Autor: Stefan Gajic, Cloud and Infrastructure Lead w Grupie P3, MCT w Semos Education

Na tym blogu opiszemy najważniejsze najlepsze praktyki w zakresie bezpieczeństwa, aby chronić swój IaaS. Będzie to teaser dla tych, którzy nie są zaznajomieni z tymi metodami, aby zacząć myśleć i uczyć się o bezpieczeństwie w Azure, a dla tych z Państwa, którzy już wdrażają niektóre z tych zabezpieczeń przypomnienia, aby nadal to robić lub nawet zwrócić większą uwagę na bezpieczeństwo IaaS.

Pamiętaj, że bezpieczeństwo Azure to wspólna odpowiedzialność, a my jesteśmy odpowiedzialni za sposób, w jaki infrastruktura będzie chroniona. Nie pozwól, aby incydenty były inicjatorami porządkowania bezpieczeństwa, ale lepiej być proaktywnym i zawsze mieć na uwadze, że jesteś odpowiedzialny za bezpieczeństwo pracy w Azure.

Oto tematy, które zamierzamy poruszyć, a te najlepsze praktyki są już zapisane w oficjalnej Microsoft dokumentacji, jednak mogłem je przyprawić swoim doświadczeniem:

1. Planowanie i wdrażanie maszyn wirtualnych
2. Ochrona maszyn wirtualnych za pomocą kontroli dostępu (IAM)
3. Ochrona punktów końcowych dla maszyn wirtualnych
4. Dostępność maszyn wirtualnych
5. Aktualizacje maszyn wirtualnych - łatanie zabezpieczeń
6. Szyfrowanie dysków twardych
7. Bezpieczeństwo sieciowe dla maszyn wirtualnych
8. W samą porę dostęp do maszyny wirtualnej
9. Monitorowanie infrastruktury

Planowanie i wdrażanie maszyn wirtualnyc
h Jeśli chodzi o planowanie, jest wiele rzeczy uznawanych za zdrowy rozsądek i z mojego praktycznego doświadczenia wynika, że większość rzeczy, które "idą bez słowa" to miejsce, w którym rzeczy się rozpadną. Dlatego zawsze lubię zaczynać projekt od właściwego planowania, albo jak mój były szef powiedziałby: "Robienie czegoś bez planowania jest równoznaczne z nie robieniem tego". Aby analizować i rozmawiać z ludźmi, możesz pracować w zespole IT ops lub DevOps, który będzie odpowiedzialny za przydzielanie dostępu do IaaS innym lub możesz być żądający, nie ma znaczenia, zawsze pytać o sesje planistyczne - pytanie brzmi dlaczego? Cóż, ludzie czasami proszą o zasoby w chmurze, które niekoniecznie są potrzebne, a w większości przypadków nie będą zwracać dużej uwagi na bezpieczeństwo. Bezpieczeństwo to UDZIELONA ODPOWIEDZIALNOŚĆ między dostawcą chmury, w tym przypadku, Microsoft a Państwem jako klientem:

Kiedy już wszystko sprzątniesz ze swoimi klientami, współpracownikami lub kimkolwiek, z kim pracujesz, udokumentuj to (nie leniuchuj i zostaw to na później), wyślij to jako mini-projekt do swojego zespołu, a jako najlepszą praktykę, w tym przypadku stwórz dokumentację z praktykami, które chcesz wdrożyć - oczywiście, możesz mieć przygotowane plany i polityki, a jeśli twoje środowisko jest na tym poziomie, kciukiem w górę, jednak zazwyczaj działy IT nie mają dużo czasu na konfigurowanie tych wszystkich, więc przygotuj się z dokumentami "najlepszych praktyk". 

Podczas planowania użytkowania, Azure Kalkulator i konfiguracja alarmów budżetowych dla Twojej infrastruktury przynajmniej w celu uniknięcia ryzyka finansowego z są w zakresie bezpieczeństwa. 

Ochrona maszyn wirtualnych za pomocą kontroli dostępu (IAM)

Pierwszą rzeczą, którą chcesz wiedzieć podczas sesji planowania jest to, co jest wymagane dla zespołu lub osoby, która będzie korzystać z IaaS - zawsze używaj najmniej uprzywilejowanego podejścia - więc dajesz im dokładnie to, czego potrzebują, jeśli potrzebują więcej, będziesz tym, który to zatwierdzi, a jeśli nie narzekają, cóż, jesteś dobry, aby przejść i być bezpieczny. Istnieje kilka różnych ról, które można wykorzystać. Podążaj za oficjalny Microsoft link aby sprawdzić, który z nich najlepiej pasuje do twoich potrzeb.

