TECH Talk: Le migliori pratiche di sicurezza per i carichi di lavoro IaaS in Azure

Autore: Stefan Gajic, responsabile del settore Cloud e Infrastrutture del gruppo P3, MCT a Semos Education

 

In questo blog, tratteremo le migliori pratiche di sicurezza più importanti per proteggere i vostri IaaS. Questo sarà un teaser per coloro che non hanno familiarità con questi metodi per iniziare a pensare e ad apprendere sulla sicurezza in Azure, e per quelli di voi che stanno già implementando alcune di queste caratteristiche di sicurezza promemoria per continuare a farlo o anche per prestare maggiore attenzione alla sicurezza degli IaaS.

Ricordate, la sicurezza Azure è una responsabilità condivisa e noi siamo responsabili di come l'infrastruttura sarà protetta. Non permettete che gli incidenti siano l'inizio di un riordino della sicurezza, ma è meglio essere proattivi e tenere sempre presente che siete responsabili della sicurezza dei carichi di lavoro in Azure.

Ecco gli argomenti che tratteremo, e queste buone pratiche sono già scritte nella Microsoft documentazione ufficiale, tuttavia, sono stato libero di condirle con la mia esperienza:

  1. Pianificazione e implementazione delle Macchine Virtuali
  2. Proteggere le macchine virtuali con il controllo accessi (IAM)
  3. Protezione degli endpoint per macchine virtuali
  4. Disponibilità delle macchine virtuali
  5. Aggiornamenti VM - patch di sicurezza
  6. Crittografare i dischi rigidi
  7. Sicurezza di rete per VM
  8. Accesso VM just in time
  9. Monitoraggio della vostra infrastruttura

Pianificazione e implementazione delle Macchine Virtual
i
Quando si tratta di pianificare ci sono molte cose considerate di buon senso e, secondo la mia esperienza pratica, la maggior parte delle cose che "vanno a vuoto" sono il luogo dove le cose andranno a rotoli. Per questo mi piace sempre iniziare un progetto con una pianificazione adeguata, o come direbbe il mio ex capo: "Fare qualcosa senza pianificazione equivale a non farla". Per analizzare e parlare con le persone, potresti lavorare in IT o nel team di DevOps che si occuperà di assegnare l'accesso all'IaaS ad altri o potresti essere richiesto o, non importa, chiedere sempre sessioni di pianificazione - la domanda è: perché? Beh, le persone a volte chiedono risorse in cloud che non sono necessariamente necessarie e, nella maggior parte dei casi, non prestano molta attenzione alla sicurezza. La sicurezza è una RESPONSABILITÀ CONDIVISA tra il fornitore di cloud, in questo caso, Microsoft e voi come cliente:

Pianificazione e implementazione di macchine virtuali

Una volta che avete chiarito tutto con i vostri clienti, colleghi o con chiunque stiate lavorando, documentatelo (non andate in pigrizia e lasciatelo per dopo), inviatelo come piano di mini-progetto al vostro team, e come best practice, in questo caso, fate la vostra documentazione con le pratiche che volete implementare - naturalmente, potete avere i Blueprint e le politiche in vigore, e se il vostro ambiente è a questo livello, pollice in su, comunque di solito i reparti IT non avranno molto tempo per configurare tutti questi, quindi preparatevi con i documenti "best practice". 


Durante l'utilizzo della pianificazione, il Azure calcolatore e l'impostazione di avvisi di budget per la vostra infrastruttura almeno per evitare rischi finanziari con sono sotto l'ambito della sicurezza. 

 

Proteggere le macchine virtuali con il controllo accessi (IAM)

La prima cosa che volete sapere durante le sessioni di pianificazione è cosa è necessario per il team o per la persona che userà l'IaaS - usate sempre l'approccio meno privilegiato - in modo da dare loro esattamente ciò di cui hanno bisogno, se ne hanno bisogno di più sarete voi ad approvarlo, e se non si lamentano, beh, siete pronti ad andare e siete al sicuro. Ci sono alcuni ruoli diversi che potete utilizzare. Seguite il link ufficialeMicrosoft per verificare quale si adatta meglio alle vostre esigenze.

 

Protezione degli endpoint per macchine virtuali

Una volta che avete implementato l'infrastruttura o la macchina virtuale, allora è il momento di pensare alla protezione degli endpoint. Come per il vostro laptop personale, volete essere al sicuro, giusto? Allora come mai alcuni si dimenticano di impostare un endpoint sulle macchine virtuali?


Si dovrebbe installare una protezione antimalware per aiutare a identificare e rimuovere virus, spyware e altri software dannosi. È possibile installare
Microsoft Antimalware o la soluzione di protezione degli endpoint di un Microsoft partner (Trend Micro, Broadcom, McAfee, Windows Defendere Protezione degli endpoint del centro del sistema). Microsoft sta spendendo 1 miliardo all'anno per la sicurezza - perché non usarlo, è come se fosse denaro gratuito che può salvare i vostri infra?

Protezione degli endpoint per macchine virtuali

Disponibilità delle macchine virtuali

Quando si tratta di disponibilità i numeri garantiti per SLA (Service Level Agreement) sono davvero buoni, ma la vostra VM può scendere se c'è qualche problema o finestra di manutenzione Si vuole evitare questo il meglio possibile.


Queste due pratiche vi aiuteranno:
Set di disponibilità e Zona di disponibilità

Se non avete ancora familiarità con l'utilizzo di queste grandi caratteristiche vi consiglio vivamente di trovarle nei Microsoft documenti e di iniziare ad utilizzarle per le risorse più importanti del vostro ambiente.

