ProHoster > Blog > διαχείριση > Cloud Security Monitoring

Cloud Security Monitoring

Η μεταφορά δεδομένων και εφαρμογών στο cloud αποτελεί μια νέα πρόκληση για τις εταιρικές SOC, οι οποίες δεν είναι πάντα έτοιμες να παρακολουθούν την υποδομή άλλων ανθρώπων. Σύμφωνα με τη Netoskope, η μέση επιχείρηση (προφανώς στις ΗΠΑ) χρησιμοποιεί 1246 διαφορετικές υπηρεσίες cloud, δηλαδή 22% περισσότερες από ό,τι πριν από ένα χρόνο. 1246 υπηρεσίες cloud!!! Τα 175 από αυτά αφορούν υπηρεσίες ανθρώπινου δυναμικού, τα 170 σχετίζονται με το μάρκετινγκ, τα 110 είναι στον τομέα των επικοινωνιών και τα 76 αφορούν τα οικονομικά και το CRM. Η Cisco χρησιμοποιεί «μόνο» 700 εξωτερικές υπηρεσίες cloud. Οπότε με μπερδεύουν λίγο αυτοί οι αριθμοί. Αλλά σε κάθε περίπτωση, το πρόβλημα δεν είναι σε αυτούς, αλλά στο γεγονός ότι το cloud αρχίζει να χρησιμοποιείται αρκετά ενεργά από έναν αυξανόμενο αριθμό εταιρειών που θα ήθελαν να έχουν τις ίδιες δυνατότητες παρακολούθησης της υποδομής cloud όπως στο δικό τους δίκτυο. Και αυτή η τάση αυξάνεται - σύμφωνα με σύμφωνα με το Αμερικανικό Λογιστικό Επιμελητήριο Μέχρι το 2023, 1200 κέντρα δεδομένων πρόκειται να κλείσουν στις Ηνωμένες Πολιτείες (6250 έχουν ήδη κλείσει). Αλλά η μετάβαση στο cloud δεν είναι απλώς «ας μεταφέρουμε τους διακομιστές μας σε έναν εξωτερικό πάροχο». Νέα αρχιτεκτονική πληροφορικής, νέο λογισμικό, νέες διαδικασίες, νέοι περιορισμοί... Όλα αυτά φέρνουν σημαντικές αλλαγές στη δουλειά όχι μόνο της πληροφορικής, αλλά και της ασφάλειας των πληροφοριών. Και αν οι πάροχοι έχουν μάθει να αντιμετωπίζουν με κάποιο τρόπο τη διασφάλιση της ασφάλειας του ίδιου του cloud (ευτυχώς υπάρχουν πολλές συστάσεις), τότε με την παρακολούθηση της ασφάλειας πληροφοριών cloud, ειδικά στις πλατφόρμες SaaS, υπάρχουν σημαντικές δυσκολίες, για τις οποίες θα μιλήσουμε.

Cloud Security Monitoring

Ας υποθέσουμε ότι η εταιρεία σας έχει μεταφέρει μέρος της υποδομής της στο cloud... Σταματήστε. Όχι με αυτόν τον τρόπο. Εάν η υποδομή έχει μεταφερθεί, και μόλις τώρα σκέφτεστε πώς θα την παρακολουθήσετε, τότε έχετε ήδη χάσει. Εκτός εάν πρόκειται για Amazon, Google ή Microsoft (και στη συνέχεια με κρατήσεις), πιθανότατα δεν θα έχετε μεγάλη δυνατότητα παρακολούθησης των δεδομένων και των εφαρμογών σας. Είναι καλό αν σας δοθεί η ευκαιρία να εργαστείτε με κορμούς. Μερικές φορές τα δεδομένα συμβάντων ασφαλείας θα είναι διαθέσιμα, αλλά δεν θα έχετε πρόσβαση σε αυτά. Για παράδειγμα, το Office 365. Εάν έχετε τη φθηνότερη άδεια E1, τότε τα συμβάντα ασφαλείας δεν είναι καθόλου διαθέσιμα σε εσάς. Εάν έχετε άδεια E3, τα δεδομένα σας αποθηκεύονται μόνο για 90 ημέρες και μόνο εάν έχετε άδεια E5, η διάρκεια των αρχείων καταγραφής είναι διαθέσιμη για ένα χρόνο (ωστόσο, αυτό έχει επίσης τις δικές του αποχρώσεις που σχετίζονται με την ανάγκη ξεχωριστής ζητήστε έναν αριθμό λειτουργιών για εργασία με αρχεία καταγραφής από την υποστήριξη της Microsoft). Παρεμπιπτόντως, η άδεια E3 είναι πολύ πιο αδύναμη όσον αφορά τις λειτουργίες παρακολούθησης από το εταιρικό Exchange. Για να επιτύχετε το ίδιο επίπεδο, χρειάζεστε μια άδεια E5 ή μια πρόσθετη άδεια Προηγμένης Συμμόρφωσης, η οποία μπορεί να απαιτήσει πρόσθετα χρήματα που δεν συνυπολογίστηκαν στο οικονομικό σας μοντέλο για τη μετάβαση στην υποδομή cloud. Και αυτό είναι μόνο ένα παράδειγμα υποτίμησης ζητημάτων που σχετίζονται με την παρακολούθηση της ασφάλειας πληροφοριών στο cloud. Σε αυτό το άρθρο, χωρίς να προσποιούμαι ότι είμαι πλήρης, θέλω να επιστήσω την προσοχή σε ορισμένες αποχρώσεις που πρέπει να λαμβάνονται υπόψη κατά την επιλογή ενός παρόχου cloud από την άποψη της ασφάλειας. Και στο τέλος του άρθρου, θα δοθεί μια λίστα ελέγχου που αξίζει να συμπληρώσετε πριν σκεφτείτε ότι το ζήτημα της παρακολούθησης της ασφάλειας πληροφοριών cloud έχει επιλυθεί.

Υπάρχουν αρκετά τυπικά προβλήματα που οδηγούν σε περιστατικά σε περιβάλλοντα cloud, στα οποία οι υπηρεσίες ασφάλειας πληροφοριών δεν έχουν χρόνο να απαντήσουν ή δεν τα βλέπουν καθόλου:

  • Δεν υπάρχουν αρχεία καταγραφής ασφαλείας. Αυτή είναι μια αρκετά κοινή κατάσταση, ειδικά μεταξύ των αρχαρίων παικτών στην αγορά λύσεων cloud. Αλλά δεν πρέπει να τα παρατήσετε αμέσως. Οι μικροί παίκτες, ειδικά οι εγχώριοι, είναι πιο ευαίσθητοι στις απαιτήσεις των πελατών και μπορούν να εφαρμόσουν γρήγορα ορισμένες απαιτούμενες λειτουργίες αλλάζοντας τον εγκεκριμένο οδικό χάρτη για τα προϊόντα τους. Ναι, αυτό δεν θα είναι ανάλογο του GuardDuty από την Amazon ή της ενότητας "Proactive Protection" από τη Bitrix, αλλά τουλάχιστον κάτι.
  • Η ασφάλεια πληροφοριών δεν γνωρίζει πού είναι αποθηκευμένα τα αρχεία καταγραφής ή δεν υπάρχει πρόσβαση σε αυτά. Εδώ είναι απαραίτητο να ξεκινήσετε διαπραγματεύσεις με τον πάροχο υπηρεσιών cloud - ίσως θα παράσχει τέτοιες πληροφορίες εάν θεωρεί τον πελάτη σημαντικό για αυτόν. Αλλά γενικά, δεν είναι πολύ καλό όταν η πρόσβαση στα αρχεία καταγραφής παρέχεται "με ειδική απόφαση".
  • Συμβαίνει επίσης ο πάροχος cloud να έχει αρχεία καταγραφής, αλλά παρέχουν περιορισμένη παρακολούθηση και καταγραφή συμβάντων, τα οποία δεν επαρκούν για τον εντοπισμό όλων των περιστατικών. Για παράδειγμα, ενδέχεται να λαμβάνετε μόνο αρχεία καταγραφής αλλαγών σε έναν ιστότοπο ή αρχεία καταγραφής προσπαθειών ελέγχου ταυτότητας χρήστη, αλλά όχι άλλα συμβάντα, όπως η κυκλοφορία δικτύου, τα οποία θα κρύψουν από εσάς ένα ολόκληρο επίπεδο συμβάντων που χαρακτηρίζουν τις προσπάθειες παραβίασης της υποδομής σας στο cloud.
  • Υπάρχουν αρχεία καταγραφής, αλλά η πρόσβαση σε αυτά είναι δύσκολο να αυτοματοποιηθεί, γεγονός που τα αναγκάζει να παρακολουθούνται όχι συνεχώς, αλλά σε ένα χρονοδιάγραμμα. Και αν δεν μπορείτε να πραγματοποιήσετε αυτόματη λήψη αρχείων καταγραφής, τότε η λήψη αρχείων καταγραφής, για παράδειγμα, σε μορφή Excel (όπως συμβαίνει με ορισμένους εγχώριους παρόχους λύσεων cloud), μπορεί ακόμη και να οδηγήσει σε απροθυμία της εταιρικής υπηρεσίας ασφάλειας πληροφοριών να τα πειράξει.
  • Χωρίς παρακολούθηση αρχείων καταγραφής. Αυτός είναι ίσως ο πιο ασαφής λόγος για την εμφάνιση περιστατικών ασφάλειας πληροφοριών σε περιβάλλοντα cloud. Φαίνεται ότι υπάρχουν αρχεία καταγραφής και είναι δυνατό να αυτοματοποιηθεί η πρόσβαση σε αυτά, αλλά κανείς δεν το κάνει αυτό. Γιατί;

