AI integrate și răspunzând activ sau proactiv riscurilor de securitate semnalate.

Sunt astfel targetate trei tipuri de beneficii: Managed Security Service providers, solutiile SIEM și IT Risk management și nu în ultimul rând aplicațiile protejate (threat intelligence, mobile, cloud, IoT, fraud detection, identity & access, risk & compliance, firewall).

Conectarea la aceste platforme se face în trei moduri: direct, folosind opțiunile de integrare suportate de vendor, prin integrare nativă și conectori către parteneri sau prin conectori specializați oferiți de Microsoft pentru a targeta diferite tipuri de API-uri și soluții de securitate (lista completă a conectorilor poate fi consultată aici).

Perioada pe care o traversăm, influențată direct de pandemia COVID19, obligă companiile să-și repoziționeze forța de muncă, păstrând însă productivitatea, comunicarea și securitatea accesului la resursele organizaționale. Mai mult ca oricând, se evidențiază nevoia trecerii rapide de la solutțiile on-premises la cele de cloud, forțând adoptarea de către companii, instituții guvernamentale și organizației a digitalizării prin transformarea digitală.

Unul dintre efectele neașteptate ale pandemiei este faptul că organizațiile au realizat rapid beneficiile transformării digitale. În perioada în care se vorbește de conviețuirea pe termen mediu lung și adaptarea activităților derulate cu unele restricții, companiile sunt mai înclinate să își analizele procesele și procedurile și să-și regândească operațiunile, astfel încât lucrul de la distanță să devină noul mod eficient de operare. Pentru o implementare cu succes a unei transformări digitale, trebuie aliniate toate componentele unei organizații, facilitând lucrul eficient și productiv de acasă al forței de muncă:

  • Capabilitățile IT și gradul de tehnologizare ale companiei;
  • Cultura organizațională și abilitățile personalului.
  • Identificare ineficiențelor în proceselor operaționale;
  • Servicii și produse cu valoare adăugată pentru clienți, furnizori și comunitate;

 

Tehnologiile care stau la baza implementării securității mediilor de cloud sprijină în mod direct adaptarea și adoptarea rapidă de către companii a capabilităților IT crescând cu costuri minime gradul de tehnologizare al companiei. Prin urmare, mai mult ca oricând, companiile vor trebui să devină din ce în ce mai interesate de migrarea resurselor către platformele cloud, ceea ce va avea impact direct și imediat asupra modului în care datele companiei vor fi protejate și accesate respectând principiile de securitate adaptate la domeniul de activitate al acestora.

Concluzionând, putem spune fără a greși că Microsoft Cloud Security înseamnă mai mult ca oricând Identity and Access + Threat protection + Information Protection și oferă soluții de protecție cross-cloud. Investițiile de peste un miliard de dolari annual făcute de Microsoft în activitățile de cercetare și dezvoltare a tehnologiilor și produselor de securitate sunt garanția succesului transformării digitale a oricărei companii din epoca actuală și deschid în viitorul acestora noi oportunități ajutându-le să devină mai suple, mai eficiente și mai productive.

Modelul propus de Microsoft privind responsabilitatea implementării, controlului și administrării soluțiilor de securitate este unul partajat între vendor și client, numit Shared Responsibility Model și reprezentat mai jos:

Sursa Microsoft Docs

Vă invit ca la final, să treceți în revistă suita de produse si tehnologii de securitate oferite de Microsoft în platforma Microsoft Azure și Microsoft 365 cu promisiunea că în articolul următor vom detalia rolul și funcționalitatea fiecăreia din tehnologiile reprezentate mai jos:

Sursa: portalul oficial Microsoft Azure

Totodată vom identifica împreună principalele roluri în cadrul organizației asociate gestionării securității platformelor implementate și vă invit să studiați structura cursurilor oficiale Microsoft pe portalul oficial Microsoft Training and Certification și pe portalul Bittnet Training.

Marian Pandilică

Customer learning Architect Bittnet Training

Microsoft Senior Trainer 2001-2021, Authorized Instructor Amazon

Cloud Solution Architect Azure, M365, AWS

Microsoft Learning Consultant 2010-2020

Articolul a fost publicat în Today Software Magazine.

Meniu