Netöryggismál hafa verið ofarlega í umræðunni síðustu vikur vegna Log4j veikleikans sem uppgötvaðist fyrir skemmstu. Þessi veikleiki hefur haft mikil áhrif á tölvuheiminn og afleiðingar hans örugglega ekki allar komnar fram enn.

En veikleikar sem þessir eru ekki nýir af nálinni og þeir munu koma fram fleiri, jafn örugglega og að eftir bjartan daginn kemur nótt.

Hér verður fjallað um öryggismál í Microsoft Azure, nánar tiltekið fjölmargar sérhæfðar þjónustur sem þar eru í boði sem ætlað er að auka öryggi í rekstri skýjalausna. 

Margar af öryggislausnum Microsoft byggja ofan á snjallgreiningu netógna hjá Microsoft, þar sem milljarðar merkja eru greind til að meta heilsu eigin öryggisvistkerfis. Þar sækir Microsoft í stöðugan straum gagna sem flæðir gegnum Azure, Microsoft 365 og Xbox m.a.

Þetta er klassískt dæmi um hvernig hið gríðarlega magn gagna sem streymir til skýjarisanna hjálpar þeim, og þar með okkur, við að verjast hverjum þeim óværum sem geta sprottið upp.

Grunnöryggi tryggt 

Microsoft Sentinel (Security Information and event management)

Microsoft Sentinel (SIEM, Security Information Event Management) er rétta öryggistólið þegar þú þarft að safna saman öryggisupplýsingum úr óteljandi áttum. Þar er þeim safnað saman á miðlægan stað til viðbragðs og greiningar.

Þessi lausn er fljótleg í uppsetningu og auðveldlega hægt að tengja við Azure Active Directory sem og fjölmargar aðrar þjónustur í Azure. Þannig tekur hún saman ýmis gögn eins og breytingar, innskráningar og fleira, og lærir þannig á högun umhverfisins.  

Enn fremur býður hún upp á einfalda samþættingu við fjölmarga aðra framleiðendur og getur þannig meðal annars sótt gögn um öryggisstöðu rekstursins af staðarnetinu eða úr öðrum skýjasvæðum. 

Niðurstöður og greiningar er svo hægt að senda í báðar áttir milli hennar og Microsoft Defender for Cloud (sjá fyrir neðan) sem gerir viðvart ef árás er skynjuð. 

Microsoft Defender for Cloud

Microsoft Defender for Cloud (áður „Azure Security Center“ og „Azure Defender“) er margþætt lausn sem aðstoðar við að greina veika bletti í öryggisuppsetningu skýjasvæðisins. 

Allt frá stofnun skýjasvæðisins býður „Defender“ tillögur og heldur utan um stöðu á ókláruðum öryggisatriðum sem krefjast úrlausnar þér að kostnaðarlausu. Samhliða því býður lausnin upp á viðbótarþjónustu sem felur í sér herðingu og vöktun á nokkrum lykilþjónustum í rekstrarumhverfinu.

Hægt er að virkja vöktunina að hluta með lágmarkstilkostnaði fyrir meðalstór skýjasvæði með því að virkja vöktun á eftirfarandi þjónustum: 

ARM (Azure Resource Manager) 

Aðgerðir framkvæmdar gagnvart ARM fela öllu jafna í sér stofnun/breytingu/eyðingu á þjónustum í skýjasvæðinu. Eðli málsins samkvæmt er mikilvægt að vakta þær hreyfingar og fylgjast með hvort eitthvað óeðlilegt eigi sér stað. 

Key Vaults 

Þessar þjónustur geyma jafnan viðkvæmar upplýsingar sem full ástæða er til að fylgjast vel með. Lykilorð, gagnagrunnstengistrengir og skilríki eru þar meðal annars. 

DNS  

Hægt er að fylgjast með DNS uppflettingum sem framkvæmdar eru frá sýndarvélum í skýjasvæðinu og/eða þjónum á staðarnetinu sem virktir hafa verið með Azure ARC 

Azure Active Directory Security Defaults 

Azure svæði hafa frá því 22. október 2019 verið stillt frá stofnun með kvaðir um tvíþáttaskráningu hjá öllum notendum og tvíþáttaauðkenningu fyrir stjórnendur sem framkvæma varðar aðgerðir. 

Eldri svæði sem ætla sér ekki að nota „Conditional Access“ geta einnig virkjað þessar stillingar á sínu svæði og fengið þannig kröftuga vörn sér að kostnaðarlausu. 

Næstu stig öryggis

Microsoft Defender for Cloud virkjað að fullu

Hér stígum við næsta skref í hertu öryggi og virkjum að fullu Microsoft Defender for Cloud. 

Þessi vörn snýr að vefþjónustum, sýndarvélum, containerum og fleiru.

Nú er komin á vörn sem hægt er að líkja við IDS (óværur og árásir eru ekki stöðvaðar, en eru greindar og varað við þeim svo hægt sé að beita viðeigandi ráðstöfunum).

Vörn fyrir gagnabanka (storage accounts) 

Óeðlileg notkun eins og niðurhal af óæskilegum toga eða upphal á grunsamlegum skrám. 

