🥇Pag-monitor sa seguridad sa panganod

Ang pagbalhin sa datos ug aplikasyon ngadto sa panganod nagpresentar ug bag-ong hagit alang sa corporate SOCs, nga dili kanunay andam sa pagmonitor sa imprastraktura sa ubang mga tawo. Sumala sa Netoskope, ang kasagaran nga negosyo (dayag sa US) naggamit sa 1246 ka lainlaing mga serbisyo sa panganod, nga 22% labaw pa sa usa ka tuig ang milabay. 1246 serbisyo sa panganod!!! 175 niini ang may kalabutan sa HR services, 170 ang may kalabutan sa marketing, 110 ang naa sa natad sa komunikasyon ug 76 ang naa sa finance ug CRM. Gigamit sa Cisco ang "lamang" 700 nga mga serbisyo sa gawas sa panganod. So medyo naglibog ko ani nga mga numero. Apan sa bisan unsang kaso, ang problema wala sa kanila, apan sa kamatuoran nga ang panganod nagsugod nga gigamit nga aktibo sa nagkadaghang mga kompanya nga gusto nga adunay parehas nga kapabilidad sa pag-monitor sa imprastraktura sa panganod sama sa ilang kaugalingon nga network. Ug kini nga uso nagkadako - sumala sa sumala sa American Chamber of Accounts Pagka 2023, 1200 ka mga data center ang sarado sa Estados Unidos (6250 na ang nagsira). Apan ang pagbalhin ngadto sa panganod dili lang "ibalhin nato ang atong mga server ngadto sa usa ka eksternal nga tighatag." Bag-ong arkitektura sa IT, bag-ong software, bag-ong proseso, bag-ong mga pagdili... Kining tanan nagdalag mahinungdanong mga kausaban sa trabaho dili lamang sa IT, kondili usab sa seguridad sa impormasyon. Ug kung ang mga tighatag nakakat-on sa usa ka paagi sa pagsagubang sa pagsiguro sa seguridad sa panganod mismo (maayo na lang nga adunay daghang mga rekomendasyon), unya sa pag-monitor sa seguridad sa impormasyon sa panganod, ilabi na sa mga plataporma sa SaaS, adunay daghang mga kalisud, nga atong hisgutan.

Ingnon ta nga gibalhin sa imong kompanya ang bahin sa imprastraktura niini sa panganod... Hunong. Dili niining paagiha. Kung nabalhin na ang imprastraktura, ug karon lang ka naghunahuna kung giunsa nimo kini pag-monitor, nan napildi ka. Gawas kung kini ang Amazon, Google, o Microsoft (ug unya adunay mga reserbasyon), lagmit wala ka'y daghang abilidad sa pag-monitor sa imong data ug mga aplikasyon. Maayo kung hatagan ka higayon nga magtrabaho sa mga troso. Usahay ang datos sa panghitabo sa seguridad mahimong magamit, apan dili ka maka-access niini. Pananglitan, Office 365. Kung ikaw adunay labing barato nga lisensya sa E1, nan ang mga panghitabo sa seguridad dili magamit kanimo. Kung adunay ka lisensya sa E3, ang imong data gitipigan lamang sa 90 ka adlaw, ug kung ikaw adunay lisensya sa E5, ang gidugayon sa mga troso magamit sa usa ka tuig (bisan pa, kini adunay kaugalingon nga mga nuances nga may kalabutan sa panginahanglan nga magbulag. paghangyo og daghang mga gimbuhaton alang sa pagtrabaho sa mga troso gikan sa suporta sa Microsoft). Pinaagi sa dalan, ang lisensya sa E3 labi ka huyang sa mga termino sa pag-monitor sa mga gimbuhaton kaysa sa corporate Exchange. Aron makab-ot ang parehas nga lebel, kinahanglan nimo ang usa ka lisensya sa E5 o usa ka dugang nga lisensya sa Pagsunod sa Advanced, nga mahimo’g nanginahanglan dugang nga salapi nga wala gilakip sa imong modelo sa pinansyal para sa pagbalhin sa imprastraktura sa panganod. Ug kini usa lamang ka pananglitan sa pagpaubos sa mga isyu nga may kalabutan sa pag-monitor sa seguridad sa impormasyon sa panganod. Niini nga artikulo, nga dili magpakaaron-ingnon nga kompleto, gusto nakong ipunting ang pagtagad sa pipila ka mga nuances nga kinahanglan nga tagdon sa diha nga pagpili sa usa ka cloud provider gikan sa usa ka seguridad nga punto sa panglantaw. Ug sa katapusan sa artikulo, usa ka checklist ang ihatag nga angayan nga kompletohon sa dili pa ikonsiderar nga ang isyu sa pagmonitor sa seguridad sa impormasyon sa panganod nasulbad na.

Adunay ubay-ubay nga kasagarang mga problema nga mosangpot sa mga insidente sa cloud environment, diin ang mga serbisyo sa seguridad sa impormasyon walay panahon sa pagtubag o dili makita kini:

Ang mga log sa seguridad wala maglungtad. Kini usa ka kasagaran nga kahimtang, labi na sa mga bag-ong magdudula sa merkado sa mga solusyon sa panganod. Apan kinahanglan nga dili nimo sila biyaan dayon. Ang gagmay nga mga magdudula, labi na ang mga domestic, mas sensitibo sa mga kinahanglanon sa kostumer ug dali nga makapatuman sa pipila nga gikinahanglan nga mga gimbuhaton pinaagi sa pagbag-o sa giaprobahan nga roadmap alang sa ilang mga produkto. Oo, dili kini usa ka analogue sa GuardDuty gikan sa Amazon o ang module nga "Proactive Protection" gikan sa Bitrix, apan labing menos usa ka butang.
Ang kasiguruhan sa kasayuran wala mahibal-an kung diin gitipigan ang mga troso o wala’y access niini. Dinhi kinahanglan nga mosulod sa negosasyon sa cloud service provider - tingali maghatag siya sa ingon nga kasayuran kung giisip niya ang kliyente nga hinungdanon kaniya. Apan sa kinatibuk-an, dili kaayo maayo kung ang pag-access sa mga troso gihatag "pinaagi sa espesyal nga desisyon."
Nahitabo usab nga ang cloud provider adunay mga log, apan naghatag sila og limitado nga pag-monitor ug pagrekord sa panghitabo, nga dili igo aron mahibal-an ang tanan nga mga insidente. Pananglitan, mahimo ka lang makadawat og mga log sa mga pagbag-o sa usa ka website o mga log sa pagsulay sa pag-authenticate sa gumagamit, apan dili sa ubang mga panghitabo, sama sa trapiko sa network, nga magtago gikan kanimo usa ka tibuuk nga layer sa mga panghitabo nga nagpaila sa mga pagsulay sa pag-hack sa imong imprastraktura sa panganod.
Adunay mga troso, apan ang pag-access niini lisud nga i-automate, nga nagpugos kanila nga bantayan dili kanunay, apan sa usa ka iskedyul. Ug kung dili ka maka-download sa mga troso nga awtomatiko, unya ang pag-download sa mga troso, pananglitan, sa format sa Excel (sama sa daghang mga domestic cloud solution providers), mahimo’g mosangput sa usa ka pagduha-duha sa bahin sa serbisyo sa seguridad sa kasayuran sa korporasyon nga mag-tinker kanila.
Walay pagmonitor sa log. Kini tingali ang labing dili klaro nga hinungdan sa pagkahitabo sa mga insidente sa seguridad sa kasayuran sa mga palibot sa panganod. Morag adunay mga troso, ug posible nga i-automate ang pag-access niini, apan walay usa nga nagbuhat niini. Ngano man?

Gipaambit nga konsepto sa seguridad sa panganod

Ang pagbalhin ngadto sa panganod mao ang kanunay nga pagpangita alang sa balanse tali sa tinguha sa pagpadayon sa kontrol sa imprastraktura ug pagbalhin niini ngadto sa mas propesyonal nga mga kamot sa usa ka cloud provider nga espesyalista sa pagmintinar niini. Ug sa natad sa seguridad sa panganod, kini nga balanse kinahanglan usab nga pangitaon. Dugang pa, depende sa modelo sa paghatud sa serbisyo sa panganod nga gigamit (IaaS, PaaS, SaaS), kini nga balanse magkalainlain sa tanan nga oras. Sa bisan unsang kaso, kinahanglan natong hinumdoman nga ang tanan nga cloud providers karon nagsunod sa gitawag nga shared responsibility ug shared information security model. Ang panganod mao ang responsable sa pipila ka mga butang, ug alang sa uban ang kliyente ang responsable, pagbutang sa iyang data, sa iyang mga aplikasyon, sa iyang mga virtual machine ug uban pang mga kapanguhaan sa panganod. Kini mahimong walay pagtagad sa pagpaabut nga pinaagi sa pag-adto sa panganod, atong ibalhin ang tanang responsibilidad ngadto sa provider. Apan dili usab maalamon ang paghimo sa tanan nga seguridad sa imong kaugalingon kung mobalhin sa panganod. Kinahanglan ang balanse, nga magdepende sa daghang mga hinungdan: - estratehiya sa pagdumala sa peligro, modelo sa hulga, mga mekanismo sa seguridad nga magamit sa taghatag sa panganod, lehislasyon, ug uban pa.