Ochrona punktów końcowych dla maszyn wirtualnych

Po wdrożeniu infrastruktury lub maszyny wirtualnej, nadszedł czas, aby zastanowić się nad ochroną punktów końcowych. Tak samo jak w przypadku Twojego osobistego laptopa, chcesz być bezpieczny, prawda? W takim razie dlaczego niektórzy zapominają ustawić punkt końcowy na maszynach wirtualnych.

Należy zainstalować ochronę antywirusową, aby pomóc w identyfikacji i usuwaniu wirusów, oprogramowania szpiegującego i innego złośliwego oprogramowania. Możesz zainstalować Microsoft Antymalware lub rozwiązania ochrony punktu końcowego Microsoft partnera (Trend Micro, Broadcom, McAfee, Windows Defenderi Ochrona punktu końcowego centrum systemowego). Microsoft Czy wydawanie 1 miliarda rocznie na bezpieczeństwo - dlaczego nie wykorzystać go, to jak darmowe pieniądze, które mogą zaoszczędzić na podczerwień?

Dostępność maszyn wirtualnych

Jeśli chodzi o dostępność, numery gwarantowane dla SLA (Service Level Agreement) są naprawdę dobre, ale Twoja maszyna wirtualna może zejść w dół, jeśli jest jakiś problem lub okno konserwacji Chcesz zapobiec temu najlepiej jak potrafisz.

Te dwie praktyki ci pomogą: Zestawy dostępności oraz Strefa dostępności (Availability Zone)

Jeśli nadal nie wiesz, jak korzystać z tych wspaniałych funkcji, radzę, abyś znalazł je w Microsoft dokumentach i zaczął korzystać z nich dla najważniejszych zasobów w swoim otoczeniu.

Aktualizacje maszyn wirtualnych - łatanie zabezpieczeń

• Azure Maszyny wirtualne, jak wszystkie maszyny wirtualne znajdujące się w lokalu, mają być zarządzane przez użytkownika. Azure nie wypycha aktualizacji systemu Windows do nich. Musisz zarządzać swoimi aktualizacjami maszyn wirtualnych.
• Trzymajcie swoje maszyny wirtualne na bieżąco. 
• Jeśli używasz Windows Update, pozostaw automatyczne ustawienie Windows Update włączone. Upewnij się, że podczas instalacji obrazy, które zostały zbudowane w taki sposób, aby zawierały najnowszą rundę aktualizacji systemu Windows.
• Okresowo zmieniaj rozmieszczenie maszyn wirtualnych, aby wymusić nową wersję systemu operacyjnego.
• Zdefiniuj swoją maszynę wirtualną za pomocą Azure Szablon menedżera zasobów więc można go łatwo przesunąć. Użycie szablonu daje Ci łatwą i bezpieczną maszynę wirtualną, gdy jej potrzebujesz.
• Szybkie stosowanie aktualizacji zabezpieczeń na maszynach wirtualnych.
• Azure Centrum zabezpieczeń (Free tier lub Standard tier) do zidentyfikować brakujące aktualizacje zabezpieczeń i zastosować je.
• Zainstaluj najnowsze aktualizacje zabezpieczeń.
• Wdrożenie i przetestowanie rozwiązania zapasowego.
  

Kopia zapasowa musi być obsługiwana w taki sam sposób, jak każda inna operacja. Dotyczy to systemów, które są częścią Twojego środowiska produkcyjnego rozciągającego się na chmurę.

