Diseño de seguridad de Azure para prevenir ataques: casos de uso

En este artículo, repasaré algunos casos de uso para proteger el entorno de nube de Azure mediante el diseño de seguridad y habilitar las características disponibles con Azure. También expliqué en detalle ataques como DDOS, XSS y SQL injection y cómo prevenirlos en el entorno de la nube de Azure con los 3 casos de uso.
Caso de uso 1: ataque DDoS en una aplicación web alojada en una máquina virtual
 

En el caso de uso anterior, la aplicación web implementada por el cliente en una máquina virtual de Azure se ejecuta en una subred pública
¿Qué es un ataque DDoS?
Un ataque de denegación de servicio distribuido (DDoS) es un intento malicioso de interrumpir el tráfico normal de un servidor, servicio o red objetivo al sobrecargar el objetivo o la infraestructura que lo rodea con una avalancha de tráfico de Internet.
¿Cómo mitigar el escenario anterior?
Aloje la máquina virtual dentro de una red virtual de Azure con el conmutador DDoS habilitado. Al habilitar el modo DDOS en VNet, podemos prevenir los ataques DDOS en Azure y, a continuación, se encuentran los detalles sobre Azure DDoS.
 

Protección contra DDoS de Azure

• Le permite proteger sus recursos de Azure de los ataques de denegación de servicio (DoS).
•  La protección DDoS (capas 3 y 4) ofrece dos niveles de servicio: Básico y Estándar .
  

Características
Básico

• Habilitado por defecto (gratis).
  
• Mitiga los ataques de red comunes.
  
• Tanto el básico como el estándar protegen las direcciones IP públicas IPv4 e IPv6.
  

Estándar

• Tiene capacidades avanzadas para protegerlo contra ataques a la red, como registro, alertas y telemetría.
  
• Mitiga los siguientes ataques:
  
• Ataques volumétricos: inunde la capa de red con ataques.
  
• Ataques de protocolo: aprovecha una debilidad en las capas 3 y 4.
  
• Ataques de capa de recursos: un ataque de capa 7 que interrumpe la transmisión de datos entre hosts.
  
• Le permite configurar alertas al inicio y al final de un ataque.
  
• Los datos de la métrica se conservan durante 30 días.
  
• Proporciona políticas de mitigación ajustadas automáticamente (TCP/TCP SYN/UDP) para cada IP pública.
  

Caso de uso 2: Ataque XSS en una aplicación web alojada en una aplicación web de Azure (App Service)

Ataque XSS

Los ataques Cross-Site Scripting (XSS) son un tipo de inyección en el que se inyectan scripts maliciosos en sitios web de confianza. Los ataques XSS ocurren cuando un atacante usa una aplicación web para enviar código malicioso, generalmente en forma de un script del lado del navegador, a un usuario final diferente. Las fallas que permiten que estos ataques tengan éxito están bastante extendidas y ocurren en cualquier lugar donde una aplicación web use la entrada de un usuario dentro de la salida que genera sin validarla o codificarla.

En el escenario anterior, la aplicación web se ejecuta y Application Gateway con WAF habilitado con la configuración predeterminada
¿Qué es el Firewall de aplicaciones web de Azure en Azure Application Gateway?
Azure Web Application Firewall (WAF) en Azure Application Gateway brinda protección centralizada de sus aplicaciones web contra vulnerabilidades y vulnerabilidades comunes. Las aplicaciones web son objeto cada vez más de ataques maliciosos que explotan vulnerabilidades comúnmente conocidas. La inyección SQL y las secuencias de comandos entre sitios se encuentran entre los ataques más comunes.

Beneficios de la puerta de enlace de aplicaciones WAF

• Protección contra inyección de SQL.
  
• Protección contra secuencias de comandos entre sitios.
  
• Protección contra otros ataques web comunes, como la inyección de comandos, el contrabando de solicitudes HTTP, la división de respuestas HTTP y la inclusión remota de archivos.
  
