TECH Talk: Melhores Práticas de Segurança para cargas de trabalho de IaaS em Azure

Autor: Stefan Gajic, líder em Nuvem e Infra-estrutura no Grupo P3, MCT em Semos Education

 

Neste blog, vamos cobrir as melhores práticas de segurança mais importantes para proteger o seu IaaS. Isto será um teaser para aqueles que não estão familiarizados com estes métodos para começar a pensar e aprender sobre segurança em Azure, e para aqueles de vocês que já estão implementando alguns destes recursos de segurança lembretes para continuar fazendo isso ou até mesmo para prestar mais atenção à segurança do IaaS.

Lembre-se, a segurança Azure é responsabilidade partilhada e nós somos responsáveis pela forma como a infra-estrutura será protegida. Não permita que incidentes sejam iniciadores de arrumação de segurança, mas é melhor ser proativo e ter sempre em mente que você é responsável pela segurança das cargas de trabalho em Azure.

Aqui estão os tópicos que vamos abordar, e estas melhores práticas já estão escritas na Microsoft documentação oficial, no entanto, eu estava livre para apimentar com a minha experiência:

  1. Planejamento e implantação de máquinas virtuais
  2. Proteger as máquinas virtuais com controle de acesso (IAM)
  3. Proteção de pontos finais para máquinas virtuais
  4. Disponibilidade dos VMs
  5. VM Updates - correção de segurança
  6. Encriptar discos rígidos
  7. Segurança de rede para VM
  8. Acesso à VM just in time
  9. Monitoramento de sua infra-estrutura

Planejamento e implantação de máquinas virtuai
s
Quando se trata de planejamento, há muitas coisas consideradas como senso comum e, pela minha experiência prática, a maioria das coisas que estão "indo sem dizer" é o lugar onde as coisas vão desmoronar. É por isso que eu sempre gosto de começar um projeto com um planejamento adequado, ou como meu ex-patrão diria "Fazer algo sem planejamento é igual a não fazer". Para analisar e falar com as pessoas, você pode estar trabalhando nas operações de TI ou na equipe DevOps que será responsável por atribuir acesso ao IaaS a outros ou você pode ser solicitante, não importa, peça sempre por sessões de planejamento - a pergunta é por quê? Bem, as pessoas às vezes pedem por recursos na nuvem que não são necessariamente necessários e, na maioria dos casos, não prestam muita atenção à segurança. A segurança é RESPONSABILIDADE PARTILHADA entre o provedor da nuvem, neste caso, Microsoft e você como cliente:

Planejamento e Implantação de Máquinas Virtuais

Assim que você esclarecer tudo com seus clientes, colegas ou com quem quer que esteja trabalhando, documente (não fique preguiçoso e deixe isso para depois), envie como um mini-projeto para sua equipe, e como uma melhor prática, neste caso, faça sua documentação com as práticas que você quer implementar - é claro, você pode ter Blueprints e políticas em vigor, e se o seu ambiente estiver neste nível, tudo bem, porém geralmente os departamentos de TI não terão muito tempo para configurar tudo isso, então esteja preparado com documentos de "melhores práticas". 


Durante o uso do planejamento, Azure calculadora e configuração de alertas de orçamento para sua infra-estrutura, pelo menos para evitar riscos financeiros com estão sob o escopo da segurança. 

 

Proteger as máquinas virtuais com controle de acesso (IAM)

A primeira coisa que você quer saber durante as sessões de planejamento é o que é necessário para a equipe ou a pessoa que vai usar IaaS - sempre use a abordagem menos privilegiada - então você dá a eles exatamente o que eles precisam, se eles precisarem mais você será quem aprovará, e se eles não reclamarem, bem, você está pronto para ir e estar seguro. Há alguns papéis diferentes que você pode usar. Siga o link oficialMicrosoft para verificar qual deles se adapta melhor às suas necessidades.

 

Proteção de pontos finais para máquinas virtuais

Uma vez implantada a infra-estrutura ou máquina virtual, então é hora de você pensar na proteção do Endpoint. O mesmo que para o seu laptop pessoal, você quer estar seguro, certo? Então como é que algumas pessoas se esquecem de configurar um endpoint em VMs.


Você deve instalar uma proteção antimalware para ajudar a identificar e remover vírus, spyware e outros softwares maliciosos. Você pode instalar
Microsoft Antimalware ou a solução de proteção do ponto final de um Microsoft parceiro (Tendência Micro, Broadcom, McAfee, Defensor do Windowse Proteção do ponto terminal do centro do sistema). Microsoft é gastar 1 bilhão por ano para segurança - por que não usá-lo, é como dinheiro grátis que pode salvar sua infra?

Proteção de Terminais para Máquinas Virtuais

Disponibilidade dos VMs

Quando se trata de disponibilidade os números garantidos para SLA (service level agreement) são realmente bons, mas seu VM pode descer se houver algum problema ou janela de manutenção Você quer evitar isso o melhor possível.