Pananglitan, ang klasipikasyon sa datos nga gi-host sa panganod kanunay nga responsibilidad sa kustomer. Ang usa ka cloud provider o usa ka eksternal nga service provider makatabang lamang kaniya sa mga himan nga makatabang sa pagmarka sa datos sa panganod, pag-ila sa mga paglapas, pagtangtang sa datos nga nakalapas sa balaod, o pag-mask niini gamit ang usa ka paagi o lain. Sa laing bahin, ang pisikal nga seguridad kanunay nga responsibilidad sa cloud provider, nga dili kini ipaambit sa mga kliyente. Apan ang tanan nga naa sa taliwala sa datos ug pisikal nga imprastraktura mao gyud ang hilisgutan sa panaghisgot sa kini nga artikulo. Pananglitan, ang pagkaanaa sa panganod mao ang responsibilidad sa provider, ug ang pag-set up sa mga lagda sa firewall o pagpa-enable sa encryption mao ang responsibilidad sa kliyente. Niini nga artikulo atong sulayan nga tan-awon kung unsang mga mekanismo sa pag-monitor sa seguridad sa impormasyon ang gihatag karon sa lainlaing mga sikat nga cloud provider sa Russia, unsa ang mga bahin sa ilang paggamit, ug kanus-a kini angay nga tan-awon ang mga solusyon sa gawas nga overlay (pananglitan, Cisco E- mail Security) nga nagpalapad sa mga kapabilidad sa imong panganod sa termino sa cybersecurity. Sa pipila ka mga kaso, ilabi na kung nagsunod ka sa usa ka multi-cloud nga estratehiya, wala ka'y kapilian gawas sa paggamit sa mga solusyon sa pagmonitor sa seguridad sa gawas sa impormasyon sa daghang mga cloud environment sa usa ka higayon (pananglitan, Cisco CloudLock o Cisco Stealthwatch Cloud). Aw, sa pipila ka mga kaso makaamgo ka nga ang cloud provider nga imong gipili (o gipahamtang kanimo) wala magtanyag bisan unsang mga kapabilidad sa pag-monitor sa seguridad sa kasayuran. Dili kini maayo, apan dili usab gamay, tungod kay gitugotan ka nga masusi ang lebel sa peligro nga may kalabotan sa pagtrabaho sa kini nga panganod.

Lifecycle sa Pag-monitor sa Seguridad sa Cloud

Aron mabantayan ang seguridad sa mga panganod nga imong gigamit, adunay ka lang tulo nga kapilian:

salig sa mga himan nga gihatag sa imong cloud provider,
gamita ang mga solusyon gikan sa mga ikatulo nga partido nga magmonitor sa IaaS, PaaS o SaaS nga mga plataporma nga imong gigamit,
paghimo sa imong kaugalingon nga cloud monitoring infrastructure (alang lamang sa IaaS/PaaS nga mga plataporma).

Atong tan-awon kung unsang mga bahin ang naa sa matag usa niini nga mga kapilian. Apan una, kinahanglan natong masabtan ang kinatibuk-ang gambalay nga gamiton sa pag-monitor sa mga cloud platform. Akong ipasiugda ang 6 nga nag-unang mga sangkap sa proseso sa pag-monitor sa seguridad sa impormasyon sa panganod:

Pag-andam sa imprastraktura. Pagtino sa gikinahanglan nga mga aplikasyon ug imprastraktura alang sa pagkolekta sa mga panghitabo nga importante alang sa seguridad sa impormasyon ngadto sa pagtipig.
Koleksyon. Sa kini nga yugto, ang mga panghitabo sa seguridad giipon gikan sa lainlaing mga gigikanan alang sa sunod nga transmission alang sa pagproseso, pagtipig ug pagtuki.
Pagtambal. Niini nga yugto, ang datos giusab ug gipadato aron mapadali ang sunod nga pagtuki.
Pagtipig. Kini nga sangkap mao ang responsable alang sa mubo ug dugay nga pagtipig sa nakolekta nga naproseso ug hilaw nga datos.
Pagtuki. Niini nga yugto, ikaw adunay katakus sa pag-ila sa mga insidente ug pagtubag niini awtomatiko o mano-mano.
Pagreport. Kini nga yugto makatabang sa paghimo og mga mahinungdanong indikasyon alang sa mga stakeholder (pagdumala, mga auditor, cloud provider, mga kliyente, ug uban pa) nga makatabang kanato sa paghimo og piho nga mga desisyon, pananglitan, pag-ilis sa usa ka provider o pagpalig-on sa seguridad sa impormasyon.

Ang pagsabut niini nga mga sangkap magtugot kanimo sa dali nga pagdesisyon sa umaabot kung unsa ang imong makuha gikan sa imong provider ug kung unsa ang kinahanglan nimong buhaton sa imong kaugalingon o uban ang pag-apil sa mga eksternal nga consultant.

Gitukod nga mga serbisyo sa panganod

Gisulat na nako sa ibabaw nga daghang mga serbisyo sa panganod karon wala maghatag bisan unsang kapabilidad sa pag-monitor sa seguridad sa kasayuran. Sa kinatibuk-an, wala kaayo sila magtagad sa hilisgutan sa kasiguruhan sa kasayuran. Pananglitan, usa sa mga sikat nga serbisyo sa Russia alang sa pagpadala sa mga taho sa mga ahensya sa gobyerno pinaagi sa Internet (dili nako espesipikong hisgutan ang ngalan niini). Ang tibuok seksyon mahitungod sa seguridad niini nga serbisyo nagtuyok sa paggamit sa certified CIPF. Ang seksyon sa seguridad sa impormasyon sa laing domestic cloud nga serbisyo alang sa pagdumala sa elektronik nga dokumento walay kalainan. Naghisgot kini mahitungod sa mga public key certificates, certified cryptography, pagwagtang sa mga kahuyangan sa web, proteksyon batok sa mga pag-atake sa DDoS, paggamit sa mga firewall, backup, ug bisan sa regular nga pag-audit sa seguridad sa impormasyon. Apan wala'y usa ka pulong mahitungod sa pag-monitor, ni mahitungod sa posibilidad nga makakuha og access sa mga panghitabo sa seguridad sa impormasyon nga mahimong interesado sa mga kliyente niini nga service provider.

Sa kinatibuk-an, sa paagi nga ang cloud provider naghulagway sa mga isyu sa seguridad sa impormasyon sa website niini ug sa dokumentasyon niini, masabtan nimo kung unsa ka seryoso kini nga isyu. Pananglitan, kung gibasa nimo ang mga manwal alang sa mga produkto nga "Akong Opisina", wala’y pulong bahin sa seguridad, apan sa dokumentasyon alang sa bulag nga produkto nga "Akong Opisina. KS3", nga gilaraw aron mapanalipdan batok sa dili awtorisado nga pag-access, adunay naandan nga lista sa mga punto sa ika-17 nga han-ay sa FSTEC, nga gipatuman sa "My Office.KS3", apan wala kini gihulagway kung giunsa kini gipatuman ug, labing hinungdanon, kung giunsa i-integrate kini nga mga mekanismo sa corporate information security. Tingali adunay ingon nga dokumentasyon, apan wala nako kini makit-an sa publiko nga domain, sa website nga "Akong Opisina". Bisan tuod tingali wala akoy access niining sekretong impormasyon?..

Alang kang Bitrix, mas maayo ang kahimtang. Gihubit sa dokumentasyon ang mga pormat sa mga log sa panghitabo ug, sa makaiikag, ang intrusion log, nga naglangkob sa mga panghitabo nga may kalabutan sa potensyal nga mga hulga sa cloud platform. Gikan didto mahimo nimong makuha ang IP, ngalan sa tiggamit o bisita, gigikanan sa panghitabo, oras, Ahente sa Gumagamit, tipo sa panghitabo, ug uban pa. Tinuod, mahimo nimong buhaton kini nga mga panghitabo gikan sa control panel sa panganod mismo, o mag-upload og data sa format nga MS Excel. Lisud na karon ang pag-automate sa trabaho gamit ang mga log sa Bitrix ug kinahanglan nimo nga buhaton ang pipila sa trabaho nga mano-mano (pag-upload sa taho ug pagkarga niini sa imong SIEM). Apan kung atong hinumdoman nga hangtod sa bag-o lang ang ingon nga oportunidad wala maglungtad, nan kini usa ka dako nga pag-uswag. Sa parehas nga oras, gusto nako nga matikdan nga daghang mga langyaw nga cloud provider ang nagtanyag parehas nga pag-andar "para sa mga nagsugod" - tan-awa ang mga troso gamit ang imong mga mata pinaagi sa control panel, o i-upload ang data sa imong kaugalingon (bisan pa, kadaghanan sa pag-upload sa datos sa . csv format, dili Excel).