• Protección contra violaciones del protocolo HTTP.
  
• Protección contra anomalías del protocolo HTTP, como la falta de agente de usuario del host y encabezados de aceptación.
  
• Protección contra rastreadores y escáneres.
  
• Detección de configuraciones incorrectas de aplicaciones comunes (por ejemplo, Apache e IIS).
  
• Límites de tamaño de solicitud configurables con límites inferior y superior.
  
• Las listas de exclusión le permiten omitir ciertos atributos de solicitud de una evaluación WAF. Un ejemplo común son los tokens insertados en Active Directory que se utilizan para los campos de autenticación o contraseña.
  
• Cree reglas personalizadas para satisfacer las necesidades específicas de sus aplicaciones.
  
• Geo-filtre el tráfico para permitir o bloquear el acceso de ciertos países/regiones a sus aplicaciones.
  
• Proteja sus aplicaciones de los bots con el conjunto de reglas de mitigación de bots.
  
• Inspeccione JSON y XML en el cuerpo de la solicitud
  

Modos WAF

El WAF de Application Gateway se puede configurar para ejecutarse en los siguientes dos modos:
Modo de detección : Supervisa y registra todas las alertas de amenazas. Active el registro de diagnósticos para Application Gateway en la sección Diagnósticos . También debe asegurarse de que el registro WAF esté seleccionado y activado. El cortafuegos de aplicaciones web no bloquea las solicitudes entrantes cuando está funcionando en modo de detección.
Modo de prevención : Bloquea las intrusiones y ataques que detectan las reglas. El atacante recibe una excepción de "acceso no autorizado 403" y la conexión se cierra. El modo de prevención registra dichos ataques en los registros de WAF.
¿Cómo mitigar el ataque XSS?
Habilitación del modo de prevención WAF para ataques XSS, inyección de SQL y otros ataques, el modo de prevención bloquea las intrusiones entrantes

 
Caso de uso 3: - Ataque de inyección SQL en una aplicación web (aplicación web + base de datos SQL) 

Aplicación web que se ejecuta con la base de datos como fondo y WAF de puerta de enlace de aplicaciones configurada para el equilibrio de carga de la aplicación. En el caso de uso anterior, la amenaza tanto del servidor de la base de datos como de la aplicación web también
Para mitigar los ataques a la base de datos SQL, habilite la protección contra amenazas avanzada para la base de datos SQL de Azure.

Advanced Threat Protection para Azure SQL Database detecta actividades anómalas que indican intentos inusuales y potencialmente dañinos de acceder o explotar bases de datos. Advanced Threat Protection puede identificar una posible inyección de SQL , el acceso desde una ubicación o un centro de datos inusual , el acceso desde un principal desconocido o una aplicación potencialmente dañina y las credenciales de SQL de fuerza bruta .
Entonces, hemos configurado el firewall de nivel de base de datos para evitar la inyección de SQL, pero ¿qué pasa con la aplicación web? Es muy simple, como mostramos en el caso de uso 2, simplemente habilitando Application Gateway WAF en modo de prevención.
 
Conclusión:
Hemos visto algunos casos de uso de características de seguridad de Azure como VNet DDOS, modo de prevención WAF de puerta de enlace de aplicaciones para mitigar algunos de los principales ataques OWASP. Estas funciones también están disponibles con otros proveedores de la nube, por ejemplo, en AWS, el servicio AWS Shield está disponible para protegerse de los ataques DDOS.

Actualizaciones con Azure Update Management

 

Cuando ejecutamos cualquier sistema operativo, uno de los requisitos para mantener la seguridad es la aplicación de parches de actualización, en la nube no es diferente, Azure ofrece Azure Update Management , un administrador de actualizaciones que funciona con Windows y Linux.

Azure Update Management ofrece opciones de programación, registros, la capacidad de ejecutar scripts de PowerShell antes y después del proceso, y más.