Szyfrowanie dysków twardych

• Zaleca się szyfrowanie wirtualnych dysków twardych (VHD), aby pomóc chronić wolumin startowy i woluminy danych w stanie spoczynku w pamięci masowej, a także klucze szyfrujące i tajemnice. Azure Szyfrowanie dysku wykorzystuje standard branżowy BitLocker funkcja systemu Windows i DM-Crypt Funkcja Linuksa zapewniająca szyfrowanie woluminów dla systemu operacyjnego i dysków z danymi.
• Użyj klucza szyfrującego (KEK), aby uzyskać dodatkową warstwę zabezpieczeń dla kluczy szyfrujących. Dodaj klucz KEK do swojego sejfu na klucze.
• Take a zdjęcie i/lub kopii zapasowej przed zaszyfrowaniem dysków. Kopie zapasowe zapewniają opcję odzyskiwania w przypadku wystąpienia nieoczekiwanej awarii podczas szyfrowania.
• Aby tajemnice szyfrowania nie przekraczały granic regionalnych, szyfrowanie Azure dysku wymaga, aby skarbiec na klucze i maszyny wirtualne znajdowały się w tym samym regionie.

Bezpieczeństwo sieciowe dla maszyn wirtualnych

• Identyfikacja i naprawa maszyn wirtualnych, które umożliwiają dostęp z "dowolnego" źródłowego adresu IP.
• Skonfiguruj NSG - Grupy bezpieczeństwa sieciowego. 
• Domyślnie każda maszyna wirtualna ma otwarte porty RDP i SSH z dowolnej lokalizacji. To, z publicznym adresem IP przypisanym do maszyny wirtualnej, jest wezwaniem dla hakerów, ponieważ każdy publiczny adres IP jest skanowany i atakujący mogą, a nawet powiedziałbym, że zaatakują go, jeśli go tak zostawisz.
• Wejdź w szczegóły i zbuduj swój NSG, aby tylko użytkownicy z określonych adresów IP mieli dostęp do maszyny wirtualnej.
• Weź jakiś bardzo poufny serwer, na którym przechowywane są dane użytkownika. Jak byś je chronił? Rozważmy użycie serwerów skokowych. Są to maszyny wirtualne, dołączone do innych niż domenowe, z których tylko ty możesz uzyskać dalszy dostęp do innych maszyn wirtualnych w swoim środowisku. 

Dostęp VM w samą porę (JIT
) Ograniczyć porty zarządzania (RDP, SSH). Szczegóły: Dostęp do maszyn wirtualnych Just-in-time (JIT) może być wykorzystywany do blokowania ruchu przychodzącego do Azure maszyn wirtualnych, zmniejszając narażenie na ataki, a jednocześnie zapewniając łatwy dostęp do połączeń z maszynami wirtualnymi w razie potrzeby. Gdy funkcja JIT jest włączona, centrum bezpieczeństwa blokuje ruch przychodzący do Azure maszyn wirtualnych, tworząc reguły grup bezpieczeństwa sieciowego. Użytkownik wybiera porty na maszynie wirtualnej, do których ruch przychodzący będzie blokowany. Porty te są kontrolowane przez rozwiązanie JIT.

Przeczytaj o potencjalnych scenariuszach ataku, które mogą Ci się przydarzyć, a następnie szybko wdrożysz JIT 😊.

Monitorowanie infrastruktury

Azure Security Center to ujednolicony system zarządzania bezpieczeństwem infrastruktury, który wzmacnia pozycję bezpieczeństwa w centrach danych i zapewnia zaawansowaną ochronę przed zagrożeniami w hybrydowych obciążeniach w chmurze - niezależnie od tego, czy znajdują się one w chmurze, Azure czy nie - jak również w lokalach. Zalecane jest stosowanie Azure Monitorowanie aby uzyskać wgląd w zdrowie zasobów. Azure Monitorowanie funkcji:

• Pliki dzienników diagnostyki zasobów: Monitoruje zasoby maszyn wirtualnych i identyfikuje potencjalne problemy, które mogą zagrozić wydajności i dostępności.
• Azure Rozszerzenie diagnostyki: Udostępnia możliwości monitorowania i diagnostyki maszyn wirtualnych z systemem Windows. Możesz włączyć te możliwości, włączając rozszerzenie jako część systemu Windows VM. Azure Szablon menedżera zasobów.

Organizacje, które nie monitorują wydajności maszyn wirtualnych, nie mogą określić, czy pewne zmiany we wzorcach wydajności są normalne czy nienormalne. Maszyna wirtualna, która zużywa więcej zasobów niż normalnie, może wskazywać na atak z zasobów zewnętrznych lub zagrożony proces uruchomiony w maszynie wirtualnej.

Dziękuję za przeczytanie tego bloga.

Więcej szczegółów i odniesień można znaleźć na tej stronie Link