[資安小常識] 淺談 Azure Security Center
原則基礎的安全系統管理方式提供單一管道監控系統是否符合安全原則、並排解系統違規問題,讓各 CISO 得以管理組織系統安全,成為他們口中的「聖杯」。
透過擴建微軟或第三方可信任雲端安全資料分析和可靠的威脅智慧回報,再將這些能力緊密整合您組織的身分存取管理策略、內部部署安全資訊、SIEM,將原則基礎方法往前跨一大步,更接近 CISO 們心中理想的安全樂土。
基本上這就是 Azure Security Center 在做的事:為您的 Azure 訂閱中的資源提供安全監控和原則管理的整合。這是 Microsoft Azure 的全新功能,並且已經推出公開預覽版。
Azure Security Center 的能力分類成 預防、偵測、和回應 (以下截圖中的紅色標記),是和「保護、偵測、和回應」的安全策略相仿的便利設計,許多企業客戶都已經開始使用。
原則基礎監控
Azure Security Center 讓組織能監控和管理 Azure 中虛擬機器、網路資源、SQL 資源、和應用程式。在您的 Azure 訂閱上設定安全原則並啟用資料集(如以下及截圖),將根據 Azure 上的安全設置和收集事件的資料及分析定義您想看到的安全專業建議。當資料集啟用後,其代理程式將自動安裝於 Azure 訂閱中符合安全原則的各個虛擬機器。這能讓資源內所發生的事情,在 Azure Security Center 中獲得資料驅動的觀點。決定要將您在 Azure 資源中收集的資料存至何處(Azure 地區),以維繫組織內可能存在的存放原則。
安全專業建議
Azure Security Center 定期分析您 Azure 資源的安全狀態。您從 Azure 訂閱中的虛擬機器所收集的資料讓 Azure Security Center 能監控您違反原則的 Azure 資源並提供您原則區域內的安全建議。發現潛在安全弱點時會產生建議,指導如何設定舒緩發現的弱點的安全控制。這樣的能力能幫助無數沒有全職安全專家的組織。在以下的截圖範例中,從虛擬機器、網路、SQL、和應用程式等資源中發現問題,並依照高、中、低嚴重等級排列。從發現的問題中產生並列出數種不同建議。
再來的範例較為簡單。在包含「Access Control Lists on endpoints」的 Azure 訂閱中啟用資料集並定義安全原則後,中等嚴重性的建議就出現在清單當中。
再來獲得 Azure 虛擬機器兩個端點(PowerShell and Remote Desktop)未受保護的警訊和建置 Access Control Lists 於連接埠的建議(參考以下截圖)。點選清單中的Remote Desktop 設定 Access Control List。
自動辨識威脅和回應
威脅偵測和回應能力是 Azure Security Center 的一大價值。自動收集並分析 Azure 資源、網路流量、和防火牆或防毒軟體等合作夥伴的解決方案中的記錄檔。利用這些資料來偵測威脅並產生警訊清單和其優先順序(見以下截圖)。
更進一步來看範例中偵測到的 RDP 活動,細節揭示如以下截圖。Azure Security Center 將依內容產生幫助清單問題回應的建議。若有可疑 RDP 活動,其中就可能包含連接使用 Network ACL 或 Network Security Group 規則的 RDP 連接埠的 IP 位址的建議。
即使 IT 部署了一個或多個 SIEM 系統,從廣大環境內所有的訊息之中偵測出有意義的安全事件仍是極大的挑戰。Azure Security Center 將幫助全團隊更輕鬆地剖析龐雜的訊息中原本可能被視為記錄檔中無法整合、分析之異常訊息的威脅和大安全事件。
Azure Security Center 能用內建的大規模威脅智慧和機器學習能力偵測並幫助修復許多類型的攻擊。部分範例包含如遠端桌面協定(RDP) 磨損/濫用 (如以上截圖) 的網路攻擊、和曝光的虛擬機器。
在此僅僅淺談了全新 Azure Security Center 的強大能力,而眾多 CISO 的會饋更是值得期待。
更多 Azure Security Center 相關資源:
安全原則:Setting security policies in Azure Security Center
安全建議: Implementing security recommendations in Azure Security Center
安全警訊: Managing and responding to security alerts in Azure Security Center
API和PowerShell腳本的討論: Azure Active Directory‘s Access and Usage Reports
參考資料:
Cloud security controls series: Azure Security Center December 11, 2015 - Tim Rains - Chief Security Advisor, Microsoft Worldwide Cybersecurity & Data Protection