Рішення для безпеки в Cloud пропонується платформою Microsoft Cloud Безпека для Microsoft Azure şi Microsoft 365

У попередній статті ми обговорили принципи безпеки, що застосовуються до платформ соціальних мереж. cloud, які базуються на моделі Zero Trust Security, що повністю відрізняється від ідеї концентрації технологій безпеки для створення високозахищеного периметра з метою утримання зловмисників поза ним. Застосування заходів безпеки, характерних для корпоративних інфраструктур, базувалося на ставленні до служб та ресурсів, розташованих у межах цього захищеного периметра, як до надійних та захищених, а все, що знаходиться зовні, розглядалося як потенційно вороже.

Нові принципи безпеки, на яких розробляються сучасні технології безпеки, cloud

У вік технологій cloud  та гібридних інфраструктур, ці принципи замінюються новим підходом до потреб безпеки, заснованим на ідеї припущення порушень безпеки та моделі Zero Trust, які підкреслюють реальність наших днів, змушуючи організації більше не вважати захист периметра безпеки виключною прерогативою фахівців з безпеки. Сучасні організації, що перебувають у стані цифрової трансформації свого бізнесу та інфраструктур, зобов'язані надавати доступ до своїх даних та послуг користувачам і співробітникам як за, так і поза межами рішень безпеки брандмауера.

Модель нульової довіри (ZTM) була запроваджена аналітичною фірмою Forrester Research і, як згадувалося в першій частині цієї статті, запровадила концепцію постійної перевірки безпеки, а не прямого припущення про неї на основі позиціонування ресурсів та їхніх споживачів. Водночас вона виходить з ідеї, що як тільки користувачі та їхні пристрої отримують доступ до ресурсів організації, рівень безпеки більше не буде неявно передбачатися лише позиціонуванням споживачів у межах периметра організації, а буде постійно перевірятися.

Традиційне впровадження технологій безпеки тісно пов'язане з типологією ресурсів, що підлягають захисту, і здійснюється на рівні організації. Сценарії, що включають ресурси з кількох організацій, що використовуються у партнерстві з різних місць розташування, значно ускладнюють впровадження та контроль безпеки та порушують питання відповідальності партнерів за потенційні порушення безпеки та атаки на ресурси. Історичний моніторинг подій, що відбуваються в кожній організації, необхідно буде корелювати, щоб також враховувати аспекти, пов'язані з поведінкою користувачів організацій-партнерів, і це вимагає використання платформ моніторингу та аналізу, розташованих поза межами аудитованих інфраструктур.

Розміщення організаційних ресурсів у cloud, надає користувачам велику кількість глобально розташованих компонентів інфраструктури та спрощує спосіб співпраці організацій для обміну даними. Він також розподіляє відповідальність за впровадження заходів безпеки між постачальником (який надає інфраструктуру за певну плату) та організацією, яка володіє та оплачує підписку. cloud, причому ця модель називається моделлю спільної відповідальності.

Цей рівень відповідальності тісно пов'язаний з типом ресурсів у cloud, причому тип «Інфраструктура як послуга» (IaaS) має вищу відповідальність організації, а тип «Програмне забезпечення як послуга» (SaaS) — постачальника, що легко видно на зображенні 1.

Зображення 1 – Модель спільної відповідальності, джерело Microsoft документи

Щоб зрозуміти, як застосовується цей принцип спільної відповідальності, візьмемо як приклад віртуальну машину (ВМ). Azure (ресурс cloud IaaS), на якому організація розміщуватиме власну програму. Хоча постачальник Microsoft відповідає за безпеку фізичних мережевих середовищ, фізичних середовищ зберігання даних та платформи віртуалізації, включаючи оновлення фізичних серверів, організація, яка використовуватиме цю віртуальну машину, відповідає за захист публічних та внутрішніх точок доступу до віртуальної машини, періодичні оновлення її операційної системи та захист програм, які будуть встановлені на ній.

Якщо організація вирішить використовувати сервіси «Платформа як послуга» (PaaS) замість віртуальної машини, постачальник надаватиме та керуватиме екземплярами, які надаватимуть організації необхідні сервіси, гарантуючи їх безпеку, періодичні оновлення операційних систем та програмної платформи, а також моніторинг, масштабованість та стійкість. Однак існує спільна зона відповідальності за сервіс автентифікації та авторизації (ідентифікацію), платформу застосунків, до яких здійснюється доступ (наприклад, веб-сервіси або SQL). database) та контроль безпеки мережі (вразливість кінцевих точок, брандмауер, активація DDoS або VPN, відкриття необхідних портів, розподіл публічних IP-адрес).