Κοινόχρηστη έννοια ασφάλειας cloud

Η μετάβαση στο cloud είναι πάντα μια αναζήτηση ισορροπίας μεταξύ της επιθυμίας διατήρησης του ελέγχου της υποδομής και της μεταφοράς του στα πιο επαγγελματικά χέρια ενός παρόχου cloud που ειδικεύεται στη διατήρησή του. Και στον τομέα της ασφάλειας στο cloud, αυτή η ισορροπία πρέπει επίσης να αναζητηθεί. Επιπλέον, ανάλογα με το μοντέλο παροχής υπηρεσιών cloud που χρησιμοποιείται (IaaS, PaaS, SaaS), αυτό το υπόλοιπο θα είναι διαρκώς διαφορετικό. Σε κάθε περίπτωση, πρέπει να θυμόμαστε ότι όλοι οι πάροχοι cloud σήμερα ακολουθούν το λεγόμενο μοντέλο κοινής ευθύνης και κοινής ασφάλειας πληροφοριών. Το cloud είναι υπεύθυνο για κάποια πράγματα και για άλλα ο πελάτης είναι υπεύθυνος, τοποθετώντας τα δεδομένα του, τις εφαρμογές του, τις εικονικές του μηχανές και άλλους πόρους στο cloud. Θα ήταν απερίσκεπτο να περιμένουμε ότι πηγαίνοντας στο cloud, θα μεταθέσουμε όλη την ευθύνη στον πάροχο. Αλλά δεν είναι επίσης συνετό να δημιουργείτε όλη την ασφάλεια μόνοι σας όταν μετακινείστε στο cloud. Απαιτείται μια ισορροπία, η οποία θα εξαρτηθεί από πολλούς παράγοντες: - στρατηγική διαχείρισης κινδύνου, μοντέλο απειλών, μηχανισμοί ασφαλείας που διαθέτει ο πάροχος cloud, νομοθεσία κ.λπ.

Cloud Security Monitoring

Για παράδειγμα, η ταξινόμηση των δεδομένων που φιλοξενούνται στο cloud είναι πάντα ευθύνη του πελάτη. Ένας πάροχος cloud ή ένας εξωτερικός πάροχος υπηρεσιών μπορεί να τον βοηθήσει μόνο με εργαλεία που θα βοηθήσουν στην επισήμανση δεδομένων στο cloud, στον εντοπισμό παραβιάσεων, στη διαγραφή δεδομένων που παραβιάζουν τη νομοθεσία ή στην απόκρυψή τους χρησιμοποιώντας τη μία ή την άλλη μέθοδο. Από την άλλη πλευρά, η φυσική ασφάλεια είναι πάντα ευθύνη του παρόχου cloud, την οποία δεν μπορεί να μοιραστεί με τους πελάτες. Αλλά όλα όσα είναι μεταξύ δεδομένων και φυσικής υποδομής είναι ακριβώς το αντικείμενο συζήτησης σε αυτό το άρθρο. Για παράδειγμα, η διαθεσιμότητα του cloud είναι ευθύνη του παρόχου και η ρύθμιση κανόνων τείχους προστασίας ή η ενεργοποίηση της κρυπτογράφησης είναι ευθύνη του πελάτη. Σε αυτό το άρθρο θα προσπαθήσουμε να δούμε ποιοι μηχανισμοί παρακολούθησης ασφάλειας πληροφοριών παρέχονται σήμερα από διάφορους δημοφιλείς παρόχους cloud στη Ρωσία, ποια είναι τα χαρακτηριστικά της χρήσης τους και πότε αξίζει να αναζητήσουμε λύσεις εξωτερικής επικάλυψης (για παράδειγμα, Cisco E- mail Security) που επεκτείνουν τις δυνατότητες του cloud σας όσον αφορά την ασφάλεια στον κυβερνοχώρο. Σε ορισμένες περιπτώσεις, ειδικά εάν ακολουθείτε στρατηγική πολλαπλών νέφους, δεν θα έχετε άλλη επιλογή από το να χρησιμοποιήσετε εξωτερικές λύσεις παρακολούθησης ασφάλειας πληροφοριών σε πολλά περιβάλλοντα cloud ταυτόχρονα (για παράδειγμα, Cisco CloudLock ή Cisco Stealthwatch Cloud). Λοιπόν, σε ορισμένες περιπτώσεις θα συνειδητοποιήσετε ότι ο πάροχος cloud που έχετε επιλέξει (ή σας επιβάλει) δεν προσφέρει καθόλου δυνατότητες παρακολούθησης της ασφάλειας πληροφοριών. Αυτό είναι δυσάρεστο, αλλά και όχι λίγο, καθώς σας επιτρέπει να αξιολογήσετε επαρκώς το επίπεδο κινδύνου που σχετίζεται με την εργασία με αυτό το σύννεφο.

Κύκλος ζωής παρακολούθησης ασφάλειας cloud

Για να παρακολουθείτε την ασφάλεια των σύννεφων που χρησιμοποιείτε, έχετε μόνο τρεις επιλογές:

  • βασιστείτε στα εργαλεία που παρέχονται από τον πάροχο cloud,
  • χρησιμοποιήστε λύσεις από τρίτα μέρη που θα παρακολουθούν τις πλατφόρμες IaaS, PaaS ή SaaS που χρησιμοποιείτε,
  • δημιουργήστε τη δική σας υποδομή παρακολούθησης cloud (μόνο για πλατφόρμες IaaS/PaaS).