Kung wala’y pagkonsiderar sa kapilian nga wala’y log, ang mga taghatag sa panganod kasagarang nagtanyag kanimo tulo nga kapilian alang sa pag-monitor sa mga panghitabo sa seguridad - mga dashboard, pag-upload sa datos ug pag-access sa API. Ang una daw nagsulbad sa daghang mga problema alang kanimo, apan kini dili hingpit nga tinuod - kung ikaw adunay daghang mga magasin, kinahanglan ka nga magbalhin tali sa mga screen nga nagpakita niini, nga mawala ang kinatibuk-ang hulagway. Dugang pa, ang cloud provider dili tingali makahatag kanimo og abilidad sa pag-correlate sa mga panghitabo sa seguridad ug sa kasagaran pag-analisar niini gikan sa usa ka punto sa seguridad (kasagaran ikaw nag-atubang sa hilaw nga datos, nga kinahanglan nimo nga masabtan ang imong kaugalingon). Adunay mga eksepsiyon ug hisgotan pa nato kini. Sa katapusan, angay nga pangutan-on kung unsang mga panghitabo ang natala sa imong cloud provider, sa unsang pormat, ug giunsa kini katumbas sa imong proseso sa pagmonitor sa seguridad sa impormasyon? Pananglitan, pag-ila ug pag-ila sa mga tiggamit ug mga bisita. Ang sama nga Bitrix nagtugot kanimo, base niini nga mga panghitabo, sa pagrekord sa petsa ug oras sa panghitabo, ang ngalan sa user o bisita (kon ikaw adunay "Web Analytics" module), ang butang nga na-access ug uban pang mga elemento nga kasagaran sa usa ka website . Apan ang mga serbisyo sa seguridad sa impormasyon sa korporasyon mahimong manginahanglan ug kasayuran kung gi-access ba sa gumagamit ang panganod gikan sa usa ka kasaligan nga aparato (pananglitan, sa usa ka network sa korporasyon kini nga buluhaton gipatuman sa Cisco ISE). Unsa ang mahitungod sa usa ka yano nga buluhaton sama sa geo-IP function, nga makatabang sa pagtino kon ang usa ka cloud service user account gikawat? Ug bisan kung gihatag kini sa cloud provider kanimo, dili kini igo. Ang parehas nga Cisco CloudLock wala lang nag-analisar sa geolocation, apan naggamit sa pagkat-on sa makina alang niini ug nag-analisar sa makasaysayan nga datos alang sa matag tiggamit ug nag-monitor sa lainlaing mga anomaliya sa mga pagsulay sa pag-ila ug pag-authenticate. Ang MS Azure ra ang adunay parehas nga pagpaandar (kung adunay ka angay nga suskrisyon).

Adunay lain nga kalisud - tungod kay alang sa daghang mga cloud providers nga pag-monitor sa seguridad sa kasayuran usa ka bag-ong hilisgutan nga bag-o pa lang nila gisugdan, sila kanunay nga nagbag-o sa usa ka butang sa ilang mga solusyon. Karon sila adunay usa ka bersyon sa API, ugma usa pa, pagkaugma usa ka ikatulo. Kinahanglan ka usab nga mangandam alang niini. Tinuod usab kini sa pag-andar, nga mahimong magbag-o, nga kinahanglan nga tagdon sa imong sistema sa pag-monitor sa seguridad sa impormasyon. Pananglitan, ang Amazon sa sinugdan adunay bulag nga serbisyo sa pag-monitor sa panghitabo sa panganod-AWS CloudTrail ug AWS CloudWatch. Unya usa ka bulag nga serbisyo alang sa pag-monitor sa mga panghitabo sa seguridad sa kasayuran nagpakita - AWS GuardDuty. Human sa pipila ka panahon, gilusad sa Amazon ang usa ka bag-ong sistema sa pagdumala, ang Amazon Security Hub, nga naglakip sa pagtuki sa mga datos nga nadawat gikan sa GuardDuty, Amazon Inspector, Amazon Macie ug uban pa. Ang laing pananglitan mao ang Azure log integration tool sa SIEM - AzLog. Aktibo kini nga gigamit sa daghang mga tigbaligya sa SIEM, hangtod sa 2018 gipahibalo sa Microsoft ang paghunong sa pag-uswag ug suporta niini, nga nag-atubang sa daghang mga kliyente nga naggamit niini nga himan nga adunay problema (maghisgot kami kung giunsa kini nasulbad sa ulahi).

Busa, bantayan pag-ayo ang tanan nga mga bahin sa pag-monitor nga gitanyag kanimo sa imong cloud provider. O magsalig sa mga external solution providers nga molihok isip mga tigpataliwala tali sa imong SOC ug sa panganod nga gusto nimong bantayan. Oo, kini mahimong mas mahal (bisan dili kanunay), apan imong ibalhin ang tanan nga responsibilidad ngadto sa mga abaga sa uban. O dili ang tanan?.. Atong hinumdoman ang konsepto sa gipaambit nga seguridad ug masabtan nga dili kita makabalhin bisan unsa - kinahanglan naton nga independente nga masabtan kung giunsa ang lainlaing mga cloud providers naghatag pag-monitor sa seguridad sa impormasyon sa imong datos, aplikasyon, virtual machine ug uban pang mga kapanguhaan gi-host sa panganod. Ug magsugod kami sa gitanyag sa Amazon niini nga bahin.

Pananglitan: Pag-monitor sa seguridad sa impormasyon sa IaaS base sa AWS

Oo, oo, akong nasabtan nga ang Amazon dili ang pinakamaayo nga panig-ingnan tungod sa kamatuoran nga kini usa ka serbisyo sa Amerika ug kini mahimong babagan isip kabahin sa pagpakig-away batok sa ekstremismo ug sa pagsabwag sa impormasyon nga gidili sa Russia. Apan sa kini nga publikasyon gusto lang nako ipakita kung giunsa ang lainlaing mga platform sa panganod nga lahi sa ilang mga kapabilidad sa pag-monitor sa seguridad sa kasayuran ug kung unsa ang kinahanglan nimong hatagan pagtagad kung gibalhin ang imong mga yawe nga proseso sa mga panganod gikan sa usa ka punto sa seguridad. Aw, kung ang pipila sa mga Ruso nga nag-develop sa mga solusyon sa panganod makakat-on usa ka butang nga mapuslanon alang sa ilang kaugalingon, nan maayo kana.

Ang una nga isulti mao nga ang Amazon dili usa ka dili masulud nga kuta. Nagkalain-laing insidente ang kanunay mahitabo sa iyang mga kliyente. Pananglitan, ang mga ngalan, adres, petsa sa pagkatawo, ug mga numero sa telepono sa 198 ka milyon nga mga botante gikawat gikan sa Deep Root Analytics. Ang kompanya sa Israel nga Nice Systems nangawat sa 14 milyon nga mga rekord sa mga subscriber sa Verizon. Bisan pa, ang mga built-in nga kapabilidad sa AWS nagtugot kanimo nga makit-an ang daghang mga insidente. Pananglitan:

epekto sa imprastraktura (DDoS)
pagkompromiso sa node (pag-injection sa mando)
pagkompromiso sa account ug dili awtorisado nga pag-access
sayop nga configuration ug mga kahuyang
walay kasegurohan nga mga interface ug mga API.

Kini nga kalainan tungod sa kamatuoran nga, sama sa among nahibal-an sa ibabaw, ang kustomer mismo ang responsable sa seguridad sa datos sa kustomer. Ug kung wala siya maghago sa pag-on sa mga mekanismo sa pagpanalipod ug wala pag-on sa mga himan sa pag-monitor, nan mahibal-an ra niya ang bahin sa insidente gikan sa media o gikan sa iyang mga kliyente.

Aron mahibal-an ang mga insidente, mahimo nimong gamiton ang usa ka halapad nga lainlaing mga serbisyo sa pag-monitor nga gihimo sa Amazon (bisan kung kini kanunay nga gidugangan sa mga gamit sa gawas sama sa osquery). Mao nga, sa AWS, ang tanan nga mga aksyon sa tiggamit gibantayan, bisan kung giunsa kini gihimo - pinaagi sa console sa pagdumala, linya sa mando, SDK o uban pang mga serbisyo sa AWS. Ang tanang rekord sa matag kalihokan sa AWS account (lakip ang username, aksyon, serbisyo, mga parameter sa kalihokan, ug resulta) ug paggamit sa API anaa pinaagi sa AWS CloudTrail. Mahimo nimong tan-awon kini nga mga panghitabo (sama sa AWS IAM console logins) gikan sa CloudTrail console, analisa kini gamit ang Amazon Athena, o "i-outsource" kini sa mga external nga solusyon sama sa Splunk, AlienVault, ug uban pa. Ang mga log sa AWS CloudTrail mismo gibutang sa imong AWS S3 bucket.

Duha pa ka serbisyo sa AWS ang naghatag daghang uban pang hinungdanon nga kapabilidad sa pag-monitor. Una, ang Amazon CloudWatch usa ka serbisyo sa pag-monitor alang sa mga kahinguhaan ug aplikasyon sa AWS nga, taliwala sa ubang mga butang, nagtugot kanimo sa pag-ila sa lainlaing mga anomaliya sa imong panganod. Ang tanan nga mga built-in nga serbisyo sa AWS, sama sa Amazon Elastic Compute Cloud (servers), Amazon Relational Database Service (mga database), Amazon Elastic MapReduce (data analysis), ug 30 ka uban pang serbisyo sa Amazon, naggamit sa Amazon CloudWatch sa pagtipig sa ilang mga log. Mahimong gamiton sa mga developer ang bukas nga API gikan sa Amazon CloudWatch aron idugang ang pag-andar sa pag-monitor sa log sa mga kostumbre nga aplikasyon ug serbisyo, nga gitugotan sila nga mapalapad ang sakup sa pag-analisar sa panghitabo sulod sa konteksto sa seguridad.