Disponibilità delle macchine virtuali

Aggiornamenti VM - patch di sicurezza

  • Azure Le VM, come tutte le VM on-premise, sono destinate ad essere gestite dall'utente. Azure non spinge gli aggiornamenti di Windows ad esse. È necessario gestire gli aggiornamenti delle VM.
  • Mantenete aggiornate le vostre macchine virtuali. 
  • Se utilizzate Windows Update, lasciate attivata l'impostazione automatica di Windows Update. Assicuratevi al momento della distribuzione che le immagini che avete costruito includano l'ultimo ciclo di Windows Update.
  • Ridistribuite periodicamente le vostre VM per forzare una nuova versione del sistema operativo.
  • Definisci la tua VM con un Azure Modello di gestione delle risorse in modo da poterlo riposizionare facilmente. L'utilizzo di un modello vi dà una VM patchata e sicura quando ne avete bisogno.
  • Applicare rapidamente gli aggiornamenti di sicurezza alle macchine virtuali.
  • Azure Centro di sicurezza (livello libero o livello standard) per identificare gli aggiornamenti di sicurezza mancanti e applicarli.
  • Installare gli ultimi aggiornamenti di sicurezza.
  • Implementare e testare una soluzione di backup.

Un backup deve essere gestito nello stesso modo in cui si gestisce qualsiasi altra operazione. Questo vale per i sistemi che fanno parte del vostro ambiente di produzione che si estende al cloud.

 

Crittografare i dischi rigidi

  • Si consiglia vivamente di crittografare i dischi rigidi virtuali (VHD) per proteggere il volume di avvio e i volumi di dati a riposo in memoria, insieme alle chiavi di crittografia e ai segreti. Azure La crittografia dei dischi utilizza lo standard industriale BitLocker caratteristica di Windows e del DM-Crypt caratteristica di Linux per fornire la crittografia del volume per il sistema operativo e i dischi dati.
  • Utilizzare una chiave di cifratura a chiave (KEK) per un ulteriore livello di sicurezza per le chiavi di cifratura. Aggiungete una KEK al vostro caveau a chiave.
  • Prendere un istantanea e/o il backup prima che i dischi siano criptati. I backup forniscono un'opzione di ripristino se si verifica un errore imprevisto durante la crittografia.
  • Per assicurarsi che i segreti della crittografia non superino i confini regionali, la Azure Disk Encryption ha bisogno che il caveau delle chiavi e le macchine virtuali si trovino nella stessa regione.

Sicurezza di rete per VM

  • Identificare e rimediare alle VM esposte che consentono l'accesso da "qualsiasi" indirizzo IP di origine.
  • Configurare NSG - Gruppi di sicurezza di rete. 
  • Per impostazione predefinita, ogni VM ha aperto porte RDP e SSH da qualsiasi posizione. Questo, con un indirizzo IP pubblico assegnato alla VM, è una chiamata per gli hacker, in quanto ogni indirizzo IP pubblico viene scansionato e gli aggressori possono, o direi addirittura lo attaccheranno se lo si lascia così.
  • Entra nei dettagli e costruisci il tuo NSG in modo che solo gli utenti di determinati indirizzi IP possano accedere alla tua VM.
  • Prendete un server altamente confidenziale dove sono memorizzati i dati degli utenti. Come lo proteggeresti? Prendete in considerazione l'utilizzo di server di salto. Si tratta di macchine virtuali, non collegate a un dominio, dalle quali è possibile accedere ad altre macchine virtuali nel vostro ambiente. 
Sicurezza di rete per VM

Accesso VM just in time (JIT
)
Limitare le porte di gestione (RDP, SSH). Dettaglio: L'accesso alle VM just-in-time (JIT) può essere utilizzato per bloccare il traffico in entrata alle Azure VM, riducendo l'esposizione agli attacchi e fornendo al contempo un facile accesso per connettersi alle VM quando necessario. Quando il JIT è abilitato, il Security Center blocca il traffico in entrata alle vostre Azure VM creando una regola di sicurezza di gruppo della rete. Si selezionano le porte della VM verso le quali verrà bloccato il traffico in entrata. Queste porte sono controllate dalla soluzione JIT.

Leggete i potenziali scenari di attacco che vi possono capitare e poi implementerete rapidamente la JIT 😊.

Accesso VM

Monitoraggio della vostra infrastruttura

Azure Security Center è un sistema unificato di gestione della sicurezza dell'infrastruttura che rafforza la postura di sicurezza dei vostri data center e fornisce una protezione avanzata dalle minacce attraverso i vostri carichi di lavoro ibridi in-the-cloud, sia che si trovino Azure o meno, sia che si trovino in sede. Si raccomanda l'utilizzo di Azure Monitorare per ottenere visibilità sulla salute della vostra risorsa. Azure Funzioni di monitoraggio:

Le organizzazioni che non monitorano le prestazioni della macchina virtuale non sono in grado di determinare se determinati cambiamenti nei modelli di prestazione sono normali o anormali. Una VM che sta consumando più risorse del normale potrebbe indicare un attacco da una risorsa esterna o un processo compromesso in esecuzione nella VM.

Monitoraggio della vostra infrastruttura

Grazie per aver letto questo blog.

Maggiori dettagli e riferimenti vedi su questo link

Migliori pratiche di sicurezza per i carichi di lavoro IaaS in Azure
Menu