Ας δούμε τι χαρακτηριστικά έχει καθεμία από αυτές τις επιλογές. Αλλά πρώτα, πρέπει να κατανοήσουμε το γενικό πλαίσιο που θα χρησιμοποιηθεί κατά την παρακολούθηση των πλατφορμών cloud. Θα επισήμανα 6 βασικά στοιχεία της διαδικασίας παρακολούθησης της ασφάλειας πληροφοριών στο cloud:

  • Προετοιμασία υποδομών. Καθορισμός των απαραίτητων εφαρμογών και υποδομών για τη συλλογή γεγονότων που είναι σημαντικά για την ασφάλεια των πληροφοριών στην αποθήκευση.
  • Συλλογή. Σε αυτό το στάδιο, τα συμβάντα ασφαλείας συγκεντρώνονται από διάφορες πηγές για μετέπειτα μετάδοση για επεξεργασία, αποθήκευση και ανάλυση.
  • Θεραπεία. Σε αυτό το στάδιο, τα δεδομένα μετασχηματίζονται και εμπλουτίζονται για να διευκολυνθεί η μετέπειτα ανάλυση.
  • Αποθήκευση. Αυτό το στοιχείο είναι υπεύθυνο για τη βραχυπρόθεσμη και μακροπρόθεσμη αποθήκευση των συλλεγόμενων επεξεργασμένων και ακατέργαστων δεδομένων.
  • Ανάλυση. Σε αυτό το στάδιο, έχετε τη δυνατότητα να εντοπίζετε περιστατικά και να απαντάτε σε αυτά αυτόματα ή χειροκίνητα.
  • Αναφορά. Αυτό το στάδιο βοηθά στη διαμόρφωση βασικών δεικτών για τα ενδιαφερόμενα μέρη (διεύθυνση, ελεγκτές, πάροχος cloud, πελάτες κ.λπ.) που μας βοηθούν να λάβουμε ορισμένες αποφάσεις, για παράδειγμα, αλλαγή παρόχου ή ενίσχυση της ασφάλειας πληροφοριών.

Η κατανόηση αυτών των στοιχείων θα σας επιτρέψει να αποφασίσετε γρήγορα στο μέλλον τι μπορείτε να πάρετε από τον πάροχο σας και τι θα πρέπει να κάνετε μόνοι σας ή με τη συμμετοχή εξωτερικών συμβούλων.

Ενσωματωμένες υπηρεσίες cloud

Έγραψα ήδη παραπάνω ότι πολλές υπηρεσίες cloud σήμερα δεν παρέχουν καμία δυνατότητα παρακολούθησης της ασφάλειας πληροφοριών. Γενικά, δεν δίνουν μεγάλη σημασία στο θέμα της ασφάλειας των πληροφοριών. Για παράδειγμα, μια από τις δημοφιλείς ρωσικές υπηρεσίες για την αποστολή αναφορών σε κυβερνητικές υπηρεσίες μέσω Διαδικτύου (δεν θα αναφέρω συγκεκριμένα το όνομά της). Ολόκληρη η ενότητα σχετικά με την ασφάλεια αυτής της υπηρεσίας περιστρέφεται γύρω από τη χρήση πιστοποιημένων CIPF. Το τμήμα ασφάλειας πληροφοριών μιας άλλης εγχώριας υπηρεσίας cloud για ηλεκτρονική διαχείριση εγγράφων δεν διαφέρει. Μιλάει για πιστοποιητικά δημόσιου κλειδιού, πιστοποιημένη κρυπτογραφία, εξάλειψη ευπαθειών ιστού, προστασία από επιθέσεις DDoS, χρήση τείχους προστασίας, δημιουργία αντιγράφων ασφαλείας, ακόμη και τακτικούς ελέγχους ασφάλειας πληροφοριών. Αλλά δεν υπάρχει λέξη για την παρακολούθηση, ούτε για τη δυνατότητα απόκτησης πρόσβασης σε συμβάντα ασφάλειας πληροφοριών που μπορεί να ενδιαφέρουν τους πελάτες αυτού του παρόχου υπηρεσιών.

Γενικά, με τον τρόπο που ο πάροχος cloud περιγράφει ζητήματα ασφάλειας πληροφοριών στον ιστότοπό του και στην τεκμηρίωσή του, μπορείτε να καταλάβετε πόσο σοβαρά αντιμετωπίζει αυτό το ζήτημα. Για παράδειγμα, εάν διαβάσετε τα εγχειρίδια για τα προϊόντα "My Office", δεν υπάρχει λέξη για την ασφάλεια, αλλά στην τεκμηρίωση για το ξεχωριστό προϊόν "My Office. KS3», που έχει σχεδιαστεί για την προστασία από μη εξουσιοδοτημένη πρόσβαση, υπάρχει μια συνηθισμένη λίστα σημείων της 17ης τάξης του FSTEC, τα οποία εφαρμόζει το «My Office.KS3», αλλά δεν περιγράφεται πώς το υλοποιεί και, κυρίως, πώς να να ενσωματώσει αυτούς τους μηχανισμούς με την εταιρική ασφάλεια πληροφοριών. Ίσως υπάρχει τέτοια τεκμηρίωση, αλλά δεν τη βρήκα στον δημόσιο τομέα, στον ιστότοπο "My Office". Αν και ίσως απλά δεν έχω πρόσβαση σε αυτές τις μυστικές πληροφορίες;..

Cloud Security Monitoring

Για το Bitrix, η κατάσταση είναι πολύ καλύτερη. Η τεκμηρίωση περιγράφει τις μορφές των αρχείων καταγραφής συμβάντων και, είναι ενδιαφέρον, το αρχείο καταγραφής εισβολής, το οποίο περιέχει συμβάντα που σχετίζονται με πιθανές απειλές για την πλατφόρμα cloud. Από εκεί μπορείτε να βγάλετε την IP, το όνομα χρήστη ή επισκέπτη, την πηγή συμβάντος, την ώρα, τον παράγοντα χρήστη, τον τύπο συμβάντος κ.λπ. Είναι αλήθεια ότι μπορείτε να εργαστείτε με αυτά τα συμβάντα είτε από τον πίνακα ελέγχου του ίδιου του cloud είτε να ανεβάσετε δεδομένα σε μορφή MS Excel. Τώρα είναι δύσκολο να αυτοματοποιήσετε την εργασία με αρχεία καταγραφής Bitrix και θα πρέπει να κάνετε μέρος της εργασίας με μη αυτόματο τρόπο (ανεβάσετε την αναφορά και φορτώνοντάς την στο SIEM σας). Αλλά αν θυμηθούμε ότι μέχρι σχετικά πρόσφατα δεν υπήρχε τέτοια ευκαιρία, τότε πρόκειται για μεγάλη πρόοδο. Ταυτόχρονα, θα ήθελα να σημειώσω ότι πολλοί ξένοι πάροχοι cloud προσφέρουν παρόμοια λειτουργικότητα "για αρχάριους" - είτε κοιτάξτε τα αρχεία καταγραφής με τα μάτια σας μέσω του πίνακα ελέγχου είτε ανεβάστε τα δεδομένα στον εαυτό σας (ωστόσο, οι περισσότεροι ανεβάζουν δεδομένα στο . μορφή csv, όχι Excel).

Cloud Security Monitoring

Χωρίς να εξετάζετε την επιλογή χωρίς καταγραφή, οι πάροχοι cloud συνήθως σας προσφέρουν τρεις επιλογές για την παρακολούθηση συμβάντων ασφαλείας - πίνακες εργαλείων, μεταφόρτωση δεδομένων και πρόσβαση στο API. Το πρώτο φαίνεται να σας λύνει πολλά προβλήματα, αλλά αυτό δεν είναι απολύτως αληθές - εάν έχετε πολλά περιοδικά, πρέπει να κάνετε εναλλαγή μεταξύ των οθονών που τα εμφανίζουν, χάνοντας τη συνολική εικόνα. Επιπλέον, ο πάροχος cloud είναι απίθανο να σας παρέχει τη δυνατότητα να συσχετίζετε συμβάντα ασφαλείας και γενικά να τα αναλύετε από την άποψη της ασφάλειας (συνήθως έχετε να κάνετε με ακατέργαστα δεδομένα, τα οποία πρέπει να κατανοήσετε μόνοι σας). Υπάρχουν εξαιρέσεις και θα μιλήσουμε για αυτές περαιτέρω. Τέλος, αξίζει να ρωτήσετε ποια συμβάντα καταγράφονται από τον πάροχο cloud, σε ποια μορφή και πώς αντιστοιχούν στη διαδικασία παρακολούθησης της ασφάλειας των πληροφοριών σας; Για παράδειγμα, αναγνώριση και έλεγχος ταυτότητας χρηστών και επισκεπτών. Το ίδιο Bitrix σάς επιτρέπει, με βάση αυτά τα συμβάντα, να καταγράψετε την ημερομηνία και την ώρα του συμβάντος, το όνομα του χρήστη ή του επισκέπτη (αν έχετε τη λειτουργική μονάδα "Web Analytics", το αντικείμενο στο οποίο έχετε πρόσβαση και άλλα στοιχεία τυπικά για έναν ιστότοπο . Ωστόσο, οι εταιρικές υπηρεσίες ασφάλειας πληροφοριών ενδέχεται να χρειάζονται πληροφορίες σχετικά με το εάν ο χρήστης είχε πρόσβαση στο cloud από μια αξιόπιστη συσκευή (για παράδειγμα, σε ένα εταιρικό δίκτυο αυτή η εργασία υλοποιείται από τη Cisco ISE). Τι γίνεται με μια τόσο απλή εργασία όπως η λειτουργία geo-IP, η οποία θα σας βοηθήσει να προσδιορίσετε εάν ένας λογαριασμός χρήστη της υπηρεσίας cloud έχει κλαπεί; Και ακόμα κι αν σας το παρέχει ο πάροχος cloud, αυτό δεν αρκεί. Το ίδιο Cisco CloudLock δεν αναλύει απλώς τη γεωγραφική θέση, αλλά χρησιμοποιεί μηχανική εκμάθηση για αυτό και αναλύει ιστορικά δεδομένα για κάθε χρήστη και παρακολουθεί διάφορες ανωμαλίες στις προσπάθειες αναγνώρισης και επαλήθευσης ταυτότητας. Μόνο το MS Azure έχει παρόμοια λειτουργικότητα (αν έχετε την κατάλληλη συνδρομή).