Ikaduha, ang serbisyo sa VPC Flow Logs nagtugot kanimo sa pag-analisar sa trapiko sa network nga gipadala o nadawat sa imong mga server sa AWS (sa gawas o sa sulod), ingon man tali sa mga microservice. Kung ang bisan kinsa sa imong AWS VPC nga mga kapanguhaan makig-uban sa network, ang VPC Flow Logs nagrekord sa mga detalye bahin sa trapiko sa network, lakip ang gigikanan ug destinasyon nga interface sa network, ingon man ang mga IP address, pantalan, protocol, gidaghanon sa mga byte, ug gidaghanon sa mga pakete nga imong nakakita. Kadtong nakasinati sa seguridad sa lokal nga network makaila niini nga susama sa mga hilo NetFlow, nga mahimo pinaagi sa switch, routers ug enterprise-grade firewalls. Importante kini nga mga log alang sa mga katuyoan sa pagmonitor sa seguridad sa impormasyon tungod kay, dili sama sa mga panghitabo mahitungod sa mga aksyon sa mga tiggamit ug mga aplikasyon, sila usab nagtugot kanimo nga dili masipyat sa mga interaksyon sa network sa AWS virtual private cloud environment.

Sa katingbanan, kining tulo ka mga serbisyo sa AWS—AWS CloudTrail, Amazon CloudWatch, ug VPC Flow Logs—nag-uban nga naghatag ug kusog nga pagsabot sa paggamit sa imong account, pamatasan sa user, pagdumala sa imprastraktura, kalihokan sa aplikasyon ug serbisyo, ug kalihokan sa network. Pananglitan, sila mahimong gamiton sa pag-ila sa mosunod nga mga anomaliya:

Mga pagsulay sa pag-scan sa site, pagpangita sa mga backdoor, pagpangita sa mga kahuyangan pinaagi sa mga pagbuto sa "404 nga mga sayup".
Mga pag-atake sa injection (pananglitan, SQL injection) pinaagi sa mga pagbuto sa "500 nga mga sayup".
Ang nailhan nga mga himan sa pag-atake mao ang sqlmap, nikto, w3af, nmap, ug uban pa. pinaagi sa pagtuki sa uma sa User Agent.

Ang Amazon Web Services nakahimo usab og uban pang mga serbisyo alang sa mga katuyoan sa cybersecurity nga nagtugot kanimo sa pagsulbad sa daghang uban pang mga problema. Pananglitan, ang AWS adunay built-in nga serbisyo para sa mga polisiya sa pag-awdit ug mga configuration - AWS Config. Kini nga serbisyo naghatag ug padayon nga pag-audit sa imong mga kahinguhaan sa AWS ug sa ilang mga pag-configure. Atong kuhaon ang usa ka yano nga pananglitan: Ingnon ta nga gusto nimong masiguro nga ang mga password sa gumagamit gibabagan sa tanan nimo nga mga server ug nga ang pag-access posible ra base sa mga sertipiko. Gipasayon sa AWS Config ang pagsusi niini para sa tanan nimong mga server. Adunay uban nga mga palisiya nga mahimong magamit sa imong mga cloud server: "Walay server ang makagamit sa port 22", "Ang mga administrador ra ang makabag-o sa mga lagda sa firewall" o "Ang user ra nga si Ivashko ang makahimo og bag-ong mga account sa gumagamit, ug mahimo niya kini sa Martes ra. " Sa ting-init sa 2016, ang serbisyo sa AWS Config gipalapdan aron awtomatiko ang pagkakita sa mga paglapas sa mga naugmad nga mga palisiya. Ang AWS Config Rules mao ang esensya nga padayon nga mga hangyo sa pag-configure alang sa mga serbisyo sa Amazon nga imong gigamit, nga makamugna og mga panghitabo kung ang katugbang nga mga palisiya gilapas. Pananglitan, imbes nga magdagan matag karon ug unya ang mga pangutana sa AWS Config aron mapamatud-an nga ang tanan nga mga disk sa usa ka virtual server na-encrypt, ang AWS Config Rules mahimong magamit aron padayon nga susihon ang mga disk sa server aron masiguro nga kini nga kondisyon natuman. Ug, labaw sa tanan, sa konteksto sa kini nga publikasyon, ang bisan unsang mga paglapas makamugna og mga panghitabo nga masusi sa imong serbisyo sa seguridad sa impormasyon.

Adunay usab ang AWS nga katumbas sa tradisyonal nga mga solusyon sa seguridad sa kasayuran sa korporasyon, nga nagmugna usab mga panghitabo sa seguridad nga mahimo nimo ug kinahanglan nga analisahon:

Intrusion Detection - AWS GuardDuty
Information Leak Control - AWS Macie
EDR (bisan kung kini naghisgot bahin sa mga endpoint sa panganod nga medyo katingad-an) - AWS Cloudwatch + open source osquery o GRR nga mga solusyon
Pagtuki sa Netflow - AWS Cloudwatch + AWS VPC Flow
Pagtuki sa DNS - AWS Cloudwatch + AWS Route53
AD - Serbisyo sa Direktoryo sa AWS
Pagdumala sa Account - AWS IAM
SSO - AWS SSO
pagtuki sa seguridad - AWS Inspector
pagdumala sa configuration - AWS Config
WAF - AWS WAF.

Dili nako ihulagway sa detalye ang tanang serbisyo sa Amazon nga mahimong mapuslanon sa konteksto sa seguridad sa impormasyon. Ang nag-unang butang mao ang pagsabut nga silang tanan makamugna og mga panghitabo nga mahimo ug kinahanglan natong analisahon sa konteksto sa seguridad sa impormasyon, gamit alang niini nga katuyoan ang mga built-in nga kapabilidad sa Amazon mismo ug ang mga eksternal nga solusyon, pananglitan, SIEM, nga mahimo Dad-a ang mga panghitabo sa seguridad sa imong sentro sa pag-monitor ug analisa kini didto kauban ang mga panghitabo gikan sa ubang mga serbisyo sa panganod o gikan sa internal nga imprastraktura, perimeter o mobile device.

Sa bisan unsang kaso, kini tanan nagsugod sa mga tinubdan sa datos nga naghatag kanimo sa mga panghitabo sa seguridad sa impormasyon. Kini nga mga tinubdan naglakip, apan dili limitado sa:

CloudTrail - Paggamit sa API ug Mga Aksyon sa Gumagamit
Gisaligan nga Advisor - pagsusi sa seguridad batok sa labing kaayo nga mga gawi
Config - imbentaryo ug pag-configure sa mga account ug mga setting sa serbisyo
VPC Flow Logs - mga koneksyon sa mga virtual nga interface
IAM - serbisyo sa pag-ila ug pag-ila
ELB Access Logs - Load Balancer
Inspektor - mga kahuyangan sa aplikasyon
S3 - pagtipig sa file
CloudWatch - Kalihokan sa Aplikasyon
Ang SNS usa ka serbisyo sa pagpahibalo.

Ang Amazon, samtang nagtanyag sa ingon nga usa ka lainlaing mga gigikanan sa panghitabo ug mga himan alang sa ilang henerasyon, limitado kaayo sa abilidad sa pag-analisar sa mga nakolekta nga datos sa konteksto sa seguridad sa kasayuran. Kinahanglan nimo nga independente nga tun-an ang magamit nga mga troso, mangita alang sa mga may kalabutan nga mga timailhan sa pagkompromiso sa kanila. Ang AWS Security Hub, nga bag-o lang gilusad sa Amazon, nagtumong sa pagsulbad niini nga problema pinaagi sa pagkahimong cloud SIEM para sa AWS. Apan sa pagkakaron kini anaa lamang sa sinugdanan sa iyang panaw ug limitado sa gidaghanon sa mga tinubdan diin kini nagtrabaho ug sa ubang mga pagdili nga gitukod sa arkitektura ug mga suskrisyon sa Amazon mismo.

Pananglitan: Pag-monitor sa seguridad sa impormasyon sa IaaS base sa Azure

Dili ko gusto nga mosulod sa usa ka taas nga debate kon hain sa tulo ka cloud providers (Amazon, Microsoft o Google) ang mas maayo (ilabi na kay ang matag usa kanila aduna pa'y kaugalingong piho nga mga detalye ug angay alang sa pagsulbad sa kaugalingon nga mga problema); Atong ipunting ang mga kapabilidad sa pag-monitor sa seguridad sa kasayuran nga gihatag sa kini nga mga magdudula. Kinahanglan nga dawaton nga ang Amazon AWS usa sa una sa kini nga bahin ug busa nag-uswag sa labing layo sa mga termino sa mga gimbuhaton sa seguridad sa kasayuran niini (bisan kung daghan ang miangkon nga lisud kini gamiton). Apan wala kini magpasabot nga atong ibaliwala ang mga oportunidad nga gihatag kanato sa Microsoft ug Google.

Ang mga produkto sa Microsoft kanunay nga mailhan pinaagi sa ilang "pagkabukas" ug sa Azure parehas ang kahimtang. Pananglitan, kung ang AWS ug GCP kanunay nga magpadayon gikan sa konsepto nga "gidili ang dili gitugotan," nan ang Azure adunay eksaktong kaatbang nga pamaagi. Pananglitan, sa paghimo sa usa ka virtual nga network sa panganod ug usa ka virtual nga makina niini, ang tanan nga mga pantalan ug mga protocol bukas ug gitugotan sa default. Busa, kinahanglan ka nga mogasto og gamay nga paningkamot sa inisyal nga pag-setup sa access control system sa cloud gikan sa Microsoft. Ug nagpahamtang usab kini og mas higpit nga mga kinahanglanon kanimo bahin sa kalihokan sa pag-monitor sa Azure cloud.