Наприклад, для рішення «Програмне забезпечення як послуга» Microsoft 365, відповідальність постачальника Microsoft він також включає платформу застосунків та контроль мережевого середовища (кінцеві точки попередньо визначені), при цьому спільна відповідальність лежить лише в області платформи ідентифікації. Однак, незалежно від моделі, організація завжди буде відповідальною за визначення облікових записів доступу, паролів, захист персональних даних та впровадження механізмів управління, управління доступом та активацію ліцензій, пов'язаних з користувачами.

Еталонна архітектура, визначена Cloud Альянс безпеки

Відповідно до принципів проектування, що застосовуються до інфраструктур cloud та еталонну архітектуру, визначену Cloud Альянс безпеки, будь-яке середовище складатиметься з таких компонентів:

джерело Cloud Альянс безпеки

Отже, впровадження механізмів безпеки повинно враховувати цю організацію, а задіяні технології повинні бути пов'язані та спеціалізовані для кожного підкомпонента наступним чином:

• Послуги підтримки бізнес-операцій – BOSS (визначено Архітектурою корпоративної безпеки Інституту SABSA): дотримання вимог, управління даними, управління операційними ризиками, безпека людських ресурсів, моніторинг безпеки, юридичні послуги та внутрішні розслідування
• Експлуатація та підтримка інформаційних технологій – ITOS (визначено ITIL – Бібліотека інфраструктури інформаційних технологій: Експлуатація ІТ, надання послуг та підтримка послуг
• Архітектурні послуги (визначено Open Group Architecture Framework – стандартом TOGAF):
  • Сервіси презентацій (платформа обслуговування споживачів, платформа обслуговування підприємств, точки доступу, розпізнавання мовлення та рукописного введення)
  • Сервіси додатків (інтерфейси програмування, життєвий цикл знань про безпеку, процес розробки, інтеграція, підключення та доставка)
  • Інформаційні послуги (надання послуг та підтримка, послуги звітності, управління даними та ризиками, моніторинг безпеки, служби каталогів користувачів)
  • Інфраструктурні послуги (Внутрішня інфраструктура – сервери, сховища, мережа, обладнання, кінцеві точки, управління mpatch та Віртуальна інфраструктура – віртуалізація робочих столів, серверів, додатків, мережа, віртуальні робочі простори, віртуалізація на основі файлів)
• Безпека та управління ризиками (визначено Заповідями форуму ЄРИХОН):
  • Управління ризиками та дотриманням вимог (дотримання вимог, політика, аудит постачальників, управління ІТ-ризиками, технічна обізнаність та навчання)
  • Інфраструктура управління привілеями (керування ідентифікацією, служби автентифікації, служби авторизації, управління використанням привілеїв)
  • Управління загрозами та вразливостями (тестування на відповідність, тестування на проникнення, управління вразливостями, управління загрозами)
  • Послуги захисту інфраструктури (сервер, кінцева точка, мережа, додаток)
  • Захист даних (управління життєвим циклом даних, запобігання втратам даних, захист інтелектуальної власності, криптографічні послуги)
  • Політики та стандарти (базові показники операційної безпеки, обізнаність на основі ролей, політики інформаційної безпеки, стандарти технічної безпеки, класифікація даних/активів, практика розподілу ресурсів, кореляція з нормативними актами).

Для повного уявлення про ці компоненти запрошую вас вивчити офіційну сторінку. Cloud Альянс безпеки та портал CSA, де також доступні фундаментальні принципи безпеки, якими керуються постачальники послуг cloud допомагати клієнтам послуг, що надаються, в управлінні та аналізі ризиків безпеки за допомогою таких інструментів, як  Cloud Альянс безпеки Cloud Матриця керування (ККМ).

Microsoft Cybersecurity Довідкова архітектура

Починаючи з моделі, описаної CSA, Microsoft визначено та інтегровано в пропозицію послуг cloud, принципи безпеки для гібридних корпоративних середовищ під назвою Cybersecurity Еталонна архітектура:

Cybersecurity Еталонна архітектура – ​​офіційний веб-сайт джерела Microsoft

Офіційно оголошені щорічні інвестиції Microsoft Генеральний директор Сатья Наделла, понад 1 мільярд доларів США, виділений на дослідження та розробку рішень безпеки, інтегрованих в інфраструктуру cloud послуги, дозволили розробити інноваційні рішення, представлені зображенням вище та які ми опишемо нижче. Microsoft також інвестує у стартапи, що розробляють передові рішення та продукти безпеки, такі як ізраїльська компанія Team8, та постійно розширює можливості платформ Windows та Office який інтегрує Захисник Windows та Центр безпеки Захисника Windows.