Cloud Security Monitoring

Υπάρχει μια άλλη δυσκολία - καθώς για πολλούς παρόχους cloud η παρακολούθηση της ασφάλειας πληροφοριών είναι ένα νέο θέμα με το οποίο μόλις αρχίζουν να ασχολούνται, αλλάζουν συνεχώς κάτι στις λύσεις τους. Σήμερα έχουν μια έκδοση του API, αύριο μια άλλη, μεθαύριο μια τρίτη. Πρέπει επίσης να είστε προετοιμασμένοι για αυτό. Το ίδιο ισχύει και με τη λειτουργικότητα, η οποία μπορεί να αλλάξει, κάτι που πρέπει να λαμβάνεται υπόψη στο σύστημα παρακολούθησης της ασφάλειας των πληροφοριών σας. Για παράδειγμα, η Amazon είχε αρχικά ξεχωριστές υπηρεσίες παρακολούθησης συμβάντων στο cloud—AWS CloudTrail και AWS CloudWatch. Στη συνέχεια εμφανίστηκε μια ξεχωριστή υπηρεσία για την παρακολούθηση συμβάντων ασφάλειας πληροφοριών - AWS GuardDuty. Μετά από αρκετό καιρό, η Amazon εγκαινίασε ένα νέο σύστημα διαχείρισης, το Amazon Security Hub, το οποίο περιλαμβάνει ανάλυση δεδομένων που ελήφθησαν από το GuardDuty, το Amazon Inspector, το Amazon Macie και αρκετούς άλλους. Ένα άλλο παράδειγμα είναι το εργαλείο ενσωμάτωσης καταγραφής Azure με το SIEM - AzLog. Χρησιμοποιήθηκε ενεργά από πολλούς προμηθευτές SIEM, έως ότου το 2018 η Microsoft ανακοίνωσε τη διακοπή της ανάπτυξης και της υποστήριξής της, η οποία αντιμετώπισε πολλούς πελάτες που χρησιμοποιούσαν αυτό το εργαλείο με ένα πρόβλημα (θα μιλήσουμε για το πώς επιλύθηκε αργότερα).

Επομένως, παρακολουθήστε προσεκτικά όλες τις δυνατότητες παρακολούθησης που σας προσφέρει ο πάροχος cloud. Ή βασιστείτε σε εξωτερικούς παρόχους λύσεων που θα ενεργούν ως μεσάζοντες μεταξύ του SOC σας και του cloud που θέλετε να παρακολουθήσετε. Ναι, θα είναι πιο ακριβό (αν και όχι πάντα), αλλά θα μεταθέσετε όλη την ευθύνη στους ώμους κάποιου άλλου. Ή όχι όλα;.. Ας θυμηθούμε την έννοια της κοινής ασφάλειας και ας καταλάβουμε ότι δεν μπορούμε να αλλάξουμε τίποτα - θα πρέπει να κατανοήσουμε ανεξάρτητα πώς οι διαφορετικοί πάροχοι cloud παρέχουν παρακολούθηση της ασφάλειας πληροφοριών των δεδομένων, των εφαρμογών, των εικονικών μηχανών και άλλων πόρων σας φιλοξενείται στο σύννεφο. Και θα ξεκινήσουμε με το τι προσφέρει η Amazon σε αυτό το μέρος.

Παράδειγμα: Παρακολούθηση ασφάλειας πληροφοριών στο IaaS με βάση το AWS

Ναι, ναι, καταλαβαίνω ότι η Amazon δεν είναι το καλύτερο παράδειγμα λόγω του γεγονότος ότι πρόκειται για αμερικανική υπηρεσία και μπορεί να αποκλειστεί ως μέρος της καταπολέμησης του εξτρεμισμού και της απαγορευμένης διάδοσης πληροφοριών στη Ρωσία. Αλλά σε αυτήν τη δημοσίευση θα ήθελα απλώς να δείξω πόσο διαφέρουν οι διαφορετικές πλατφόρμες cloud ως προς τις δυνατότητες παρακολούθησης της ασφάλειας πληροφοριών και τι πρέπει να προσέξετε όταν μεταφέρετε τις βασικές διαδικασίες σας στα σύννεφα από την άποψη της ασφάλειας. Λοιπόν, αν κάποιοι από τους Ρώσους προγραμματιστές λύσεων cloud μάθουν κάτι χρήσιμο για τον εαυτό τους, τότε αυτό θα είναι υπέροχο.

Cloud Security Monitoring

Το πρώτο πράγμα που πρέπει να πούμε είναι ότι ο Αμαζόνιος δεν είναι ένα αδιαπέραστο φρούριο. Διάφορα περιστατικά συμβαίνουν τακτικά στους πελάτες του. Για παράδειγμα, τα ονόματα, οι διευθύνσεις, οι ημερομηνίες γέννησης και οι αριθμοί τηλεφώνου 198 εκατομμυρίων ψηφοφόρων κλάπηκαν από το Deep Root Analytics. Η ισραηλινή εταιρεία Nice Systems έκλεψε 14 εκατομμύρια αρχεία συνδρομητών της Verizon. Ωστόσο, οι ενσωματωμένες δυνατότητες του AWS σάς επιτρέπουν να εντοπίζετε ένα ευρύ φάσμα περιστατικών. Για παράδειγμα:

  • επιπτώσεις στην υποδομή (DDoS)
  • συμβιβασμός κόμβου (ένεση εντολών)
  • παραβίαση λογαριασμού και μη εξουσιοδοτημένη πρόσβαση
  • εσφαλμένες ρυθμίσεις παραμέτρων και ευπάθειες
  • μη ασφαλείς διεπαφές και API.

Αυτή η απόκλιση οφείλεται στο γεγονός ότι, όπως διαπιστώσαμε παραπάνω, ο ίδιος ο πελάτης είναι υπεύθυνος για την ασφάλεια των δεδομένων πελατών. Και αν δεν μπήκε στον κόπο να ανάψει προστατευτικούς μηχανισμούς και δεν άναψε εργαλεία παρακολούθησης, τότε θα μάθει για το περιστατικό μόνο από τα ΜΜΕ ή από τους πελάτες του.