Ang AWS adunay usa ka peculiarity nga may kalabutan sa kamatuoran nga kung imong bantayan ang imong virtual nga mga kahinguhaan, kung kini nahimutang sa lainlaing mga rehiyon, nan adunay ka mga kalisud sa paghiusa sa tanan nga mga panghitabo ug sa ilang hiniusa nga pagtuki, aron mapapas nga kinahanglan nimo nga gamiton ang lainlaing mga limbong, sama sa Paghimo sa imong kaugalingon nga code alang sa AWS Lambda nga magdala sa mga panghitabo tali sa mga rehiyon. Wala niini nga problema ang Azure - ang mekanismo sa Log sa Aktibidad niini nagsubay sa tanang kalihokan sa tibuok organisasyon nga walay mga pagdili. Ang sama nga magamit sa AWS Security Hub, nga bag-o lang gimugna sa Amazon aron makonsolida ang daghang mga function sa seguridad sulod sa usa ka sentro sa seguridad, apan sulod lamang sa rehiyon niini, nga, bisan pa, dili angay alang sa Russia. Ang Azure adunay kaugalingon nga Security Center, nga wala gigapos sa mga pagdili sa rehiyon, nga naghatag access sa tanan nga mga bahin sa seguridad sa platform sa panganod. Dugang pa, alang sa lain-laing mga lokal nga mga team kini makahatag sa kaugalingon nga hugpong sa mga kapabilidad sa pagpanalipod, lakip ang mga panghitabo sa seguridad nga gidumala nila. Ang AWS Security Hub nagpaingon pa nga mahimong susama sa Azure Security Center. Apan angayan nga idugang ang usa ka langaw sa ointment - mahimo nimong ipislit gikan sa Azure ang daghang gihulagway kaniadto sa AWS, apan kini labi ka dali nga buhaton alang sa Azure AD, Azure Monitor ug Azure Security Center. Ang tanan nga uban pang mga mekanismo sa seguridad sa Azure, lakip ang pagtuki sa panghitabo sa seguridad, wala pa madumala sa labing kombenyente nga paagi. Ang problema bahin nga nasulbad sa API, nga milukop sa tanan nga mga serbisyo sa Microsoft Azure, apan magkinahanglan kini og dugang nga paningkamot gikan kanimo aron mahiusa ang imong panganod sa imong SOC ug ang presensya sa mga kwalipikado nga mga espesyalista (sa tinuud, sama sa bisan unsang ubang SIEM nga nagtrabaho sa panganod. mga API). Ang pipila ka mga SIEM, nga hisgutan sa ulahi, nagsuporta na sa Azure ug mahimo’g awtomatiko ang tahas sa pag-monitor niini, apan kini usab adunay kaugalingon nga mga kalisud - dili tanan niini makakolekta sa tanan nga mga troso nga naa sa Azure.

Ang pagkolekta ug pagmonitor sa panghitabo sa Azure gihatag gamit ang serbisyo sa Azure Monitor, nga mao ang nag-unang himan sa pagkolekta, pagtipig ug pag-analisar sa datos sa Microsoft cloud ug sa mga kahinguhaan niini - Git repository, containers, virtual machines, applications, etc. Ang tanan nga datos nga nakolekta sa Azure Monitor gibahin sa duha ka mga kategorya - mga sukatan, nakolekta sa tinuud nga oras ug naghulagway sa hinungdanon nga mga indikasyon sa pasundayag sa Azure nga panganod, ug mga troso, nga adunay sulud nga datos nga giorganisar sa mga rekord nga nagpaila sa pipila nga mga aspeto sa kalihokan sa mga kahinguhaan ug serbisyo sa Azure. Dugang pa, gamit ang Data Collector API, ang serbisyo sa Azure Monitor mahimong mangolekta og datos gikan sa bisan unsang REST nga tinubdan aron makahimo og kaugalingon nga mga senaryo sa pag-monitor.

Ania ang pipila ka mga tinubdan sa panghitabo sa seguridad nga gitanyag kanimo ni Azure ug nga imong ma-access pinaagi sa Azure Portal, CLI, PowerShell, o REST API (ug ang uban pinaagi lamang sa Azure Monitor/Insight API):

Mga Log sa Kalihokan - kini nga log nagtubag sa mga klasiko nga pangutana sa "kinsa," "unsa," ug "kanus-a" bahin sa bisan unsang operasyon sa pagsulat (PUT, POST, DELETE) sa mga kapanguhaan sa panganod. Ang mga panghitabo nga may kalabotan sa pag-access sa pagbasa (GET) wala gilakip sa kini nga log, sama sa daghang uban pa.
Diagnostic Logs - adunay mga datos sa mga operasyon nga adunay partikular nga kapanguhaan nga gilakip sa imong suskrisyon.
Pagreport sa Azure AD - naglangkob sa kalihokan sa tiggamit ug kalihokan sa sistema nga may kalabotan sa pagdumala sa grupo ug tiggamit.
Windows Event Log ug Linux Syslog - adunay mga panghitabo gikan sa mga virtual machine nga gi-host sa cloud.
Mga Sukatan - adunay telemetry bahin sa performance ug kahimtang sa kahimsog sa imong mga serbisyo ug kahinguhaan sa panganod. Gisukod matag minuto ug gitipigan. sulod sa 30 ka adlaw.
Network Security Group Flow Logs - adunay mga datos sa mga panghitabo sa seguridad sa network nga nakolekta gamit ang serbisyo sa Network Watcher ug pag-monitor sa kapanguhaan sa lebel sa network.
Mga Log sa Pagtipig - adunay mga panghitabo nga may kalabotan sa pag-access sa mga pasilidad sa pagtipig.

Alang sa pagmonitor, mahimo nimong gamiton ang mga eksternal nga SIEM o ang built-in nga Azure Monitor ug ang mga extension niini. Maghisgot kami bahin sa mga sistema sa pagdumala sa panghitabo sa seguridad sa kasayuran sa ulahi, apan sa pagkakaron tan-awon naton kung unsa ang gitanyag sa Azure mismo alang sa pag-analisar sa datos sa konteksto sa seguridad. Ang panguna nga screen alang sa tanan nga may kalabotan sa seguridad sa Azure Monitor mao ang Log Analytics Security ug Audit Dashboard (ang libre nga bersyon nagsuporta sa limitado nga kantidad sa pagtipig sa panghitabo sa usa lang ka semana). Kini nga dashboard gibahin ngadto sa 5 ka nag-unang mga dapit nga nagtan-aw sa summary statistics sa unsay nahitabo sa cloud environment nga imong gigamit:

Mga Domain sa Seguridad - yawe nga mga indikasyon sa quantitative nga may kalabutan sa seguridad sa impormasyon - ang gidaghanon sa mga insidente, ang gidaghanon sa mga nakompromiso nga mga node, wala ma-patch nga mga node, mga panghitabo sa seguridad sa network, ug uban pa.
Talagsaong mga Isyu - nagpakita sa gidaghanon ug kamahinungdanon sa mga aktibong isyu sa seguridad sa impormasyon
Mga Deteksiyon - nagpakita sa mga sumbanan sa mga pag-atake nga gigamit batok kanimo
Threat Intelligence - nagpakita sa geographic nga impormasyon sa mga external node nga nag-atake kanimo
Komon nga mga pangutana sa seguridad - kasagaran nga mga pangutana nga makatabang kanimo sa pagmonitor sa imong seguridad sa impormasyon.

Ang mga extension sa Azure Monitor naglakip sa Azure Key Vault (pagpanalipod sa mga cryptographic nga yawe sa panganod), Malware Assessment (pag-analisar sa proteksyon batok sa malisyosong code sa mga virtual machine), Azure Application Gateway Analytics (pagtuki sa, ug uban pang mga butang, cloud firewall logs), ug uban pa. . Kini nga mga himan, nga gipadato sa pipila nga mga lagda alang sa pagproseso sa mga panghitabo, nagtugot kanimo sa paghanduraw sa lainlaing mga aspeto sa kalihokan sa mga serbisyo sa panganod, lakip ang seguridad, ug pag-ila sa pipila nga mga pagtipas gikan sa operasyon. Apan, sama sa kanunay nga mahitabo, ang bisan unsang dugang nga pag-andar nanginahanglan usa ka katugbang nga bayad nga suskrisyon, nga nanginahanglan katugbang nga pamuhunan sa pinansyal gikan kanimo, nga kinahanglan nimo nga magplano daan.

Ang Azure adunay daghang mga built-in nga kapabilidad sa pag-monitor sa hulga nga gisagol sa Azure AD, Azure Monitor, ug Azure Security Center. Lakip kanila, pananglitan, ang pagkakita sa interaksyon sa mga virtual machine nga adunay nahibal-an nga malisyoso nga mga IP (tungod sa presensya sa panagsama sa mga serbisyo sa Threat Intelligence gikan sa Microsoft), pagkakita sa malware sa imprastraktura sa panganod pinaagi sa pagdawat mga alarma gikan sa mga virtual machine nga gi-host sa panganod, password. pagtag-an nga mga pag-atake ” sa mga virtual nga makina, mga kahuyangan sa pag-configure sa sistema sa pag-ila sa gumagamit, pag-log in sa sistema gikan sa mga anonymizer o nataptan nga mga node, pagtulo sa account, pag-log in sa sistema gikan sa dili kasagaran nga mga lokasyon, ug uban pa. Ang Azure karon usa sa pipila nga mga cloud providers nga nagtanyag kanimo mga built-in nga Threat Intelligence nga kapabilidad aron mapauswag ang nakolekta nga mga panghitabo sa seguridad sa kasayuran.