Administración de actualizaciones de Azure

Azure Update Management es un servicio gratuito que ofrece Microsoft en Azure que utiliza dos componentes adicionales, Azure Monitor y su respectivo Log Analytics Workspace para recopilar información de los servidores, incluida la información de actualizaciones, y Azure Automation para la orquestación.

Actualmente, Azure Update Management puede encontrar actualizaciones para Windows Server 2012, Windows Server 2016 (excepto Core), Windows Server 2019 (incluido Core) y versiones posteriores, Windows Server 2008 R2, CentOS 6, 7 y 8, Oracle Linux 6.x, 7. x y 8.x, Red Hat Enterprise 6, 7 y 8, SUSE Linux Enterprise Server 12, 15, 15.1 y 15, y Ubuntu 14.04 LTS, 16.04 LTS, 18.04 LTS y 20.04 LTS. Las versiones de cliente de Windows no son oficialmente compatibles.

Conexión de servidores a Azure Update Management

Para que las actualizaciones funcionen es necesario instalar un agente de Log Analytics, pero en la mayoría de los casos la instalación se realiza de forma automática, tanto para Windows como para Linux, por lo que no debería ser necesario instalarlo manualmente. Para agregar un servidor a un área de trabajo de Log Analytics, abra el área de trabajo, en la sección Orígenes de datos del área de trabajo, haga clic en Máquinas virtuales, seleccione la máquina virtual que desea agregar y haga clic en Conectar

Agregar servidores a Azure Automation

Antes de agregar servidores a Azure Automation y comenzar a configurar la orquestación, debe crear una cuenta de Azure Automation, un recurso de tipo Automatización. Elija el nombre, la suscripción, el grupo de recursos, la ubicación y marque la opción Crear cuenta de ejecución de Azure como SÍ, esta configuración es esencial para que los Runbooks de inicio y apagado de VM se ejecuten correctamente.

Después de la creación, vaya a la opción Cuenta de automatización y administración de actualizaciones, haga clic en Agregar máquinas virtuales de Azure para agregar una máquina virtual al servicio. Esta es solo una de las formas de agregar máquinas virtuales a Azure Update Management, en la documentación de Microsoft puede encontrar más detalles.

Crear un plan de instalación de actualizaciones

Luego de configurar los requisitos para que el servicio funcione, es posible configurar un cronograma para la actualización de los servidores. Esta acción se puede realizar a través de la Cuenta de Automatización o a través de la VM, a través de la Cuenta de Automatización es posible crear un horario para un grupo de máquinas con el mismo tipo de sistema operativo (Windows o Linux), a través de la VM solo es posible para crear un horario para ello, en el ejemplo, lo crearemos a través de Cuenta de Automatización.

Haga clic en Programar implementación de actualización, defina un nombre, que es el sistema operativo, en la opción Grupos para actualizar se puede aplicar un filtro para seleccionar varias máquinas del mismo sistema operativo, en la opción Máquinas para actualizar se pueden seleccionar las VM individualmente. El siguiente elemento es Actualizar clasificaciones, para Windows hay varias opciones, para Linux solo 2, elija según la necesidad, también puede seleccionar KB o paquetes específicos para actualizar o excluir de la actualización en la opción Incluir/excluir actualizaciones. En la configuración de Programación, el proceso está programado, se puede ejecutar una vez o de forma recurrente. La opción Pre-guiones + Post-guionesse puede usar para encender la máquina antes de la actualización y apagarla después, por ejemplo. En la ventana de Mantenimiento se define el tiempo máximo que se ejecutará el proceso, el mínimo es de 30 minutos y el máximo de 6 horas y la última opción está relacionada con reiniciar o no después de la actualización.

Encender y apagar automáticamente el servidor en el proceso de actualización

Una opción interesante para guardar y automatizar el proceso es el uso de scripts para iniciar y apagar máquinas virtuales. Para realizar estas tareas es necesario importar los Runbooks Update Management – ​​Turn Off VMs y Update Management – ​​Turn On VMs desde la galería. Después de importar, acceda a cada uno de los Runbooks, edítelos y publíquelos para que estén disponibles en la Cuenta de Automatización.