Основні аргументи продавця Microsoft за те, що обрали нас головним партнером наших клієнтів та за те, що cybersecurity є:

• тверда відданість кібербезпеці (інвестиції понад 1 мільярд щорічно, використання власних рішень безпеки, розміщених у cloud, розширюючи власні команди спеціалістів всесвітньо відомими інженерами, включаючи колишніх директорів з інформаційної безпеки)
• тристоронній підхід до безпеки: комплексна платформа, розумнийштучна трава який аналізує великі обсяги інформації, що передається через телеметричні механізми та партнерські відносини з найкращі фахівці з безпеки з усього світу
• зобов'язання Microsoft щодо безпеки: Microsoft Центр безпеки
• промоутер обміну передовим досвідом у сфері кібербезпеки (NIST, CSF, RFI, Microsoft Цикл розробки безпеки)
• взаємодія з клієнтами та навчання їх підходу та послугам Microsoft з питань кібербезпеки – Microsoft співпрацював з Відділом цифрових злочинів, Центром операцій з кіберзахисту, командою цифрових ризиків та інженерії безпеки, Cloud & Enterprise Security, Windows Security запускає Центр інформаційних технологій для керівників (EBC), який пропонує клієнтам значні переваги

Відносини з постачальниками Microsoft з клієнтами рішень cloud послуги

Клієнти рішень cloud Microsoft Зв’яжіться з нами, щоб отримати повний огляд продуктів і послуг у сфері кібербезпеки, розроблених та узгоджених на основі принципів захищати, виявляти та реагувати, зустрітися віч-на-віч з експертами та лідерами з безпеки, отримати інформацію про загрози, послуги кібербезпеки, управління ризиками та навчитися покращувати свою кібербезпеку, враховуючи Microsoft надійний радник і партнер.

Microsoft постійно сприяє захисту користувачів від кіберзагроз, використовуючи автоматизацію та штучний інтелект, вбудовані в технології, призначені для них, як для корпоративних користувачів, так і для домашнього використання чи освітніх середовищ.

Для останнього основні рекомендації полягають у тому, щоб оновлювати операційну систему Windows, використовувати функції Microsoft Безпека сім’ї для користувачів ПК з Windows, Android та Xbox, що забезпечує безпеку ваших файлів та постійний доступ до них через Onedrive, а також безпечний перегляд Інтернету за допомогою Microsoft Край і Microsoft Defender SmartScreen, створення та керування безпечними паролями довжиною щонайменше 12 символів та уникнення їх повторного використання, і, нарешті, використання платформи Microsoft Команди для освіти.

Рішення безпеки, призначені для корпоративних середовищ, базуються на інтеграції власних можливостей безпеки використовуваних платформ, на простоті та прозорості, принципах, сформульованих у наступному твердженні:

«Якщо ви ускладните безпеку, люди її обходитимуть. З Microsoft, ми отримуємо вбудовані можливості, прозорість нашого операційного середовища та простоту для всіх співробітників».

– Саймон Ходжкінсон, керівник групи інформаційної безпеки, BP

Огляд основних груп технологій безпеки та платформ, доступних на платформах Microsoft cloud, присвячений інфраструктурам державних підприємств, гібридним інфраструктурам та їхнім клієнтам, виділяє такі сімейства продуктів:

Спеціалізовані рішення та ресурси SOC (Центр операцій безпеки)

Azure Часовий - Cloud Платформа власного управління інформацією та подіями безпеки (SIEM) та оркестрації, автоматизації та реагування на безпеку, призначена як для фахівців Microsoft Експерти з питань загроз, а також команди реагування на інциденти безпеки

Microsoft Cloud Безпека додатків – що діє як Cloud Доступ до Security Broker для різних моделей розгортання додатків: збір журналів, API-конектори та зворотний проксі-сервер. MCAS відповідає за виявлення та контроль через Shadow IT (бібліотека з понад 16 000 додатків та понад 80 ідентифікованими ризиками) для захисту конфіденційної інформації будь-де в cloud, захист від аномалій та кіберзагроз і тестування відповідності додатків cloud

Azure Центр безпеки – призначений для тестування існуючого рівня безпеки на рівні інфраструктури cloud завдяки Secure Score та покращеному захисту віртуальних машин Linux та Windows, нативних програм cloud, дані та рішення IoT через споживчий план Security Center Standard, платне розширення безкоштовного базового плану