Sama sa nahisgutan sa ibabaw, ang pag-andar sa seguridad ug, ingon usa ka sangputanan, ang mga panghitabo sa seguridad nga namugna niini dili magamit sa tanan nga mga tiggamit nga parehas, apan nanginahanglan usa ka piho nga suskrisyon nga naglakip sa pagpaandar nga imong gikinahanglan, nga nagmugna sa angay nga mga panghitabo alang sa pag-monitor sa seguridad sa kasayuran. Pananglitan, ang pipila sa mga gimbuhaton nga gihulagway sa miaging parapo para sa pagmonitor sa mga anomaliya sa mga account anaa lamang sa P2 nga premium nga lisensya alang sa Azure AD nga serbisyo. Kung wala kini, ikaw, sama sa kaso sa AWS, kinahanglan nga mag-analisar sa mga nakolekta nga mga panghitabo sa seguridad nga "manual". Ug, usab, depende sa tipo sa lisensya sa Azure AD, dili tanan nga mga panghitabo magamit alang sa pagtuki.

Sa portal sa Azure, mahimo nimong madumala ang duha nga mga pangutana sa pagpangita alang sa mga log nga interesado kanimo ug magbutang mga dashboard aron mahanduraw ang hinungdanon nga mga timailhan sa seguridad sa kasayuran. Dugang pa, didto mahimo nimong pilion ang mga extension sa Azure Monitor, nga nagtugot kanimo sa pagpalapad sa pagpaandar sa mga log sa Azure Monitor ug makakuha usa ka lawom nga pag-analisar sa mga panghitabo gikan sa usa ka punto sa seguridad.

Kung kinahanglan nimo dili lamang ang abilidad sa pagtrabaho sa mga troso, apan usa ka komprehensibo nga sentro sa seguridad alang sa imong platform sa Azure cloud, lakip ang pagdumala sa palisiya sa seguridad sa kasayuran, nan mahimo nimong hisgutan ang kinahanglan nga magtrabaho kauban ang Azure Security Center, kadaghanan sa mga mapuslanon nga gimbuhaton diin. magamit alang sa pila ka salapi, pananglitan, pagtuki sa hulga, pag-monitor sa gawas sa Azure, pagtasa sa pagsunod, ug uban pa. (sa libre nga bersyon, ikaw adunay access lamang sa usa ka pagsusi sa seguridad ug mga rekomendasyon alang sa pagwagtang sa nahibal-an nga mga problema). Gikonsolida niini ang tanang isyu sa seguridad sa usa ka dapit. Sa tinuud, makasulti kami bahin sa usa ka mas taas nga lebel sa seguridad sa kasayuran kaysa gihatag sa Azure Monitor, tungod kay sa kini nga kaso ang datos nga nakolekta sa tibuuk nga pabrika sa panganod gipadato gamit ang daghang mga gigikanan, sama sa Azure, Office 365, Microsoft CRM online, Microsoft Dynamics AX , outlook .com, MSN.com, Microsoft Digital Crimes Unit (DCU) ug Microsoft Security Response Center (MSRC), diin ang nagkalain-laing sopistikado nga machine learning ug behavioral analytics algorithms gipatong, nga sa katapusan makapauswag sa efficiency sa pag-ila ug pagtubag sa mga hulga .

Ang Azure usab adunay kaugalingon nga SIEM - kini nagpakita sa sinugdanan sa 2019. Kini ang Azure Sentinel, nga nagsalig sa datos gikan sa Azure Monitor ug mahimo usab nga i-integrate sa. mga solusyon sa gawas nga seguridad (pananglitan, NGFW o WAF), ang lista nga kanunay nga nagtubo. Dugang pa, pinaagi sa paghiusa sa Microsoft Graph Security API, ikaw adunay katakus sa pagkonektar sa imong kaugalingon nga Threat Intelligence feeds sa Sentinel, nga nagpauswag sa mga kapabilidad sa pag-analisar sa mga insidente sa imong Azure cloud. Mahimong ipangatarungan nga ang Azure Sentinel mao ang una nga "lumad" nga SIEM nga mitungha gikan sa mga cloud providers (ang parehas nga Splunk o ELK, nga mahimong i-host sa panganod, pananglitan, AWS, wala pa gipalambo sa tradisyonal nga cloud service providers). Ang Azure Sentinel ug Security Center mahimong tawgon nga SOC alang sa Azure cloud ug mahimong limitado sa kanila (uban ang pipila nga mga reserbasyon) kung wala ka na bisan unsang imprastraktura ug gibalhin nimo ang tanan nimong mga kapanguhaan sa kompyuter sa panganod ug kini ang Microsoft cloud Azure.

Apan tungod kay ang mga built-in nga kapabilidad sa Azure (bisan kung ikaw adunay usa ka suskrisyon sa Sentinel) kasagaran dili igo alang sa katuyoan sa pag-monitor sa seguridad sa kasayuran ug paghiusa niini nga proseso sa ubang mga gigikanan sa mga panghitabo sa seguridad (pareho sa panganod ug internal), adunay usa ka kinahanglan nga i-export ang nakolekta nga datos ngadto sa mga eksternal nga sistema, diin mahimong maglakip sa SIEM. Gihimo kini sa duha gamit ang API ug gamit ang mga espesyal nga extension, nga sa pagkakaron opisyal nga magamit lamang sa mosunod nga mga SIEM - Splunk (Azure Monitor Add-On para sa Splunk), IBM QRadar (Microsoft Azure DSM), SumoLogic, ArcSight ug ELK. Hangtud bag-o lang, adunay daghang ingon nga mga SIEM, apan gikan sa Hunyo 1, 2019, ang Microsoft mihunong sa pagsuporta sa Azure Log Integration Tool (AzLog), nga sa kaadlawon sa paglungtad sa Azure ug kung wala ang normal nga standardisasyon sa pagtrabaho sa mga troso (Azure) Ang monitor wala pa maglungtad) gipasayon ang pag-integrate sa external SIEM sa Microsoft cloud. Karon nabag-o na ang kahimtang ug girekomenda sa Microsoft ang platform sa Azure Event Hub isip panguna nga himan sa panagsama alang sa ubang mga SIEM. Daghan na ang nagpatuman sa ingon nga panagsama, apan pag-amping - dili nila makuha ang tanan nga mga log sa Azure, apan pipila ra (tan-awa ang dokumentasyon alang sa imong SIEM).

Sa pagtapos sa usa ka mubo nga ekskursiyon sa Azure, gusto ko nga maghatag usa ka kinatibuk-ang rekomendasyon bahin sa kini nga serbisyo sa panganod - sa wala pa nimo isulti ang bisan unsa bahin sa mga function sa pag-monitor sa seguridad sa impormasyon sa Azure, kinahanglan nimo nga i-configure kini pag-ayo ug sulayan nga kini nagtrabaho ingon nga nahisulat sa dokumentasyon ug ingon nga gisultihan ka sa mga consultant sa Microsoft (ug mahimo silang adunay lainlaing mga panan-aw sa pagpaandar sa Azure function). Kung naa kay mga kapanguhaan sa pinansya, mahimo nimong makuha ang daghang mapuslanon nga kasayuran gikan sa Azure bahin sa pag-monitor sa seguridad sa kasayuran. Kung limitado ang imong mga kahinguhaan, nan, sama sa kaso sa AWS, kinahanglan ka nga mosalig lamang sa imong kaugalingon nga kusog ug sa hilaw nga datos nga gihatag kanimo sa Azure Monitor. Ug hinumdomi nga daghang mga function sa pag-monitor ang gasto ug mas maayo nga pamilyar ang imong kaugalingon sa palisiya sa pagpresyo sa una. Pananglitan, nga libre mahimo nimong tipigan ang 31 ka adlaw nga datos hangtod sa labing taas nga 5 GB matag kostumer - ang paglabaw niini nga mga kantidad magkinahanglan kanimo nga manguha og dugang nga salapi (gibana-bana nga $2+ alang sa pagtipig sa matag dugang nga GB gikan sa kustomer ug $0,1 alang sa pagtipig og 1 GB matag dugang nga bulan). Ang pagtrabaho sa telemetry sa aplikasyon ug mga sukatan mahimo usab nga manginahanglan dugang nga pondo, ingon man ang pagtrabaho kauban ang mga alerto ug mga pahibalo (usa ka piho nga limitasyon ang magamit nga libre, nga mahimo’g dili igo sa imong mga panginahanglanon).

Pananglitan: Pag-monitor sa seguridad sa impormasyon sa IaaS base sa Google Cloud Platform

Ang Google Cloud Platform morag usa ka batan-on kumpara sa AWS ug Azure, apan kini usa ka bahin nga maayo. Dili sama sa AWS, nga nagdugang sa mga kapabilidad niini, lakip ang mga seguridad, sa hinay-hinay, adunay mga problema sa sentralisasyon; Ang GCP, sama sa Azure, mas maayo nga gidumala sa sentro, nga nagpamenos sa mga sayup ug oras sa pagpatuman sa tibuuk nga negosyo. Gikan sa punto sa seguridad, ang GCP, sa katingad-an, tali sa AWS ug Azure. Adunay usab siya usa ka pagrehistro sa kalihokan alang sa tibuuk nga organisasyon, apan dili kini kompleto. Ang ubang mga gimbuhaton anaa pa sa beta mode, apan sa hinay-hinay kini nga kakulangan kinahanglan nga mawagtang ug ang GCP mahimong mas hamtong nga plataporma sa mga termino sa pagmonitor sa seguridad sa impormasyon.