Luego en Módulos es necesario importar el módulo ThreadJob, es un requisito para que las VMs se enciendan y apaguen automáticamente.

Finalmente, para evitar errores de inicio y apagado de Runbooks, también debe importar Update-AutomationAzureModulesForAccount.ps1 , descargarlo a su máquina y cargarlo en Runbooks, después de publicarlo, ejecute el script y espere a que finalice. Este script actualiza los módulos de Azure PowerShell importados a una cuenta de Azure Automation con la versión de los módulos publicados en la Galería de PowerShell. Actualmente, esta acción no es posible directamente a través de Azure Portal.

Gestión de la postura de seguridad de Azure mediante las políticas del Azure Security Center.

 Todos sabemos que la asignación de políticas de Azure es una de las mejores formas de tener un gobierno en la nube y muchas organizaciones utilizan las iniciativas integradas del centro de seguridad de Azure o las políticas creadas a medida para proteger su infraestructura/cargas de trabajo.

El siguiente artículo es para arrojar algo de luz sobre cómo usar las políticas de Azure y las capacidades de monitoreo del centro de seguridad de Azure juntas para crear barandillas de seguridad en torno a la seguridad de la red y cómo el equipo de seguridad cibernética/equipo de operaciones puede tener un solo panel para monitorear las derivas.

Antes de sumergirnos, veamos rápidamente qué ofrece el centro de seguridad de Azure:

Las características de Azure Security Center cubren los dos grandes pilares de la seguridad en la nube:

Gestión de postura de seguridad en la nube (CSPM) : Security Center está disponible de forma gratuita para todos los usuarios de Azure. La experiencia gratuita incluye características de CSPM como puntaje seguro, detección de configuraciones incorrectas de seguridad en sus máquinas de Azure, inventario de activos y más. Utilice estas funciones de CSPM para fortalecer su postura de nube híbrida y realizar un seguimiento del cumplimiento de las políticas integradas.

Protección de cargas de trabajo en la nube (CWP) : la plataforma integrada de protección de cargas de trabajo en la nube (CWPP) de Security Center , Azure Defender, brinda protección avanzada e inteligente de sus cargas de trabajo y recursos híbridos y de Azure. Habilitar Azure Defender trae una variedad de características de seguridad adicionales.

Azure Defender es un producto de CWP con capacidades de detección de amenazas impulsadas por ML e IA que no solo incluye máquinas virtuales, sino también otros servicios de Azure como el servicio de aplicaciones, el almacenamiento, los servidores SQL, Keyvault, etc. Se puede acceder a Dashboard for AzD desde ( https://portal .azure.com > Centro de seguridad > Azure defender ) . Esto viene con un costo adicional y los clientes pueden elegir optar por el servicio seleccionando el plan AzD y habilitando los servicios requeridos.

 

Crédito: seminarios web de Microsoft

Aquí vamos a usar la capacidad CSPM del centro de seguridad de Azure para nuestro caso de uso, que viene sin costo junto con la suscripción de Azure.

Las políticas de seguridad habilitadas en Azure Security Center impulsan las recomendaciones y el monitoreo de seguridad.

Una política de seguridad define el conjunto de controles que se recomiendan para los recursos dentro de la suscripción especificada. En Azure Security Center , define políticas para sus suscripciones de Azure según los requisitos de seguridad de su empresa y el tipo de aplicaciones o la confidencialidad de los datos en cada suscripción.

Podemos escribir declaraciones muy simples en JSON usando el editor de políticas de Azure para crear estas plantillas y publicarlas como políticas de "ámbito" para un grupo de administración, una suscripción o incluso un grupo de recursos según el requisito. Podríamos agrupar múltiples políticas en una iniciativa que sirve a un objetivo común (como una iniciativa para políticas relacionadas con NIST, otra para estándares relacionados con CIS)

Antes de pasar directamente a las políticas, analicemos algunos de los conceptos básicos sobre la configuración de la red virtual de Azure y la conectividad de Internet saliente para Azure, porque las políticas que intentamos crear abordarán casos de uso de seguridad de red muy específicos.