Για τον εντοπισμό περιστατικών, μπορείτε να χρησιμοποιήσετε ένα ευρύ φάσμα διαφορετικών υπηρεσιών παρακολούθησης που αναπτύχθηκαν από την Amazon (αν και αυτές συχνά συμπληρώνονται από εξωτερικά εργαλεία όπως το osquery). Έτσι, στο AWS, όλες οι ενέργειες των χρηστών παρακολουθούνται, ανεξάρτητα από τον τρόπο που εκτελούνται - μέσω της κονσόλας διαχείρισης, της γραμμής εντολών, του SDK ή άλλων υπηρεσιών AWS. Όλα τα αρχεία της δραστηριότητας κάθε λογαριασμού AWS (συμπεριλαμβανομένου του ονόματος χρήστη, της ενέργειας, της υπηρεσίας, των παραμέτρων δραστηριότητας και του αποτελέσματος) και της χρήσης API είναι διαθέσιμα μέσω του AWS CloudTrail. Μπορείτε να προβάλετε αυτά τα συμβάντα (όπως τις συνδέσεις κονσόλας AWS IAM) από την κονσόλα CloudTrail, να τα αναλύσετε χρησιμοποιώντας το Amazon Athena ή να τα "αναθέσετε σε εξωτερικούς συνεργάτες" σε εξωτερικές λύσεις όπως το Splunk, το AlienVault κ.λπ. Τα ίδια τα αρχεία καταγραφής AWS CloudTrail τοποθετούνται στον κάδο AWS S3.

Cloud Security Monitoring

Δύο άλλες υπηρεσίες AWS παρέχουν μια σειρά από άλλες σημαντικές δυνατότητες παρακολούθησης. Πρώτον, το Amazon CloudWatch είναι μια υπηρεσία παρακολούθησης για πόρους και εφαρμογές AWS που, μεταξύ άλλων, σας επιτρέπει να εντοπίσετε διάφορες ανωμαλίες στο cloud σας. Όλες οι ενσωματωμένες υπηρεσίες AWS, όπως Amazon Elastic Compute Cloud (διακομιστές), Amazon Relational Database Service (βάσεις δεδομένων), Amazon Elastic MapReduce (ανάλυση δεδομένων) και 30 άλλες υπηρεσίες Amazon, χρησιμοποιούν το Amazon CloudWatch για να αποθηκεύσουν τα αρχεία καταγραφής τους. Οι προγραμματιστές μπορούν να χρησιμοποιήσουν το ανοιχτό API από το Amazon CloudWatch για να προσθέσουν λειτουργίες παρακολούθησης αρχείων καταγραφής σε προσαρμοσμένες εφαρμογές και υπηρεσίες, επιτρέποντάς τους να επεκτείνουν το εύρος της ανάλυσης συμβάντων σε ένα πλαίσιο ασφαλείας.

Cloud Security Monitoring

Δεύτερον, η υπηρεσία VPC Flow Logs σάς επιτρέπει να αναλύετε την κίνηση δικτύου που αποστέλλεται ή λαμβάνεται από τους διακομιστές AWS (εξωτερικά ή εσωτερικά), καθώς και μεταξύ των μικροϋπηρεσιών. Όταν οποιοσδήποτε από τους πόρους AWS VPC αλληλεπιδρά με το δίκτυο, τα αρχεία καταγραφής ροής VPC καταγράφουν λεπτομέρειες σχετικά με την κυκλοφορία του δικτύου, συμπεριλαμβανομένης της διεπαφής δικτύου προέλευσης και προορισμού, καθώς και τις διευθύνσεις IP, τις θύρες, το πρωτόκολλο, τον αριθμό των byte και τον αριθμό των πακέτων που είδε. Όσοι έχουν εμπειρία στην ασφάλεια τοπικού δικτύου θα το αναγνωρίσουν ως ανάλογο με τα νήματα NetFlow, το οποίο μπορεί να δημιουργηθεί από διακόπτες, δρομολογητές και τείχη προστασίας εταιρικής ποιότητας. Αυτά τα αρχεία καταγραφής είναι σημαντικά για σκοπούς παρακολούθησης της ασφάλειας πληροφοριών, επειδή, σε αντίθεση με συμβάντα σχετικά με τις ενέργειες των χρηστών και των εφαρμογών, σας επιτρέπουν επίσης να μην χάνετε αλληλεπιδράσεις δικτύου στο εικονικό ιδιωτικό περιβάλλον cloud AWS.

Cloud Security Monitoring

Συνοπτικά, αυτές οι τρεις υπηρεσίες AWS—AWS CloudTrail, Amazon CloudWatch και VPC Flow Logs—μαζί παρέχουν αρκετά ισχυρές πληροφορίες σχετικά με τη χρήση του λογαριασμού σας, τη συμπεριφορά των χρηστών, τη διαχείριση υποδομής, τη δραστηριότητα εφαρμογών και υπηρεσιών και τη δραστηριότητα δικτύου. Για παράδειγμα, μπορούν να χρησιμοποιηθούν για τον εντοπισμό των ακόλουθων ανωμαλιών:

  • Προσπάθειες για σάρωση του ιστότοπου, αναζήτηση για κερκόπορτες, αναζήτηση ευπαθειών μέσω εκρήξεων «404 σφαλμάτων».
  • Επιθέσεις ένεσης (για παράδειγμα, ένεση SQL) μέσω εκρήξεων «500 σφαλμάτων».
  • Γνωστά εργαλεία επίθεσης είναι τα sqlmap, nikto, w3af, nmap κ.λπ. μέσω ανάλυσης του πεδίου User Agent.

Η Amazon Web Services έχει επίσης αναπτύξει άλλες υπηρεσίες για σκοπούς κυβερνοασφάλειας που σας επιτρέπουν να επιλύσετε πολλά άλλα προβλήματα. Για παράδειγμα, το AWS έχει μια ενσωματωμένη υπηρεσία για έλεγχο πολιτικών και διαμορφώσεων - AWS Config. Αυτή η υπηρεσία παρέχει συνεχή έλεγχο των πόρων AWS και των διαμορφώσεών τους. Ας πάρουμε ένα απλό παράδειγμα: Ας υποθέσουμε ότι θέλετε να βεβαιωθείτε ότι οι κωδικοί πρόσβασης χρήστη είναι απενεργοποιημένοι σε όλους τους διακομιστές σας και ότι η πρόσβαση είναι δυνατή μόνο βάσει πιστοποιητικών. Το AWS Config διευκολύνει τον έλεγχο αυτού για όλους τους διακομιστές σας. Υπάρχουν και άλλες πολιτικές που μπορούν να εφαρμοστούν στους διακομιστές σας στο cloud: «Κανένας διακομιστής δεν μπορεί να χρησιμοποιήσει τη θύρα 22», «Μόνο οι διαχειριστές μπορούν να αλλάξουν κανόνες τείχους προστασίας» ή «Μόνο ο χρήστης Ivashko μπορεί να δημιουργήσει νέους λογαριασμούς χρηστών και μπορεί να το κάνει Μόνο τις Τρίτες. " Το καλοκαίρι του 2016, η υπηρεσία AWS Config επεκτάθηκε για να αυτοματοποιήσει τον εντοπισμό παραβιάσεων των αναπτυγμένων πολιτικών. Οι κανόνες διαμόρφωσης AWS είναι ουσιαστικά αιτήματα συνεχούς διαμόρφωσης για τις υπηρεσίες Amazon που χρησιμοποιείτε, τα οποία δημιουργούν συμβάντα εάν παραβιαστούν οι αντίστοιχες πολιτικές. Για παράδειγμα, αντί να εκτελούνται περιοδικά ερωτήματα διαμόρφωσης AWS για να επαληθεύσετε ότι όλοι οι δίσκοι σε έναν εικονικό διακομιστή είναι κρυπτογραφημένοι, οι Κανόνες διαμόρφωσης AWS μπορούν να χρησιμοποιηθούν για συνεχή έλεγχο των δίσκων διακομιστή για να διασφαλιστεί ότι πληρούται αυτή η συνθήκη. Και, το πιο σημαντικό, στο πλαίσιο αυτής της δημοσίευσης, τυχόν παραβιάσεις δημιουργούν συμβάντα που μπορούν να αναλυθούν από την υπηρεσία ασφάλειας πληροφοριών σας.