Ang nag-unang himan alang sa pag-log sa mga panghitabo sa GCP mao ang Stackdriver Logging (susama sa Azure Monitor), nga nagtugot kanimo sa pagkolekta sa mga panghitabo sa imong tibuok nga cloud infrastructure (ingon man gikan sa AWS). Gikan sa panglantaw sa seguridad sa GCP, ang matag organisasyon, proyekto o folder adunay upat ka log:

Kalihokan sa Admin - naglangkob sa tanan nga mga panghitabo nga may kalabutan sa administratibong pag-access, pananglitan, paghimo og virtual machine, pagbag-o sa mga katungod sa pag-access, ug uban pa. Kini nga log kanunay nga gisulat, bisan unsa pa ang imong gusto, ug gitipigan ang datos niini sulod sa 400 ka adlaw.
Pag-access sa Data - naglangkob sa tanan nga mga panghitabo nga may kalabutan sa pagtrabaho sa data sa mga tiggamit sa panganod (pagmugna, pagbag-o, pagbasa, ug uban pa). Sa kasagaran, kini nga log wala isulat, tungod kay ang gidaghanon niini dali kaayong modako. Tungod niini, 30 ka adlaw lang ang estante niini. Dugang pa, dili tanan ang nahisulat niini nga magasin. Pananglitan, ang mga panghitabo nga may kalabotan sa mga kahinguhaan nga ma-access sa publiko sa tanan nga mga tiggamit o nga ma-access nga wala mag-log in sa GCP wala gisulat niini.
Kaganapan sa Sistema - adunay mga panghitabo sa sistema nga wala’y kalabotan sa mga tiggamit, o mga aksyon sa usa ka administrador nga nagbag-o sa pagsumpo sa mga kapanguhaan sa panganod. Kanunay kining gisulat ug gitipigan sulod sa 400 ka adlaw.
Ang Access Transparency usa ka talagsaong pananglitan sa usa ka log nga nagkuha sa tanang aksyon sa mga empleyado sa Google (apan dili pa alang sa tanang serbisyo sa GCP) nga nag-access sa imong imprastraktura isip kabahin sa ilang mga katungdanan sa trabaho. Ang kini nga log gitipigan sulod sa 400 ka adlaw ug dili magamit sa matag kliyente sa GCP, apan kung daghang mga kondisyon ang matuman (bisan ang suporta sa lebel sa Gold o Platinum, o ang presensya sa 4 nga mga tahas sa usa ka piho nga tipo ingon bahin sa suporta sa korporasyon). Anaa usab ang parehas nga function, pananglitan, sa Office 365 - Lockbox.

Pananglitan sa log: Access Transparency

{
 insertId:  "abcdefg12345"
 jsonPayload: {
  @type:  "type.googleapis.com/google.cloud.audit.TransparencyLog"
  location: {
   principalOfficeCountry:  "US"
   principalEmployingEntity:  "Google LLC"
   principalPhysicalLocationCountry:  "CA"
  }
  product: [
   0:  "Cloud Storage"
  ]
  reason: [
    detail:  "Case number: bar123"
    type:  "CUSTOMER_INITIATED_SUPPORT"
  ]
  accesses: [
   0: {
    methodName: "GoogleInternal.Read"
    resourceName: "//googleapis.com/storage/buckets/[BUCKET_NAME]/objects/foo123"
    }
  ]
 }
 logName:  "projects/[PROJECT_NAME]/logs/cloudaudit.googleapis.com%2Faccess_transparency"
 operation: {
  id:  "12345xyz"
 }
 receiveTimestamp:  "2017-12-18T16:06:37.400577736Z"
 resource: {
  labels: {
   project_id:  "1234567890"
  }
  type:  "project"
 }
 severity:  "NOTICE"
 timestamp:  "2017-12-18T16:06:24.660001Z"
}

Ang pag-access sa kini nga mga log posible sa daghang mga paagi (sa parehas nga paagi sama sa gihisgutan kaniadto nga Azure ug AWS) - pinaagi sa interface sa Log Viewer, pinaagi sa API, pinaagi sa Google Cloud SDK, o pinaagi sa panid sa Aktibidad sa imong proyekto diin ikaw interesado sa mga panghitabo. Sa parehas nga paagi, mahimo silang ma-eksport sa mga solusyon sa gawas alang sa dugang nga pagtuki. Ang naulahi gihimo pinaagi sa pag-eksport sa mga log ngadto sa BigQuery o Cloud Pub/Sub storage.

Dugang sa Stackdriver Logging, ang GCP nga plataporma nagtanyag usab sa Stackdriver Monitoring functionality, nga nagtugot kanimo sa pagmonitor sa mga importanteng metrics (performance, MTBF, kinatibuk-ang panglawas, ug uban pa) sa cloud services ug applications. Ang naproseso ug makita nga datos makapasayon sa pagpangita sa mga problema sa imong imprastraktura sa panganod, lakip sa konteksto sa seguridad. Apan kinahanglan nga hinumdoman nga kini nga pag-andar dili kaayo dato sa konteksto sa kasiguruhan sa kasayuran, tungod kay karon ang GCP wala’y analogue sa parehas nga AWS GuardDuty ug dili makaila sa mga daotan sa tanan nga narehistro nga mga panghitabo (Gihimo sa Google ang Pagsusi sa Panghulga sa Panghitabo, apan kini ubos pa sa pag-uswag sa beta ug sayo pa kaayo aron hisgutan ang kapuslanan niini). Ang Stackdriver Monitoring mahimong gamiton isip usa ka sistema sa pag-ila sa mga anomaliya, nga imbestigahon aron makit-an ang mga hinungdan sa ilang pagkahitabo. Apan tungod sa kakulang sa mga personahe nga kwalipikado sa natad sa seguridad sa impormasyon sa GCP sa merkado, kini nga buluhaton karon ingon lisud.

Angayan usab nga maghatag usa ka lista sa pipila ka mga module sa seguridad sa impormasyon nga magamit sa sulod sa imong GCP cloud, ug nga parehas sa gitanyag sa AWS:

Ang Cloud Security Command Center usa ka analogue sa AWS Security Hub ug Azure Security Center.
Cloud DLP - Awtomatikong pagdiskobre ug pag-edit (e.g. masking) sa datos nga gi-host sa cloud gamit ang labaw sa 90 ka gitakda nang daan nga mga palisiya sa klasipikasyon.
Ang Cloud Scanner usa ka scanner alang sa nahibal-an nga mga kahuyangan (XSS, Flash Injection, wala ma-patch nga mga librarya, ug uban pa) sa App Engine, Compute Engine ug Google Kubernetes.
Cloud IAM - Kontrola ang pag-access sa tanan nga mga kapanguhaan sa GCP.
Cloud Identity - Pagdumala sa GCP user, device ug application accounts gikan sa usa ka console.
Cloud HSM - pagpanalipod sa mga yawe sa cryptographic.
Cloud Key Management Service - pagdumala sa cryptographic nga mga yawe sa GCP.
Kontrol sa Serbisyo sa VPC - Paghimo usa ka luwas nga perimeter sa palibot sa imong mga kapanguhaan sa GCP aron mapanalipdan sila gikan sa mga pagtulo.
Titan Security Key - proteksyon batok sa phishing.

Daghan niini nga mga module ang nagmugna og mga panghitabo sa seguridad nga mahimong ipadala sa BigQuery storage alang sa pagtuki o pag-eksport sa ubang mga sistema, lakip ang SIEM. Sama sa nahisgutan sa ibabaw, ang GCP usa ka aktibo nga nagpalambo nga plataporma ug ang Google karon nagpalambo sa daghang mga bag-ong module sa seguridad sa impormasyon alang sa plataporma niini. Lakip niini mao ang Event Threat Detection (anaa na karon sa beta), nga nag-scan sa Stackdriver logs sa pagpangita sa mga bakas sa dili awtorisado nga kalihokan (kaamgid sa GuardDuty sa AWS), o Policy Intelligence (anaa sa alpha), nga magtugot kanimo sa pagpalambo sa intelihenteng mga palisiya alang sa pag-access sa mga kapanguhaan sa GCP.

Naghimo ako usa ka mubo nga pagtan-aw sa mga built-in nga kapabilidad sa pag-monitor sa mga sikat nga platform sa panganod. Apan aduna ka bay mga espesyalista nga makahimo sa pagtrabaho uban sa "hilaw" nga IaaS provider logs (dili tanan andam sa pagpalit sa mga advanced nga kapabilidad sa AWS o Azure o Google)? Dugang pa, daghan ang pamilyar sa panultihon nga "pagsalig, apan pamatud-i," nga mas tinuod kaysa kaniadto sa natad sa seguridad. Unsa ka dako ang imong pagsalig sa mga built-in nga kapabilidad sa cloud provider nga nagpadala kanimo og mga panghitabo sa seguridad sa impormasyon? Unsa ka dako ang ilang gipunting sa seguridad sa kasayuran?

Usahay angayan nga tan-awon ang mga solusyon sa pag-monitor sa imprastraktura sa overlay nga mahimo’g makadugang sa built-in nga seguridad sa panganod, ug usahay ang ingon nga mga solusyon mao ra ang kapilian aron makakuha og panabut sa seguridad sa imong data ug mga aplikasyon nga gi-host sa panganod. Dugang pa, mas sayon kini sila, tungod kay gikuha nila ang tanan nga mga buluhaton sa pag-analisar sa mga kinahanglanon nga mga troso nga gihimo sa lainlaing mga serbisyo sa panganod gikan sa lainlaing mga taghatag sa panganod. Usa ka pananglitan sa ingon nga overlay nga solusyon mao ang Cisco Stealthwatch Cloud, nga naka-focus sa usa ka buluhaton - pag-monitor sa mga anomaliya sa seguridad sa impormasyon sa mga cloud environment, lakip na dili lamang ang Amazon AWS, Microsoft Azure ug Google Cloud Platform, kondili usab ang pribadong mga panganod.