En general, primero configuramos una red virtual y luego creamos una subred para implementar máquinas virtuales u otros recursos en el entorno de Azure. De forma predeterminada, todas las subredes están conectadas directamente y pueden comunicarse entre sí, dentro de la misma VNET.

Para una subred determinada, se reservarán 5 IP para los requisitos internos de Azure. Todas las VNET en segundo plano tienen una IP pública única asignada, lo que permite que las cargas de trabajo se comuniquen con Internet, sin tener asignada ninguna dirección IP pública o puerta de enlace NAT .

Tenemos muchas formas de controlar o modificar este comportamiento predeterminado del tráfico saliente de Azure a Internet: mediante la creación de una puerta de enlace NAT, la asignación de una IP pública a una máquina virtual, la asociación de la VM con un equilibrador de carga estándar o, finalmente, el uso de un NVA (dispositivo virtual de red). o Firewall como servicio nativo de Azure.

Para la mayoría de las organizaciones, un enfoque común será utilizar un NVA (dispositivo virtual de red) o un firewall de Azure (firewall en la nube de Microsoft) y crear una UDR (ruta definida por el usuario) para forzar el tráfico por túnel, ya que esto nos permite enrutar el tráfico saliente. a un cortafuegos local o a un cortafuegos en la nube para filtrar/inspeccionar el tráfico por motivos de seguridad. Hay muchos proveedores de cortafuegos conocidos que ofrecen NVA a través del mercado, como Barracuda, Checkpoint, Palo Alto, etc.

También es una práctica común que las organizaciones empleen políticas para garantizar que las ILPIP (IP públicas de nivel de instancia) no estén asociadas directamente a la máquina virtual y que estén en el firewall o en el equilibrador de carga externo, por lo que es más escalable y fácil de usar. solucionar problemas. También podemos asignar grupos de seguridad de red (NSG) a una NIC oa un nivel de subred. Estos NSG se pueden usar para definir reglas de cinco tuplas que se pueden aplicar para el flujo de tráfico saliente o entrante.

La siguiente imagen muestra un modelo muy común para la conectividad de Internet saliente para las cargas de trabajo de Azure, donde los firewalls se implementan en una subred NVA, los servidores web en otra subred dentro de la red virtual, con NSG de nivel de subred para controlar el tráfico este-oeste. Esto también podría extenderse fácilmente a un modelo HUB y SPOKE donde el NVA se encuentra en una red virtual HUB y los servidores web se implementan en una red virtual SPOKE, emparejados para permitir la comunicación entre ambas redes virtuales.

Para simplificar, el escenario anterior se representa a continuación. Observe la UDR en la subred del servidor web para enrutar todo el tráfico saliente de Internet al LB frontend de NVA para su inspección/cortafuegos y otra UDR en la subred de NVA para enrutar directamente el tráfico a Internet.

 

Creación de rutas definidas por el usuario para subredes para acceso saliente

Vamos a discutir sobre cuatro políticas de seguridad diferentes que ayudarán a las organizaciones a auditar/prevenir (según el "efecto" que elija en la política) eludir diferentes controles de seguridad en torno a la asignación de UDR, el siguiente salto utilizado y el uso de Internet como tipo de siguiente salto en la UDR y, finalmente, NSG aplicado en la subred, etc.

A continuación se muestra la lista de barandillas de seguridad que vamos a discutir aquí (se pueden usar tanto como preventivas como de detección, según las políticas de la empresa). Aquí estoy mostrando una mezcla de ambos.

1.     Auditar UDR en subredes

2.   Aplicar la dirección IP de NVA como 'NextHop IP' en la UDR.

3.    Forzar el tipo de salto siguiente no está configurado en "Internet" para las subredes creadas en SPOKE Vnets.

4.   Auditar NSG X en subredes

Ahora veamos estas políticas en detalle y lo que nos ayudan a lograr.

