Hero Banner

Azure - älykäs pilvi ja reuna

Infra, modernit sovellukset, IoT-, Edge-, DevOps-, Data&AI.

Reply
JoniL
Microsoft

Microsoft Defender Cloud – Tehokasta suojausta kaikkialla!

Tämä artikkeli on osa laajempaa tietoturvasarjaa, josta on ilmestynyt jo seuraavat artikkelit:

Azuresta tärkeää lisäsuojaa verkkopalveluille

 

Sota aktivoi hyökkäykset ja haitat
Microsoftin uhkatietoa keräävä yksikkö MSTIC (Microsoft Threat Intelligence Center) on havainnut kevään 2022 aikana erityisesti ukrainalaisiin organisaatioihin kohdennettuja, haittaohjelmia hyödyntäviä kampanjoita. Erilaisia havaittuja hyökkäyksiä on kuvattu laajemmin teknisestä näkökulmasta tässä blogikirjoituksessa.

Hybridisota Ukrainassa – Katsaus sodan tapahtumiin ja suosituksia suomalaisille organisaatioille  

 

Haittaohjelmat ovat olleet tyypillisesti esimerkiksi sähköpostin liitetiedostojen kautta levitettäviä, ja ne pyrkivät aiheuttamaan vahinkoa tyhjentämällä tai lukitsemalla päätelaitteesta kriittisiä tiedostoja. Vaikka kaikkia uusia uhkia vastaan on hankala suojautua, jokaisen organisaation on kyettävä huolehtimaan tietoturvan perustasosta, kuten vahvasta loppukäyttäjän tunnistamisesta, riittävän hyvästä suojauksesta haittaohjelmia vastaan, sekä kyvykkyyksistä valvoa koko infrastruktuuria. Tämä on tärkeää liiketoiminnan jatkuvuuden kannalta. Tässä blogikirjoituksessa kuvataan moni- ja hybridipilviympäristön infrastruktuurin suojaaminen.

 

Microsoft Defender For Cloud -palvelut
Azure tarjoaa useita suojauspalveluita tietoturvatason parantamiseen ja ylläpitämiseen. Defender for Cloud on Cloud Security Posture Management (CSPM) ja Cloud Workload Protection Platform (CWPP) -ratkaisu. Maksuton CSPM on kyvykkyys, jonka avulla voidaan helposti esimerkiksi seurata ja ylläpitää hyviä tietoturva-asetuksia. Sen avulla varmistetaan esimerkiksi, että palveluissa käytetään vain turvallisia protokollia, varmistetaan että salaus on käytössä ja että ylläpitotunnukset ovat suojattuna. CWP-kyvykkyyden avulla Defender for Cloud seuraa palveluiden tapahtumia sekä lokitietoa, ja etsii näistä haavoittuvuuksia, hakkerointeja ja haittaohjelmia. Tavallisista tapahtumista poikkeavista asioista voidaan tehdä hälytykset, jotta niihin pystytään reagoimaan nopeasti. Azure portaalista Defender for Cloud:n sivulta löytyy myös selkeä ”security score”, jonka avulla voidaan helposti seurata useita, jopa satojen Azure-tilausten yleistä tietoturvatasoa.

JoniL_0-1652768271731.png

 

Defender for Cloud -palvelut voidaan jakaa kolmeen alueeseen: Compute, Service layer ja Data. Computen alla on perinteiset virtuaalipalvelimet, virtuaalipalvelinklusterit, app service ja kubernetes. Service layer pitää sisällään Azuren hallintakerroksen sekä jaettujen palveluiden suojauksen, kuten nimipalvelun, key vaultin, virtuaaliverkon ja Azuren hallintajärjestelmän (ARM) suojauksen. Data-suojauspalvelut tarjoavat suojauksen storage accountille ja tietokantapalveluille (mariadb, AzureSQL, mysql, postgresql, cosmosdb).

 

Defender for Servers
Defender for Servers -palvelulla voidaan suojata virtuaalikonetta monipuolisesti. Virtuaalipalvelimen hallintakerroksella voidaan suojata etähallintaa (just-in-time VM access), konfiguroida automaattiset palomuurisäännöt (adaptive network harderning). Käyttöjärjestelmän sisäpuolella suojaukseen kuuluvat: haavoittuvuuksien arviointi (vulnerability assessment), sallittujen sovelluksien ”white-listaus” (adaptive application contro), automaattinen tiedostojen ja rekisterien valvonta muutoksilta (File integrity Monitoring), perinteinen antivirus-skannaus (defender for endpoint), suojaus haittaohjelmia vastaan, jotka eivät kirjoita tiedostojärjestelmään (Fileless Attack Detection) ja koneoppimiseen perustuva Linux-järjestelmien auditd-suojaus. (Linux auditd ML)

Defender for Servers voidaan hankkia kahtena eri versiona: P1 ja P2. Näistä P2 sopii hyvin tuotantopalvelimille Azuressa ja P1 kaikkiin muihin palvelimiin. P2 sisältää huomattavasti kattavammat kyvykkyydet havaita palvelimiin kohdistuvia uhkia, joten kriittisemmillä työkuormilla P2:n käyttö on suositeltavaa.