Pananglitan: Pag-monitor sa Seguridad sa Impormasyon Gamit ang Stealthwatch Cloud

Naghatag ang AWS og usa ka flexible computing platform, apan kini nga pagka-flexible nagpasayon sa mga kompanya sa paghimo og mga sayop nga mosangpot sa mga isyu sa seguridad. Ug ang gipaambit nga modelo sa seguridad sa kasayuran nakatampo lamang niini. Ang pagpadagan sa software sa panganod nga adunay wala mailhi nga mga kahuyangan (ang mga nahibal-an mahimong mabuntog, pananglitan, pinaagi sa AWS Inspector o GCP Cloud Scanner), huyang nga mga password, dili husto nga mga pag-configure, mga insider, ug uban pa. Ug kining tanan gipakita sa pamatasan sa mga kahinguhaan sa panganod, nga mahimong mabantayan sa Cisco Stealthwatch Cloud, nga usa ka sistema sa pag-monitor sa seguridad sa kasayuran ug pag-atake sa pag-atake. publiko ug pribado nga panganod.

Usa sa mga yawe nga bahin sa Cisco Stealthwatch Cloud mao ang abilidad sa pagmodelo sa mga entidad. Uban niini, makahimo ka og usa ka modelo sa software (nga mao, usa ka duol nga real-time nga simulation) sa matag usa sa imong mga kapanguhaan sa panganod (dili igsapayan kung kini AWS, Azure, GCP, o uban pa). Mahimong maglakip kini sa mga server ug tiggamit, ingon man mga tipo sa kapanguhaan nga espesipiko sa imong cloud environment, sama sa mga grupo sa seguridad ug mga grupo sa auto-scale. Kini nga mga modelo naggamit sa structured data streams nga gihatag sa cloud services isip input. Pananglitan, alang sa AWS kini mao ang VPC Flow Logs, AWS CloudTrail, AWS CloudWatch, AWS Config, AWS Inspector, AWS Lambda, ug AWS IAM. Awtomatikong nadiskobrehan sa pagmodelo sa entidad ang papel ug pamatasan sa bisan unsang mga kahinguhaan (mahimo nimong hisgutan ang bahin sa pag-profile sa tanan nga kalihokan sa panganod). Kini nga mga tahas naglakip sa Android o Apple mobile device, Citrix PVS server, RDP server, mail gateway, VoIP client, terminal server, domain controller, ug uban pa. Dayon kini padayon nga nag-monitor sa ilang kinaiya aron mahibal-an kung kanus-a mahitabo ang peligroso o peligro sa kaluwasan. Mahimo nimong mailhan ang pagtag-an sa password, pag-atake sa DDoS, pag-leak sa datos, iligal nga hilit nga pag-access, kalihokan sa malisyoso nga code, pag-scan sa pagkahuyang ug uban pang mga hulga. Pananglitan, mao kini ang pagtan-aw sa usa ka remote access nga pagsulay gikan sa usa ka nasud nga dili tipikal alang sa imong organisasyon (South Korea) ngadto sa usa ka Kubernetes cluster pinaagi sa SSH ang hitsura:

Ug mao kini ang giingon nga pag-leak sa impormasyon gikan sa database sa Postgress ngadto sa usa ka nasud nga wala pa namo makit-i kaniadto nga interaksyon:

Sa katapusan, kini ang hitsura sa daghang napakyas nga mga pagsulay sa SSH gikan sa China ug Indonesia gikan sa usa ka gawas nga hilit nga aparato:

O, ibutang nga ang server instance sa VPC, pinaagi sa polisiya, dili gayud usa ka hilit nga destinasyon sa pag-login. Ato pa nga hunahunaon nga kini nga kompyuter nakasinati sa usa ka hilit nga pag-logon tungod sa usa ka sayup nga pagbag-o sa palisiya sa mga lagda sa firewall. Ang feature sa Entity Modeling makamatikod ug magreport niini nga kalihokan (“Uusual Remote Access”) sa duol nga real-time ug magpunting sa piho nga tawag sa AWS CloudTrail, Azure Monitor, o GCP Stackdriver Logging API (lakip ang username, petsa ug oras, ug uban pang mga detalye. ).nga nag-aghat sa pagbag-o sa lagda sa ITU. Ug unya kini nga impormasyon mahimong ipadala sa SIEM alang sa pagtuki.

Ang susamang mga kapabilidad gipatuman alang sa bisan unsang cloud environment nga gisuportahan sa Cisco Stealthwatch Cloud:

Ang pagmodelo sa entidad usa ka talagsaon nga porma sa automation sa seguridad nga makadiskubre sa wala pa nahibal-an nga problema sa imong mga tawo, proseso o teknolohiya. Pananglitan, gitugotan ka niini nga makit-an, taliwala sa ubang mga butang, mga problema sa seguridad sama sa:

May nakadiskubre ba og backdoor sa software nga among gigamit?
Aduna bay ikatulo nga partido nga software o aparato sa among panganod?
Ang awtorisado nga tiggamit ba nag-abuso sa mga pribilehiyo?
Adunay ba usa ka sayup sa pag-configure nga nagtugot sa layo nga pag-access o uban pang wala tuyoa nga paggamit sa mga kapanguhaan?
Aduna bay data leak gikan sa among mga server?
Aduna bay usa nga misulay sa pagkonektar kanamo gikan sa usa ka atypical geographic nga lokasyon?
Ang atong panganod nataptan ba sa malisyoso nga code?

Ang usa ka nakit-an nga panghitabo sa seguridad sa kasayuran mahimong ipadala sa porma sa usa ka katugbang nga tiket sa Slack, Cisco Spark, ang sistema sa pagdumala sa insidente sa PagerDuty, ug ipadala usab sa lainlaing mga SIEM, lakip ang Splunk o ELK. Sa pag-summarize, mahimo namon isulti nga kung ang imong kompanya naggamit usa ka multi-cloud nga estratehiya ug dili limitado sa bisan unsang usa ka cloud provider, ang mga kapabilidad sa pag-monitor sa seguridad sa kasayuran nga gihulagway sa ibabaw, unya ang paggamit sa Cisco Stealthwatch Cloud usa ka maayong kapilian aron makakuha usa ka hiniusa nga hugpong sa pag-monitor. mga kapabilidad alang sa nanguna nga mga magdudula sa panganod - Amazon, Microsoft ug Google. Ang labing makapaikag nga butang mao nga kung imong itandi ang mga presyo alang sa Stealthwatch Cloud nga adunay mga advanced nga lisensya alang sa pag-monitor sa seguridad sa kasayuran sa AWS, Azure o GCP, mahimo’g mogawas nga ang solusyon sa Cisco mahimong labi ka barato kaysa sa mga built-in nga kapabilidad sa Amazon, Microsoft. ug mga solusyon sa Google. Paradoxical kini, apan kini tinuod. Ug ang daghang mga panganod ug ang ilang mga kapabilidad nga imong gigamit, labi ka klaro ang bentaha sa usa ka hiniusa nga solusyon.

Dugang pa, ang Stealthwatch Cloud maka-monitor sa pribadong mga panganod nga gipakatap sa imong organisasyon, pananglitan, base sa mga sudlanan sa Kubernetes o pinaagi sa pag-monitor sa mga dagan sa Netflow o trapiko sa network nga nadawat pinaagi sa pagsalamin sa mga kagamitan sa network (bisan sa domestic nga gihimo), AD data o DNS server ug uban pa. Ang tanan nga kini nga datos mapauswag sa kasayuran sa Threat Intelligence nga nakolekta sa Cisco Talos, ang pinakadako nga non-governmental nga grupo sa mga tigdukiduki sa hulga sa cybersecurity sa kalibutan.

Gitugotan ka niini nga ipatuman ang usa ka hiniusa nga sistema sa pag-monitor alang sa publiko ug hybrid nga mga panganod nga mahimong magamit sa imong kompanya. Ang nakolekta nga impormasyon mahimo unya nga analisahon gamit ang Stealthwatch Cloud's built-in nga kapabilidad o ipadala sa imong SIEM (Splunk, ELK, SumoLogic ug uban pa kay gisuportahan sa default).

Uban niini, atong makompleto ang unang bahin sa artikulo, diin akong gisusi ang mga built-in ug external nga mga himan alang sa pagmonitor sa seguridad sa impormasyon sa IaaS/PaaS nga mga plataporma, nga nagtugot kanato sa dali nga pag-ila ug pagtubag sa mga insidente nga nahitabo sa cloud environment nga gipili sa among negosyo. Sa ikaduha nga bahin, ipadayon namon ang hilisgutan ug tan-awon ang mga kapilian alang sa pag-monitor sa mga platform sa SaaS gamit ang panig-ingnan sa Salesforce ug Dropbox, ug sulayan usab namon nga i-summarize ug ibutang ang tanan pinaagi sa paghimo sa usa ka hiniusa nga sistema sa pag-monitor sa seguridad sa kasayuran alang sa lainlaing mga taghatag sa panganod.

Source: www.habr.com

Pag-monitor sa Cloud Security