Cloud Security Monitoring

Το AWS έχει επίσης το αντίστοιχο με τις παραδοσιακές εταιρικές λύσεις ασφάλειας πληροφοριών, οι οποίες δημιουργούν επίσης συμβάντα ασφαλείας που μπορείτε και πρέπει να αναλύσετε:

  • Ανίχνευση εισβολής - AWS GuardDuty
  • Έλεγχος διαρροής πληροφοριών - AWS Macie
  • EDR (αν και μιλάει για τελικά σημεία στο σύννεφο λίγο περίεργα) - AWS Cloudwatch + osquery ανοιχτού κώδικα ή λύσεις GRR
  • Ανάλυση Netflow - AWS Cloudwatch + AWS VPC Flow
  • Ανάλυση DNS - AWS Cloudwatch + AWS Route53
  • AD - Υπηρεσία καταλόγου AWS
  • Διαχείριση λογαριασμού - AWS IAM
  • SSO - AWS SSO
  • ανάλυση ασφαλείας - AWS Inspector
  • διαχείριση ρυθμίσεων - AWS Config
  • WAF - AWS WAF.

Δεν θα περιγράψω λεπτομερώς όλες τις υπηρεσίες της Amazon που μπορεί να είναι χρήσιμες στο πλαίσιο της ασφάλειας των πληροφοριών. Το κύριο πράγμα είναι να κατανοήσουμε ότι όλα μπορούν να δημιουργήσουν συμβάντα που μπορούμε και πρέπει να αναλύσουμε στο πλαίσιο της ασφάλειας πληροφοριών, χρησιμοποιώντας για το σκοπό αυτό τόσο τις ενσωματωμένες δυνατότητες της ίδιας της Amazon όσο και εξωτερικές λύσεις, για παράδειγμα, το SIEM, το οποίο μπορεί μεταφέρετε συμβάντα ασφαλείας στο κέντρο παρακολούθησης και αναλύστε τα εκεί μαζί με συμβάντα από άλλες υπηρεσίες cloud ή από εσωτερική υποδομή, περιμετρική ή κινητές συσκευές.

Cloud Security Monitoring

Σε κάθε περίπτωση, όλα ξεκινούν από τις πηγές δεδομένων που σας παρέχουν συμβάντα ασφάλειας πληροφοριών. Αυτές οι πηγές περιλαμβάνουν, αλλά δεν περιορίζονται σε:

  • CloudTrail - Χρήση API και ενέργειες χρήστη
  • Αξιόπιστος Σύμβουλος - έλεγχος ασφαλείας έναντι βέλτιστων πρακτικών
  • Config - απόθεμα και διαμόρφωση λογαριασμών και ρυθμίσεων υπηρεσίας
  • Καταγραφή ροής VPC - συνδέσεις σε εικονικές διεπαφές
  • IAM - υπηρεσία αναγνώρισης και ελέγχου ταυτότητας
  • ELB Access Logs - Load Balancer
  • Επιθεωρητής - τρωτά σημεία εφαρμογής
  • S3 - αποθήκευση αρχείων
  • CloudWatch - Δραστηριότητα εφαρμογής
  • Το SNS είναι μια υπηρεσία ειδοποιήσεων.

Η Amazon, ενώ προσφέρει ένα τέτοιο εύρος πηγών συμβάντων και εργαλείων για τη γενιά τους, είναι πολύ περιορισμένη στην ικανότητά της να αναλύει τα δεδομένα που συλλέγονται στο πλαίσιο της ασφάλειας πληροφοριών. Θα πρέπει να μελετήσετε ανεξάρτητα τα διαθέσιμα αρχεία καταγραφής, αναζητώντας σχετικούς δείκτες συμβιβασμού σε αυτά. Το AWS Security Hub, το οποίο κυκλοφόρησε πρόσφατα η Amazon, στοχεύει να λύσει αυτό το πρόβλημα με το να γίνει ένα cloud SIEM για το AWS. Αλλά μέχρι στιγμής βρίσκεται μόνο στην αρχή του ταξιδιού του και περιορίζεται τόσο από τον αριθμό των πηγών με τις οποίες συνεργάζεται όσο και από άλλους περιορισμούς που έχουν τεθεί από την αρχιτεκτονική και τις συνδρομές της ίδιας της Amazon.

Παράδειγμα: Παρακολούθηση ασφάλειας πληροφοριών στο IaaS με βάση το Azure

Δεν θέλω να μπω σε μια μακρά συζήτηση σχετικά με το ποιος από τους τρεις παρόχους cloud (Amazon, Microsoft ή Google) είναι καλύτερος (ειδικά επειδή καθένας από αυτούς εξακολουθεί να έχει τις δικές του συγκεκριμένες ιδιαιτερότητες και είναι κατάλληλος για την επίλυση των δικών του προβλημάτων). Ας εστιάσουμε στις δυνατότητες παρακολούθησης της ασφάλειας πληροφοριών που παρέχουν αυτοί οι παίκτες. Πρέπει να παραδεχτούμε ότι το Amazon AWS ήταν ένα από τα πρώτα σε αυτό το τμήμα και ως εκ τούτου έχει προχωρήσει τα μέγιστα όσον αφορά τις λειτουργίες ασφάλειας πληροφοριών (αν και πολλοί παραδέχονται ότι είναι δύσκολο να χρησιμοποιηθούν). Αυτό όμως δεν σημαίνει ότι θα αγνοήσουμε τις ευκαιρίες που μας παρέχουν η Microsoft και η Google.

Τα προϊόντα της Microsoft διακρίνονταν πάντα για το «ανοιχτό» τους και στο Azure η κατάσταση είναι παρόμοια. Για παράδειγμα, εάν το AWS και το GCP προέρχονται πάντα από την έννοια του "αυτό που δεν επιτρέπεται απαγορεύεται", τότε το Azure έχει την ακριβώς αντίθετη προσέγγιση. Για παράδειγμα, όταν δημιουργείτε ένα εικονικό δίκτυο στο cloud και μια εικονική μηχανή σε αυτό, όλες οι θύρες και τα πρωτόκολλα είναι ανοιχτά και επιτρέπονται από προεπιλογή. Επομένως, θα πρέπει να ξοδέψετε λίγο περισσότερη προσπάθεια για την αρχική ρύθμιση του συστήματος ελέγχου πρόσβασης στο cloud από τη Microsoft. Και αυτό σας επιβάλλει επίσης πιο αυστηρές απαιτήσεις όσον αφορά την παρακολούθηση της δραστηριότητας στο σύννεφο Azure.