1. Auditar UDR en subredes

Esta política audita si una tabla de rutas ( UDR ) está adjunta a la subred. Esto ayudará a identificar cualquier configuración incorrecta (podría ser accidental o alguien con intenciones maliciosas tratando de eludir los controles de seguridad) en UDR mientras se crean subredes que a veces serán difíciles de identificar, ya que las cargas de trabajo tomarán la ruta predeterminada y se conectarán a Internet. Con esta política activada, podemos realizar una auditoría e informar el cumplimiento o agregar un efecto para denegar la creación de subredes sin tener adjunta la UDR específica. Poner la política y la auditoría al principio y luego moverla para negar el efecto es la práctica ideal para evaluar el riesgo y asegurarse de no romper nada. Además, de forma predeterminada, esta política no tiene ningún efecto sobre los recursos ya existentes, incluso con el efecto de denegación. (La aplicación de la política solo se realizará para recursos futuros)

2. Hacer cumplir la dirección IP de NVA como IP de NextHop

Esto es para hacer cumplir las IP del próximo salto (IP NVA) en una regla UDR. Esta política evitará que se pierdan configuraciones y permitirá a los administradores usar solo las direcciones IP especificadas en la política de NextHop. Azure acepta cualquier dirección IP de dispositivo que tenga el reenvío de puertos habilitado en el campo NextHop, por lo que tener esta política garantiza que nadie pueda configurar la regla incorrectamente de forma accidental o malintencionada, lo que puede conducir a la filtración de datos o al incumplimiento de los dispositivos perimetrales de la organización.

También puede modificar esta política para usar los efectos 'Auditoría' o 'denegar' según el requisito

3. Exigir que el tipo de salto siguiente no esté configurado en 'Internet' para las subredes creadas en SPOKE Vnets.

Es igualmente importante no permitir el tipo NextHop como 'Internet' para las VNET de Spoke, ya que esto permitirá que las cargas de trabajo implementadas en una subred vayan directamente a Internet, sin pasar por la NVA.

Esto aborda un riesgo ligeramente diferente, pero en un nivel de configuración diferente, como puede imaginar.

4. Auditar NSG X en subredes

Esta asignación de política audita si una subred determinada tiene un NSG específico adjunto. Si su organización tiene políticas para garantizar que todas las subredes deben tener un NSG aplicado, para controlar el tráfico de este a oeste o de norte a sur, para lograr la segmentación, esta política nos ayudará a verificar el cumplimiento de su entorno. Puede especificar el ID del NSG o modificar la política para informar si falta el NSG en la subred y proyectarlo por incumplimiento.

Una vez aplicada, la política nos proporcionará la vista de cumplimiento desde la hoja Política > cumplimiento como se muestra a continuación.

Nota: puede agrupar todas estas políticas en una iniciativa para que pueda adjuntarse fácilmente al inicio personalizado del centro de seguridad más adelante.

 

Panel de cumplimiento de políticas de Azure

Nota: Si nota que el estado de cumplimiento es No iniciado, significa que la política se asignó, pero aún debe ser evaluada por la política de Azure con respecto a los recursos. Tendrá que esperar para obtener los informes de estado de cumplimiento.

Ahora viene el caso de uso real del centro de seguridad de Azure para monitorearlos y mostrar los recursos "no saludables" en las recomendaciones. Esto ayudará al equipo de seguridad o al equipo de infraestructura a monitorear la deriva, clasificar o informar el cumplimiento de manera periódica.

Todo lo que tenemos que hacer es crear una iniciativa de política (puede llamarla política de cumplimiento de seguridad de red, por ejemplo) como se mencionó anteriormente en estas políticas y luego agregarla como una iniciativa personalizada en el centro de seguridad de Azure.