Microsoft Захисник, який пропонує розширений захист від загроз (Advanced Threat Protection – Microsoft Defender ATP), забезпечує превентивний захист, виявлення після порушення, автоматизоване розслідування та реагування

Механізми телеметрії, аудиту, реєстрації та захисту даних, включені до платформ Office 365 і Azure та інтеграція рішень сторонніх розробників через Microsoft Graph Security API доповнює список рішень SOC

Рішення та ресурси, призначені для управління клієнтами

Мобільні, некеровані та незареєстровані пристрої керуються через платформу Intune MDM/MAM та новішу платформу. Microsoft Менеджер кінцевих точок (обидва компоненти Microsoft 365, включених до Enterprise Mobility & Security), а також клієнтів, централізовано керованих у корпоративних середовищах за допомогою платформи System Center Configuration Manager.

Управління клієнтами також базується на їх зв'язку з Microsoft Defender ATP та моніторинг рівня безпеки за допомогою Secure Score, що надаватиме фахівцям з безпеки рекомендації щодо виправлення аспектів, які можна покращити.

Microsoft Розширена аналітика загроз – ATA, що спеціалізується на аналізі історичних даних, наданих рішеннями моніторингу SIEM, WTF та Windows Event Collector, з метою розпізнавання фаз атаки, визначення циклів латерального руху та домінування домену. Список атак, які може виявити ATA, включає наступне: Pass-the-Ticket (PtT), Pass-the-Hash (PtH), Overpass-the-Hash, Forged PAC (MS14-068), Golden Ticket, шкідливі реплікації, розвідка, груба сила, віддалене виконання

Microsoft Розширена аналітика загроз – джерело Microsoft документи

Windows 10 Enterprise Security є компонентом платформи Microsoft 365, розширення операційної системи Microsoft Windows 10 включає розширені механізми керування ідентифікацією та доступом, захист від загроз та захист інформації.

Не слід забувати про Windows 10 S, обмежену версію операційної системи, призначену для низькоякісних пристроїв, що використовуються на ринку освіти (шкільні ПК), спеціалізованих пристроїв (Microsoft Surface Hub та Surface Studio)

Рішення та продукти, призначені для гібридних корпоративних середовищ

Azure Центр безпеки забезпечує цим типам інфраструктур кросплатформну видимість, захист від загроз та їх виявлення, своєчасний доступ до віртуальних машин, адаптивний контроль програм та гігієну конфігурації.

Azure Брандмауер – це рішення cloud мережева служба безпеки на основі керованого типу (адмініструється постачальником), повністю брандмауер з відстеженням стану як послуга, що пропонує високу доступність та масштабованість, а також пристрої мережевої безпеки (шаблони від Azure Торгові майданчики, що дозволяють розгортати віртуальні машини, що містять спеціалізовані рішення безпеки та інтегровані в інфраструктуру cloud організації).

Azure Захист від DDoS-атак та пом'якшення їхнього впливу неявно гарантують захист від спроб перевантаження та монополізації ресурсів інфраструктури, а також отримують переваги від платного розширення, яке дозволяє передбачати критичні ситуації на основі історичних записів.

Експрес-маршрут дозволяє розширювати локальні мережі до ресурсів Microsoft cloud Azure şi Office 365, через резервні приватні з'єднання, що надаються партнерами Microsoft на регіональному рівні та доповнює технології Azure VPN-шлюз, традиційне рішення для підключення, призначене для гібридних середовищ.

через Azure Політика і Azure Blueprints керує шаблонами, організаційними стандартами, умовами виділення ресурсів та підписками. Azure, поки Azure Key Vault забезпечує централізоване керування криптографічними ключами, паролями та цифровими сертифікатами в cloud

Azure Брандмауер веб-застосунків – це компонент, призначений для захисту застосунків від вразливостей та експлойтів, інтегрований з Azure Шлюз додатків

Групи безпеки програм і мережі дозволяють фільтрувати трафік із зовнішніх та внутрішніх ресурсів cloud та організація рівнів застосунків відповідно до архітектурних потреб

Azure Резервне копіювання та відновлення сайту забезпечує захист даних, віртуальних машин та віртуальних дисків у cloud або локально, обидва варіанти для ресурсів Azure а також не-cloud

Шифрування дисків і сховищ дозволяє шифрувати диски віртуальних машин і дані, що зберігаються на них cloud

Конфіденційні обчислення призначені для захисту даних та коду додатків у cloud

Платформи Azure Монітор, Azure Сповіщення, Azure Log Analytics спочатку називався Operation Management Suite та Azure Application Insights призначений для реєстрації даних, зібраних з ресурсів, ініціювання подій та поглибленого аналізу шляхом співвіднесення джерел даних, і може бути інтегрований з іншими рішеннями безпеки.