JoniL_1-1652768325824.png

 

Azure Arc
Azure Arc -tuoteperhe on kokoelma suhteellisen uusia palveluita Azuressa. Näiden palveluiden tarkoituksena on ”venyttää” Azuren hallintaominaisuuksia minne tahansa. Arc pitää sisällään virtuaalikoneiden hallintaa (Arc for Server), kubernetes-hallintaa (Arc for Kubernetes) ja datapalveluita (Arc for Data).
Arc for Server -avulla voidaan liittää virtuaalipalvelin osaksi Azuren hallitaa. Sillä voi nähdä mitä koneita organisaatiolla on ja provisioida Azure-palveluita virtuaalikoneille, kuten valvonta (Vm Insight), Defender for Cloud, automaation suorittaminen (Azure Automation Hybrid Runbook Worker) logien keräys, varmenteiden hallinta Azuren kautta (Azure Key Vault Certificate Sync).

Connect Azure Arc-enabled servers to Microsoft Defender for Cloud 


Lyhyesti sanottuna Arc:n avulla voidaan omassa konelissa olevia palvelimia hallita lähes samalla tavalla kuin Azure-virtuaalikoneita. Esimerkiksi palvelimet näkyvät samalla tavalla Defender for Cloudin Security Score -sivulla ja samoja integraatioita voidaan käyttää SOC- ja ITSM-prosesseihin.

 

JoniL_2-1652768366233.png

 

Azure Arc for Server ja Defender-käyttöönotto
Azure Arc for Server -palvelun käyttöönotto on suoraviivaista. Arc tarvitsee vain vähän valmisteluja. Ensin rekisteröidään Arc:n tarvitsemat ”resource providerit” (The Microsoft.HybridCompute, Microsoft.GuestConfiguration, Microsoft.HybridConnectivity).
Log analytics workspace-palvelu tarvitaan myös, jos sellaista ei ole jo valmiina. Log Analytics Workspace on työtila, jonne tallennetaan loki- ja telemetriatietoja palveluista. ). Lopuksi vielä konfiguroidaan oikea Defender for Server SKU “Microsoft Defender for Cloud | Environment settings” -> Defender Plans kohdasta.

 

JoniL_3-1652768405084.png

 

Lopuksi luodaan Arc-resursseille resource group. Ja Azure-portaalin Arc-palvelussa voidaan helposti luoda yksittäisen tai useamman koneen Arc-liitosskripti.

 

JoniL_4-1652768445703.png

 

Tämän jälkeen ”hypätään” on-prem-puolelle ja suoritetaan agentin asennus liittäminen osaksi Azure-palveluita palvelimen sisällä, ajamalla aikaisemmin luotu skripti. Kun agentti on asentunut ja registeröitynyt Azureen syntyy resurssiryhmään ”Server – Azure Arc”-resurssi.
Defender for Serversin vaatiman agentin asentaminen Azure Arc -palvelimille onnistuu helpoiten Azure Policyn avulla, jolla voidaan asentaa agentti esimerkiksi koko tilauksen tai Resource Groupin laajuudessa kaikille virtuaalikoneille. Azure Policystä löytyy ”Deploy Microsoft Defender for Endpoint agent” -niminen Initiative (joukko yksittäisiä Policyjä), joka otetaan käyttöön halutussa laajuudessa. Kyseinen Initiative sisältää eri Policyt agentin asentamiseksi Linux- ja Windows -palvelimille, sekä Arc että Azure -palvelimille.

 

Analytics extension on Azure Arc enabled Windows servers

JoniL_5-1652768494295.png

 

Agentin käyttöönotto onnistuu myös manuaalisesti, mikäli se halutaan ottaa käyttöön vain yksittäisellä virtuaalikoneella. Defender for Cloudin Inventory listaa kaikki Azure-resurssit sekä Azure Arc -resurssit. Azure Arcin kautta tuoduille palvelimille, joihin ei ole laitettu Defender for Endpoint -agenttia, tulee suositus ”Endpoint protection should be installed on machines”. Fix-napin avulla agentti saadaan asennettua valituille koneille.

JoniL_6-1652768524542.png

 

Mitä seuraavaksi?
Defender for Cloudin avulla voidaan nostaa hälytyksiä pilvi-infrastruktuurista ja PaaS-palveluista. Koko organisaation tietoturvavalvonnan kannalta on suositeltavaa muodostaa kokonaisnäkyvyys eri tietolähteiden perusteella, kuten on-prem ja pilvi-infrastruktuuri, päätelaitteet sekä loppukäyttäjien käyttämät palvelut (kuten esimerkiksi sähköposti, Teams jne). Tämä onnistuu parhaiten viemällä hälytykset tai lokitiedostot keskitettyyn SIEM-järjestelmään (Security Information and Event Management). Eri tietolähteistä tulevia signaaleja voidaan korreloida keskenään, jolloin saadaan kokonaisnäkyvyys ja voidaan havaita monivaiheisia hyökkäyksiä. Kun havaitaan vakavia tietoturvatapahtumia, niihin tulee pystyä reagoimaan nopeasti. Microsoftin pilvinatiivi SIEM -järjestelmä Sentinel sisältää myös SOAR-kyvykkyydet (Security Orchestration and Automated Response), joiden avulla voidaan tehdä automaattisia toimenpiteitä, kuten rikastaa tietoa tapahtumaketjujen tutkinnan helpottamiseksi. Connect Microsoft Defender for Cloud alerts to Microsoft Sentinel 

JoniL_7-1652768556623.png

 

Ilkka Hyvönen Security CSA @ Microsoft

Joni Leskinen Sr. CSA @ Microsoft

 

Tämä artikkeli on osa laajempaa tietoturvasarjaa, josta on ilmestynyt jo seuraavat artikkelit:

Azuresta tärkeää lisäsuojaa verkkopalveluille

 

0 REPLIES 0