Vaya a Centro de seguridad > Política de seguridad > Sus iniciativas personalizadas > Agregar una iniciativa personalizada y seleccione la iniciativa de política que creó

 

Nota: Esto no requiere ninguna licencia, disponible como parte de la oferta gratuita de ASC.

Una vez hecho esto, los verá en la pestaña de recomendaciones como se muestra a continuación.

 

Ventana de recomendaciones del centro de seguridad de Azure

Estas recomendaciones tendrán una marca 'Personalizada' para que puedan distinguirse de otras recomendaciones.

También es importante tener en cuenta que ninguno de estos generará ningún costo en su factura de Azure (es decir, crear políticas de Azure + monitoreo ASC). Si tuviera que enviar estos datos a un SIEM de terceros para monitorear o almacenar las recomendaciones en el área de trabajo de análisis de registros, eso generará algún costo en función del volumen de alertas. )

¡Podemos definir muchas políticas similares para abordar las configuraciones incorrectas generales que actuarán como barreras para la aplicación de la seguridad y mejorarán el CSPM (Gestión de posturas de seguridad en la nube) para las organizaciones y utilizarán el poder de las políticas del centro de seguridad de Azure para informar y monitorear el cumplimiento!

Eso es todo por ahora !!. ¡Nos vemos en el próximo artículo!

Higiene de seguridad en la nube y Azure Security Center

Las amenazas de seguridad están en constante evolución. Cada vez más organizaciones trasladan su carga de trabajo y cambian su enfoque de los centros de datos tradicionales a la nube. Importante, las preguntas que vienen a la mesa son

¿qué pasa con la seguridad?
¿Qué tan seguras son nuestras cargas de trabajo en la nube?

Higiene de seguridad en la nube:

El primer paso es migrar su carga de trabajo a la nube o crear una aplicación nativa de la nube y obtener la higiene básica.

Cloud Security está hecho de 6 clasificación Core.

• Gestión de identidad y acceso (IAM)
• Gobernanza (políticas de prevención, detección y mitigación de amenazas)
• Seguridad de datos
• Retención de datos (DR) y planificación de la continuidad del negocio (BC)
• Cómplice legal

Solución de seguridad en la nube:

Las soluciones de seguridad en la nube se utilizan para proteger nuestras cargas de trabajo que se ejecutan en un entorno público, privado o híbrido. Estas soluciones de seguridad en la nube se clasifican de la siguiente manera.

1.     Plataforma de protección de cargas de trabajo en la nube (CWPP)

2.   Gestión de postura de seguridad en la nube (CSPM)

3.    Agente de seguridad de acceso a la nube (CASB)

4.   Seguridad de datos en la nube

5.    Cumplimiento de la nube

Centro de seguridad de Azure (ASC)

Diferentes proveedores de la nube tienen herramientas creadas en torno a esta solución de seguridad en la nube. Azure Security Center es una solución CSPM de Microsoft en la que evalúa continuamente los recursos de Azure para lograr la higiene de la seguridad y sugiere recomendaciones basadas en Azure Security Benchmark en cargas de trabajo híbridas, ya sea en las instalaciones o en la nube.

Centro de seguridad de Azure

La capa gratuita de Azure Security Center incluye evaluación continua y recomendaciones de seguridad y Azure Secure Score .

Azure Security Center proporciona monitoreo de seguridad y administración de políticas en sus suscripciones y cargas de trabajo híbridas (cargas de trabajo locales, no Azure y Azure). Tiene un conjunto de herramientas y políticas para ayudar a los clientes a superar los siguientes desafíos

1.     Analizar la fuerza de la seguridad.

2.   Protege de las amenazas.

3.    Asegure la carga de trabajo más rápido.

Puntuación del centro de seguridad :

La puntuación del Centro de seguridad es una característica importante de ASC donde proyecta la situación de seguridad actual en la Suscripción y formas efectivas de mejorar la puntuación de seguridad sugiriendo Recomendaciones.