Cloud Security Monitoring

Το AWS έχει μια ιδιαιτερότητα που σχετίζεται με το γεγονός ότι όταν παρακολουθείτε τους εικονικούς πόρους σας, εάν βρίσκονται σε διαφορετικές περιοχές, τότε έχετε δυσκολίες στο συνδυασμό όλων των γεγονότων και της ενιαίας ανάλυσής τους, για να εξαλείψετε τα οποία πρέπει να καταφύγετε σε διάφορα κόλπα, όπως π.χ. Δημιουργήστε τον δικό σας κωδικό για το AWS Lambda που θα μεταφέρει συμβάντα μεταξύ περιοχών. Το Azure δεν έχει αυτό το πρόβλημα - ο μηχανισμός καταγραφής δραστηριότητας παρακολουθεί όλη τη δραστηριότητα σε ολόκληρο τον οργανισμό χωρίς περιορισμούς. Το ίδιο ισχύει και για το AWS Security Hub, το οποίο αναπτύχθηκε πρόσφατα από την Amazon για να ενοποιήσει πολλές λειτουργίες ασφαλείας σε ένα ενιαίο κέντρο ασφαλείας, αλλά μόνο στην περιοχή του, το οποίο, ωστόσο, δεν σχετίζεται με τη Ρωσία. Το Azure έχει το δικό του Κέντρο Ασφαλείας, το οποίο δεν δεσμεύεται από τοπικούς περιορισμούς, παρέχοντας πρόσβαση σε όλες τις δυνατότητες ασφαλείας της πλατφόρμας cloud. Επιπλέον, για διαφορετικές τοπικές ομάδες μπορεί να παρέχει το δικό της σύνολο προστατευτικών δυνατοτήτων, συμπεριλαμβανομένων των εκδηλώσεων ασφαλείας που διαχειρίζονται αυτές. Το AWS Security Hub είναι ακόμα στο δρόμο του να γίνει παρόμοιο με το Azure Security Center. Αλλά αξίζει να προσθέσετε μια μύγα στην αλοιφή - μπορείτε να αποσπάσετε από το Azure πολλά από αυτά που περιγράφηκαν προηγουμένως στο AWS, αλλά αυτό γίνεται πιο βολικά μόνο για το Azure AD, το Azure Monitor και το Azure Security Center. Όλοι οι άλλοι μηχανισμοί ασφαλείας Azure, συμπεριλαμβανομένης της ανάλυσης συμβάντων ασφαλείας, δεν διαχειρίζονται ακόμη με τον πιο βολικό τρόπο. Το πρόβλημα επιλύεται εν μέρει από το API, το οποίο διαπερνά όλες τις υπηρεσίες του Microsoft Azure, αλλά αυτό θα απαιτήσει πρόσθετη προσπάθεια από εσάς για να ενσωματώσετε το cloud με το SOC σας και την παρουσία ειδικευμένων ειδικών (στην πραγματικότητα, όπως και με κάθε άλλη SIEM που λειτουργεί με το cloud API). Ορισμένα SIEM, τα οποία θα συζητηθούν αργότερα, υποστηρίζουν ήδη το Azure και μπορούν να αυτοματοποιήσουν την παρακολούθηση του, αλλά έχει επίσης τις δικές του δυσκολίες - δεν μπορούν όλοι να συλλέξουν όλα τα αρχεία καταγραφής που έχει το Azure.

Cloud Security Monitoring

Η συλλογή και η παρακολούθηση συμβάντων στο Azure παρέχεται με τη χρήση της υπηρεσίας Azure Monitor, η οποία είναι το κύριο εργαλείο για τη συλλογή, αποθήκευση και ανάλυση δεδομένων στο Microsoft cloud και τους πόρους του - αποθετήρια Git, κοντέινερ, εικονικές μηχανές, εφαρμογές κ.λπ. Όλα τα δεδομένα που συλλέγονται από το Azure Monitor χωρίζονται σε δύο κατηγορίες - μετρήσεις, που συλλέγονται σε πραγματικό χρόνο και περιγράφουν βασικούς δείκτες απόδοσης του cloud Azure, και αρχεία καταγραφής, που περιέχουν δεδομένα οργανωμένα σε αρχεία που χαρακτηρίζουν ορισμένες πτυχές της δραστηριότητας των πόρων και των υπηρεσιών Azure. Επιπλέον, χρησιμοποιώντας το Data Collector API, η υπηρεσία Azure Monitor μπορεί να συλλέξει δεδομένα από οποιαδήποτε πηγή REST για να δημιουργήσει τα δικά της σενάρια παρακολούθησης.

Cloud Security Monitoring

Ακολουθούν ορισμένες πηγές συμβάντων ασφαλείας που σας προσφέρει το Azure και στις οποίες μπορείτε να έχετε πρόσβαση μέσω του Azure Portal, CLI, PowerShell ή REST API (και ορισμένες μόνο μέσω του Azure Monitor/Insight API):

  • Αρχεία καταγραφής δραστηριότητας - αυτό το αρχείο καταγραφής απαντά στις κλασικές ερωτήσεις «ποιος», «τι» και «πότε» σχετικά με οποιαδήποτε λειτουργία εγγραφής (PUT, POST, DELETE) σε πόρους cloud. Τα συμβάντα που σχετίζονται με την πρόσβαση ανάγνωσης (GET) δεν περιλαμβάνονται σε αυτό το αρχείο καταγραφής, όπως πολλά άλλα.
  • Διαγνωστικά αρχεία καταγραφής - περιέχει δεδομένα για λειτουργίες με συγκεκριμένο πόρο που περιλαμβάνεται στη συνδρομή σας.
  • Αναφορά Azure AD - περιέχει τόσο τη δραστηριότητα των χρηστών όσο και τη δραστηριότητα συστήματος που σχετίζονται με τη διαχείριση ομάδων και χρηστών.
  • Windows Event Log και Linux Syslog - περιέχει συμβάντα από εικονικές μηχανές που φιλοξενούνται στο cloud.
  • Μετρήσεις - περιέχει τηλεμετρία σχετικά με την απόδοση και την κατάσταση της υγείας των υπηρεσιών και των πόρων σας στο cloud. Μετράται κάθε λεπτό και αποθηκεύεται. εντός 30 ημερών.
  • Καταγραφή ροής ομάδας ασφαλείας δικτύου - περιέχει δεδομένα για συμβάντα ασφάλειας δικτύου που συλλέγονται με χρήση της υπηρεσίας Network Watcher και παρακολούθησης πόρων σε επίπεδο δικτύου.
  • Αρχεία αποθήκευσης - περιέχει συμβάντα που σχετίζονται με την πρόσβαση σε εγκαταστάσεις αποθήκευσης.

Cloud Security Monitoring

Για παρακολούθηση, μπορείτε να χρησιμοποιήσετε εξωτερικά SIEM ή την ενσωματωμένη οθόνη Azure και τις επεκτάσεις της. Θα μιλήσουμε για συστήματα διαχείρισης συμβάντων ασφάλειας πληροφοριών αργότερα, αλλά προς το παρόν ας δούμε τι μας προσφέρει το ίδιο το Azure για ανάλυση δεδομένων στο πλαίσιο της ασφάλειας. Η κύρια οθόνη για οτιδήποτε σχετίζεται με την ασφάλεια στο Azure Monitor είναι ο Πίνακας ελέγχου ασφαλείας και ελέγχου του Log Analytics (η δωρεάν έκδοση υποστηρίζει περιορισμένο χώρο αποθήκευσης συμβάντων για μόλις μία εβδομάδα). Αυτός ο πίνακας εργαλείων χωρίζεται σε 5 κύριες περιοχές που απεικονίζουν συνοπτικά στατιστικά στοιχεία του τι συμβαίνει στο περιβάλλον cloud που χρησιμοποιείτε:

  • Τομείς ασφαλείας - βασικοί ποσοτικοί δείκτες που σχετίζονται με την ασφάλεια πληροφοριών - ο αριθμός των περιστατικών, ο αριθμός των παραβιασμένων κόμβων, οι μη επιδιορθωμένοι κόμβοι, τα συμβάντα ασφάλειας δικτύου κ.λπ.
  • Σημαντικά ζητήματα - εμφανίζει τον αριθμό και τη σημασία των ενεργών ζητημάτων ασφάλειας πληροφοριών
  • Ανιχνεύσεις - εμφανίζει μοτίβα επιθέσεων που χρησιμοποιούνται εναντίον σας
  • Threat Intelligence - εμφανίζει γεωγραφικές πληροφορίες σε εξωτερικούς κόμβους που σας επιτίθενται
  • Συνήθη ερωτήματα ασφαλείας - τυπικά ερωτήματα που θα σας βοηθήσουν να παρακολουθείτε καλύτερα την ασφάλεια των πληροφοριών σας.

Cloud Security Monitoring

Οι επεκτάσεις του Azure Monitor περιλαμβάνουν το Azure Key Vault (προστασία κρυπτογραφικών κλειδιών στο cloud), την αξιολόγηση κακόβουλου λογισμικού (ανάλυση προστασίας από κακόβουλο κώδικα σε εικονικές μηχανές), το Azure Application Gateway Analytics (ανάλυση, μεταξύ άλλων, αρχείων καταγραφής τείχους προστασίας cloud) κ.λπ. . Αυτά τα εργαλεία, εμπλουτισμένα με ορισμένους κανόνες για την επεξεργασία συμβάντων, σας επιτρέπουν να απεικονίσετε διάφορες πτυχές της δραστηριότητας των υπηρεσιών cloud, συμπεριλαμβανομένης της ασφάλειας, και να εντοπίσετε ορισμένες αποκλίσεις από τη λειτουργία. Όμως, όπως συμβαίνει συχνά, οποιαδήποτε επιπλέον λειτουργικότητα απαιτεί αντίστοιχη συνδρομή επί πληρωμή, η οποία θα απαιτήσει αντίστοιχες οικονομικές επενδύσεις από εσάς, τις οποίες πρέπει να προγραμματίσετε εκ των προτέρων.