Операційна система Windows Server 2019 Security пропонує широкий спектр вбудованих технологій безпеки, включаючи Just Enough Administration, Hyper-V Containersm Nano та Core Server.

Адміністративні операції, що виконуються для критично важливих ресурсів, можна виконувати за допомогою робочої станції привілейованого доступу (PAW) або Azure Бастіон, забезпечуючи таким чином точку підключення до інфраструктури cloud міцно закріплений.

Windows IoT, Azure IoT Безпека та Azure Sphere пропонує комплексні рішення для безпеки пристроїв Internet of Things поки IoT Hub надає організаціям шлюз даних, на який надсилаються дані з цих пристроїв

Рішення та продукти, призначені для захисту інформації та даних

Поруч із Microsoft Cloud Безпека додатків, Azure Захист інформації – AIP, захист інформації Windows – незавершений процес, раніше відомий як захист корпоративних даних, та мітки конфіденційності – це рішення. cloud класифікація та захист документів

Office 365 Запобігання втратам даних, управління даними та електронне розкриття інформації безпосередньо підтримують процес контролю за дотриманням законів та нормативних актів організації щодо доступу до даних та їх обробки.

Для PaaS-сервісів баз даних. Azure Виявлення загроз SQL, а також шифрування SQL і маскування даних – це вбудовані функції безпеки. Azure Захист інформації SQL, який можна розширити за рахунок інформації, зібраної Microsoft Захистіть ATP

Platforma Microsoft 365 надає користувачам Office 365 Compliance Manager, який дозволяє, на основі запуску попередньо визначених шаблонних тестів, визначити рівень відповідності найвідомішим стандартам безпеки, до чого додаються звіти та механізми архівування.

Компоненти менеджера відповідності – джерело Microsoft документи

Особлива увага приділяється Microsoft чинне законодавство шляхом інтеграції розділу в платформу безпеки Office 365 Захист інформації для GDPR.

Рішення та продукти для ідентифікації та доступу

Платформи cloud Microsoft Azure şi Microsoft 365 базується на Azure Active Directory, універсальна платформа для керування ідентифікацією та безпеки, доповнена такими сервісами:

• Azure Захист ідентифікації AD – дозволяє автоматизовано виявляти та усувати ризики, досліджувати їх на основі даних та експортувати їх до сторонніх рішень, що спеціалізуються на аналізі.
• Azure Керування привілейованими ідентифікаторами AD – служба PIM Azure AD, присвячений управлінню, контролю та моніторингу доступу до найважливіших ресурсів cloud
• Розширення безпеки багатофакторної автентифікації в процесі автентифікації, що включає два або більше методів автентифікації
• Azure AD B2B – співпраця між підприємствами
• Azure AD B2C – управління доступом до додатків для бізнесу та споживачів

Сервіси Hello for Business дозволяють замінювати паролі механізмами двофакторної автентифікації, Microsoft Керування ідентифікацією – MIM та керування привілейованим доступом доповнюють служби ідентифікації додатковими механізмами інтеграції та контролю.

Цей список, безумовно, буде постійно доповнюватися та вдосконалюватися Microsoft, зберігаючи при цьому еталонну архітектурну модель та принципи проектування CSA, згадані вище.

Для глибокого розуміння кожної з вищезгаданих технологій та продуктів доступні дві спеціалізації: cloud один для платформи Microsoft Azure а інший для платформи Microsoft 365. Обидві спеціалізації супроводжуються спеціальними курсами, описаними на цих офіційних сторінках:

• Microsoft Сертифікований Azure Інженер з безпеки, що співпрацює з курсом АЗ-500 – Microsoft Azure Технології безпеки тривалістю 4 дні

джерело Microsoft документи

• Microsoft 365 Сертифікований спеціаліст з курсу адміністратора безпеки MS-500 – Microsoft Адміністрування безпеки тривалістю 4 дні

джерело Microsoft документи

Для повного уявлення про структуру курсів та сертифікацій, присвячених безпеці платформи cloud Microsoft Azure şi Microsoft 365 запрошуємо вас вивчити структуру офіційних курсів Microsoft на офіційному порталі Microsoft Навчання та сертифікація та на порталі Bittnet Training.

Старший Microsoft Сертифікований тренер
Microsoft Навчальний консультант 2010-2024
Архітектор з навчання клієнтів
Cloud Рішення і Cybersecurity Архітектор