 

Puntaje de seguridad de Azure

La puntuación del centro de seguridad se calcula según la recomendación sugerida en Control de seguridad. EG: Cuando el Cliente aborde el control de seguridad "Aplicar actualizaciones del sistema", aumentará el puntaje general del Centro de seguridad.

 

Recomendación ASC

Defensor azur:

Azure Defender es un CWPP que proporciona protección avanzada para recursos híbridos y de Azure. Habilitar Defender trae políticas adicionales, estándares regulatorios y Azure Security Benchmark para una vista personalizada del cumplimiento. Más información aquí .

Azure Defender es una característica paga en ASC. El plan de Azure Defender está habilitado en el nivel de Suscripción. Tenemos una función para activar o desactivar el recurso según el requisito.

Plan de Azure Defender

Plan Azure Defender activado/desactivado

Politica de seguridad:

La política de seguridad es una definición de política de Azure creada con condiciones de seguridad. Si tiene el requisito de agregar una recomendación de seguridad o un proceso de endurecimiento además de lo que sugiere ASC, podemos hacer uso de la política de seguridad.

La política de seguridad tiene políticas de cumplimiento de estándares de la industria que brindan información sobre la posición de cumplimiento de las cargas de trabajo en Azure.

Pasos para mejorar la puntuación de seguridad:

¡Siga lo siguiente para aumentar la puntuación de su centro de seguridad!

1.     Agregue sus cargas de trabajo de VM a la cuenta de automatización para actualizaciones periódicas.

2.   Asegure su carga de trabajo de VM Abra puertos con NSG y proteja el acceso a los puertos de administración con restricciones de segmentos de IP.

3.    Habilite MFA para propietarios de suscripciones y cree acceso condicional para bloquear propietarios de suscripciones sin MFA.

4.   Habilite la evaluación de vulnerabilidades (VA) en la máquina virtual, ASC de forma predeterminada Use Qualys si tiene activado Azure Defender para el servidor.

5.    Habilite la evaluación de vulnerabilidades para servidores SQL

6.   Habilite Endpoint Protection para cargas de trabajo de VM. (Puede instalar Azure Defender o usar la solución antivirus para toda su organización)

7.    Instale el agente de Log Analytics en la máquina virtual para recopilar registros y monitorear las vulnerabilidades y amenazas de seguridad.

8.   Configure para permitir imágenes solo de registros de contenedores.

9.   Habilite Defender para Azure Storage, Resource Manager, DNS, Key Vault para protegerse de las amenazas.

10.      Si tiene K8S, instale el complemento Azure Policy para recomendar recomendaciones de seguridad y cumplimiento.

Enlaces de referencia para la serie Defender PoC

Serie PoC de Azure Defender: Azure Defender para DNS — Microsoft Tech Community

Serie PoC de Azure Defender: Azure Defender para Resource Manager (microsoft.com)

ASC tiene funciones para crear Exempt para suprimir la alerta de recursos y Quick Fix para implementar una acción común. Podemos crear aplicaciones lógicas para automatizar tareas y activarlas en Security Center.

Automatización ASC útil:

1. Exportación de alertas ASC a correo electrónico/sistema de emisión de boletos mediante aplicaciones lógicas

Teníamos el requisito de enviar un correo electrónico automático al equipo de operaciones cuando recibimos una nueva alerta alta de la suscripción. Hay un artículo interesante que me ayudó a configurar esta configuración aquí .

Lo modifiqué aún más para crear una excepción y suprimí la alerta para un grupo de recursos en particular. Por lo tanto, no se activa ningún correo electrónico de alerta.

2. Informe de puntuación de seguridad semanal

Con esta automatización, podemos enviar informes de puntuación de seguridad a la administración desde varias suscripciones. Más información aquí para configurar.

3. Informe de horas extras de puntuación segura:

Puede importar las siguientes plantillas del libro de trabajo ASC para ver la puntuación, el cumplimiento en una vista de tablero durante las reuniones mensuales, etc.