Estas duas práticas vão ajudar-te:
Conjuntos de disponibilidade e Zona de Disponibilidade

Se ainda não está familiarizado com a utilização destas grandes funcionalidades, aconselho-o vivamente a encontrá-la nos Microsoft documentos e começar a utilizá-la para os recursos mais importantes do seu ambiente.

Disponibilidade dos VMs

VM Updates - correção de segurança

  • Azure Os VMs, como todos os VMs locais, destinam-se a ser gerenciados pelo usuário. Azure não empurra as atualizações do Windows para eles. Você precisa gerenciar suas atualizações de VMs.
  • Mantenham os vossos VMs actualizados. 
  • Se você usar o Windows Update, deixe a configuração automática do Windows Update ativada. Assegure-se, na implementação, de que as imagens que você construiu para incluir a rodada mais recente de atualizações do Windows.
  • Redistribua periodicamente suas VMs para forçar uma nova versão do sistema operacional.
  • Defina seu VM com um Azure Modelo do Gestor de Recursos para que você possa facilmente reimplantá-la. O uso de um modelo dá-lhe um VM remendado e seguro quando você precisar dele.
  • Aplique rapidamente atualizações de segurança aos VMs.
  • Azure Centro de Segurança (Nível Livre ou Nível Padrão) para identificar actualizações de segurança em falta e aplicá-las.
  • Instale as últimas atualizações de segurança.
  • Implantar e testar uma solução de backup.

Um backup precisa de ser tratado da mesma forma que você trata qualquer outra operação. Isto é verdade para os sistemas que fazem parte do seu ambiente de produção que se estende até à nuvem.

 

Encriptar discos rígidos

  • É altamente recomendado que você criptografe seus discos rígidos virtuais (VHDs) para ajudar a proteger seu volume de inicialização e volumes de dados em repouso no armazenamento, juntamente com suas chaves e segredos de criptografia. Azure A encriptação de discos utiliza o padrão da indústria BitLocker recurso do Windows e do DM-Crypt recurso do Linux para fornecer criptografia de volume para o SO e os discos de dados.
  • Use uma chave de encriptação (KEK) para uma camada adicional de segurança para chaves de encriptação. Adicione uma KEK ao seu cofre de chaves.
  • Pegue um Instantâneo e/ou backup antes de os discos serem encriptados. Os backups fornecem uma opção de recuperação se uma falha inesperada acontecer durante a criptografia.
  • Para garantir que os segredos de criptografia não cruzem as fronteiras regionais, a Criptografia de Azure disco precisa que o cofre de chaves e as VMs estejam localizadas na mesma região.

Segurança de rede para VM

  • Identificar e corrigir as VMs expostas que permitem o acesso a partir de "qualquer" endereço IP de origem.
  • Configurar NSG - Grupos de segurança de rede. 
  • Por padrão, cada VM abriu portas RDP e SSH a partir de qualquer local. Isto, com um endereço IP público atribuído à VM, é uma chamada para hackers, pois todo endereço IP público é escaneado e os atacantes podem, ou eu diria até mesmo que vão atacá-lo se você o deixar assim.
  • Entre em detalhes e construa seu NSG para que apenas usuários de determinados endereços IP possam acessar seu VM.
  • Pegue um servidor altamente confidencial onde os dados do usuário são armazenados. Como você os protegeria? Considere o uso de servidores de salto. Estas são máquinas virtuais, não ligadas por domínio, a partir das quais você pode acessar outras VMs em seu ambiente. 
Segurança de Rede para VM

Acesso a VM just in time (JIT
)
Portas de gestão restritas (RDP, SSH). Detalhe: O acesso Just-in-time (JIT) VM pode ser usado para bloquear o tráfego de entrada para suas Azure VMs, reduzindo a exposição a ataques ao mesmo tempo em que proporciona fácil acesso para conexão a VMs quando necessário. Quando o JIT é ativado, o Security Center bloqueia o tráfego de entrada para suas Azure VMs, criando uma regra de grupo de segurança de rede. Você seleciona as portas na VM para as quais o tráfego de entrada será bloqueado. Estas portas são controladas pela solução JIT.

Leia sobre potenciais cenários de ataque que podem acontecer com você e então você irá implementar o JIT rapidamente 😊.

acesso VM

Monitoramento de sua infra-estrutura

Azure O Security Center é um sistema unificado de gerenciamento de segurança de infraestrutura que reforça a postura de segurança dos seus centros de dados e fornece proteção avançada contra ameaças em todas as suas cargas de trabalho híbridas na nuvem - estejam elas dentro Azure ou fora dela - bem como nas instalações da empresa. Recomenda-se o uso de Azure Monitore para ganhar visibilidade para a saúde do seu recurso. Azure Recursos de monitoramento:

Organizações que não monitoram o desempenho da VM não podem determinar se certas mudanças nos padrões de desempenho são normais ou anormais. Uma VM que está consumindo mais recursos do que o normal pode indicar um ataque de um recurso externo ou um processo comprometido em execução na VM.

Monitoramento de sua infra-estrutura

Obrigado por ler este blog.

Mais detalhes e referências ver sobre isto link

Melhores Práticas de Segurança para cargas de trabalho de IaaS em Azure
Menu