Vörn fyrir  gagnagrunna  

Fylgist með „sql injection“ árásum, tilraunum til innskráninga og misnotkun á aðgangsheimildum. Aðstoðar einnig við að skrá „security baseline“ og stuðlar að reglulegri yfirferð þess. 

Hlýtni við Microsoft best-practices - eitt sameinað Log Analytics Workspace 

Þetta eykur kostnaðinn við Microsoft Sentinel lausnina en til að tryggja að hún sjái öll þau gögn sem gagnast henni við greiningu er þetta einfaldasta lausnin og jafnframt sú sem Microsoft mælir með. 

Azure eldveggurinn

Azure Firewall er ætlað að beina umferð inn og út úr skýjasvæðinu og verja samskipti á lagi 3 og 4 sem IPS eða IDS. 

Web Application Firewall 

Eldveggurinn kemur hins vegar ekki í stað varnar á efri lögum fyrir vefþjónustur en þær er mikilvægt að tryggja frekar með „Front Door WAF“ eða „Application Layer Gateway WAF“ eftir því hvernig vefþjónarnir eru uppsettir.

Aðgangsstýringar - Identity Governance og PIM

Azure AD Access Reviews aðstoðar við utanumhald aðgangsstýringa. Auðvelt getur verið fyrir stærri fyrirtæki að missa stjórn á hverjir hafa hvaða aðgang og hvort þeir þurfi ennþá á honum að halda. 

Þá er klassískt að gefa hópi verktaka aðgang til að klára tiltekið verkefni en gleyma síðan að fjarlægja hann þegar málið hefur verið afgreitt. Access Reviews aðstoðar við að framkvæma úttektir á aðgangsstýringu í félaginu, tryggja að aðeins þeir sem þurfa á aðgangi að halda hafi hann og takmarka þannig of ítarlegar heimildir eins og hægt er. 

Með PIM (Privileged Identity Management - 365 E5 Security viðbót) er hægt að lágmarka aðgang notenda sem reglu. Þá kalla notendur eftir auknum heimildum aðeins á því augnabliki sem þeir þurfa á honum að halda, með kvöð um tvíþáttaauðkenningu á því augnabliki eða jafnvel staðfestingu á að aðgangsins sé þörf frá öðrum notanda með þá heimild. 

Þannig getur aðgangsheimildum svipað mjög til fyrirkomulagsins sem byrjaði í Windows Vista (UAC) eða sudo Linux megin, þ.e. aðgangur er takmarkaður þangað til hans gerist þörf. 

Verndun auðkennis (e. identity protection)

Azure Active Directory Identity Protection (365 E5 / Security viðbót) fylgist með innskráningum og aðgerðum hjá notendum í þínu umhverfi og tekur ákvarðanir um óvirkingu eða gerir viðvart vegna varhugaverðra aðgerða (t.d. vegna innskráningar frá óþekktri vél / nýju landi, óeðlilegra skipana eða fyrirspurna gagnvart viðkvæmum þjónustum). 

Einnig býður lausnin upp á frekari samþættingu Azure Active Directory og Microsoft Sentinel. 

CAE (Continuous access evaluation) er nýleg þjónusta sem fellur undir sama hatt.  

Auðkenningartókar í núverandi öryggislandslagi eru gjarnan gefnir út með líftíma sem talinn er í mínútum eða klukkustundum. Ef öryggisatvik koma upp er lykilatriði að brugðist sé samstundis við - það er ekki í boði að bíða þar til líftími stolins aðgangstóka rennur upp.  

Þar sér CAE til þess að gera lykilþjónustum í Azure viðvart þegar aðgangur er dæmdur ótryggur og lokar honum þannig samstundis 

Frekari ráð 

Fyrir utan hinn augljósa ávinning af því að vinna úr tillögum frá Microsoft Defender um bætt öryggisatriði þá getur verið skynsamlegt að skrá með viðeigandi hætti þau atriði sem ekki eiga við. 

Ef borðinu er haldið nokkuð hreinu verður auðveldara að fylgjast með nýjum eiginleikum og öryggislausnum í þeirri öru þróun sem á sér stað í skýjaumhverfum í dag. Reglulegt innlit getur þá tryggt að öllu sé stillt upp á sem bestan máta. 

Defender for Cloud getur einnig aðstoðað við að uppfylla algenga staðla eins og ISO 27001 og PCI DSS 3.2.1 .

Hún inniheldur yfirlitsborð sem telur upp óafgreidd atriði sem uppfylla þarf og þannig er hægt að nýta hann við skipulag og utanumhald á því flókna ferli sem fullgild vottun felur jafnan í sér. 

Samantekt

Microsoft Azure býður notendum fjölmargar lausnir til að auka öryggi í skýjaumhverfi sínu.

Tvær kjarnaþjónusturnar, „Microsoft Sentinel“ og „Defender for Cloud“ mynda sterkan grunn til að byggja á og fyrir félög sem vilja halda öryggiskostnaði í lágmarki er hægt að byrja ódýrt og byggja síðar ofan á. 

Lestu áfram um öryggi í Azure: 

Azure infrastructure physical security 

https://docs.microsoft.com/en-us/azure/security/  

https://docs.microsoft.com/en-us/azure/security/fundamentals/services-technologies 

https://www.welladvised.is/skyjabloggid/eru-goegnin-oerugglega-oerugg-i-skyinu/