Cloud Security Monitoring

Το Azure έχει μια σειρά από ενσωματωμένες δυνατότητες παρακολούθησης απειλών που είναι ενσωματωμένες στο Azure AD, το Azure Monitor και το Azure Security Center. Μεταξύ αυτών, για παράδειγμα, ανίχνευση αλληλεπίδρασης εικονικών μηχανών με γνωστές κακόβουλες IP (λόγω της παρουσίας ενσωμάτωσης με υπηρεσίες Threat Intelligence από τη Microsoft), ανίχνευση κακόβουλου λογισμικού στην υποδομή cloud με λήψη συναγερμών από εικονικές μηχανές που φιλοξενούνται στο cloud, κωδικός πρόσβασης εικασίες επιθέσεων» σε εικονικές μηχανές, τρωτά σημεία στη διαμόρφωση του συστήματος αναγνώρισης χρήστη, σύνδεση στο σύστημα από ανωνυμοποιητές ή μολυσμένους κόμβους, διαρροές λογαριασμού, σύνδεση στο σύστημα από ασυνήθιστες τοποθεσίες κ.λπ. Το Azure σήμερα είναι ένας από τους λίγους παρόχους cloud που σας προσφέρει ενσωματωμένες δυνατότητες Threat Intelligence για να εμπλουτίσετε συμβάντα ασφάλειας συλλεγμένων πληροφοριών.

Cloud Security Monitoring

Όπως αναφέρθηκε παραπάνω, η λειτουργία ασφαλείας και, ως εκ τούτου, τα συμβάντα ασφαλείας που δημιουργούνται από αυτήν δεν είναι διαθέσιμα σε όλους τους χρήστες εξίσου, αλλά απαιτούν μια συγκεκριμένη συνδρομή που περιλαμβάνει τη λειτουργικότητα που χρειάζεστε, η οποία δημιουργεί τα κατάλληλα συμβάντα για την παρακολούθηση της ασφάλειας πληροφοριών. Για παράδειγμα, ορισμένες από τις λειτουργίες που περιγράφονται στην προηγούμενη παράγραφο για την παρακολούθηση ανωμαλιών σε λογαριασμούς είναι διαθέσιμες μόνο στην άδεια Premium P2 για την υπηρεσία Azure AD. Χωρίς αυτό, θα πρέπει, όπως και στην περίπτωση του AWS, να αναλύσετε τα συλλεχθέντα συμβάντα ασφαλείας "με μη αυτόματο τρόπο". Και, επίσης, ανάλογα με τον τύπο της άδειας Azure AD, δεν θα είναι διαθέσιμα όλα τα συμβάντα για ανάλυση.

Στην πύλη Azure, μπορείτε να διαχειριστείτε τόσο τα ερωτήματα αναζήτησης για αρχεία καταγραφής που σας ενδιαφέρουν όσο και να ρυθμίσετε πίνακες εργαλείων για να απεικονίσετε βασικούς δείκτες ασφάλειας πληροφοριών. Επιπλέον, εκεί μπορείτε να επιλέξετε επεκτάσεις Azure Monitor, οι οποίες σας επιτρέπουν να επεκτείνετε τη λειτουργικότητα των αρχείων καταγραφής του Azure Monitor και να λαμβάνετε μια βαθύτερη ανάλυση των συμβάντων από την άποψη της ασφάλειας.

Cloud Security Monitoring

Εάν δεν χρειάζεστε μόνο την ικανότητα να εργάζεστε με αρχεία καταγραφής, αλλά και ένα ολοκληρωμένο κέντρο ασφαλείας για την πλατφόρμα cloud Azure, συμπεριλαμβανομένης της διαχείρισης πολιτικής ασφάλειας πληροφοριών, τότε μπορείτε να μιλήσετε για την ανάγκη να εργαστείτε με το Azure Security Center, οι περισσότερες από τις χρήσιμες λειτουργίες του οποίου είναι διαθέσιμα για κάποια χρήματα, για παράδειγμα, ανίχνευση απειλών, παρακολούθηση εκτός του Azure, αξιολόγηση συμμόρφωσης κ.λπ. (στη δωρεάν έκδοση, έχετε πρόσβαση μόνο σε αξιολόγηση ασφαλείας και συστάσεις για την εξάλειψη εντοπισμένων προβλημάτων). Συγκεντρώνει όλα τα θέματα ασφάλειας σε ένα μέρος. Στην πραγματικότητα, μπορούμε να μιλάμε για υψηλότερο επίπεδο ασφάλειας πληροφοριών από αυτό που σας παρέχει το Azure Monitor, καθώς σε αυτήν την περίπτωση τα δεδομένα που συλλέγονται σε ολόκληρο το εργοστάσιό σας στο cloud εμπλουτίζονται χρησιμοποιώντας πολλές πηγές, όπως Azure, Office 365, Microsoft CRM online, Microsoft Dynamics AX , outlook .com, MSN.com, Microsoft Digital Crimes Unit (DCU) και Microsoft Security Response Center (MSRC), στα οποία επικαλύπτονται διάφοροι εξελιγμένοι αλγόριθμοι μηχανικής μάθησης και ανάλυσης συμπεριφοράς, οι οποίοι θα βελτιώσουν τελικά την αποτελεσματικότητα του εντοπισμού και της απόκρισης σε απειλές .

Το Azure έχει επίσης το δικό του SIEM - εμφανίστηκε στις αρχές του 2019. Αυτό είναι το Azure Sentinel, το οποίο βασίζεται σε δεδομένα από το Azure Monitor και μπορεί επίσης να ενσωματωθεί. λύσεις εξωτερικής ασφάλειας (για παράδειγμα, NGFW ή WAF), ο κατάλογος των οποίων αυξάνεται συνεχώς. Επιπλέον, μέσω της ενσωμάτωσης του Microsoft Graph Security API, έχετε τη δυνατότητα να συνδέσετε τις δικές σας ροές Threat Intelligence στο Sentinel, κάτι που εμπλουτίζει τις δυνατότητες ανάλυσης περιστατικών στο Azure cloud σας. Μπορεί να υποστηριχθεί ότι το Azure Sentinel είναι το πρώτο "εγγενές" SIEM που εμφανίστηκε από παρόχους cloud (το ίδιο Splunk ή το ELK, που μπορούν να φιλοξενηθούν στο cloud, για παράδειγμα, το AWS, δεν έχουν αναπτυχθεί ακόμα από τους παραδοσιακούς παρόχους υπηρεσιών cloud). Το Azure Sentinel and Security Center θα μπορούσε να ονομαστεί SOC για το Azure cloud και θα μπορούσε να περιοριστεί σε αυτά (με ορισμένες επιφυλάξεις) εάν δεν είχατε πλέον καμία υποδομή και μεταφέρατε όλους τους υπολογιστικούς πόρους σας στο cloud και θα ήταν το Microsoft cloud Azure.

Cloud Security Monitoring

Επειδή όμως οι ενσωματωμένες δυνατότητες του Azure (ακόμα και αν έχετε συνδρομή στο Sentinel) συχνά δεν επαρκούν για τους σκοπούς της παρακολούθησης της ασφάλειας πληροφοριών και της ενσωμάτωσης αυτής της διαδικασίας με άλλες πηγές συμβάντων ασφαλείας (τόσο στο cloud όσο και στο εσωτερικό), υπάρχει πρέπει να εξάγουν τα συλλεγμένα δεδομένα σε εξωτερικά συστήματα, στα οποία μπορεί να περιλαμβάνει το SIEM. Αυτό γίνεται τόσο με τη χρήση του API όσο και με τη χρήση ειδικών επεκτάσεων, οι οποίες επί του παρόντος είναι επίσημα διαθέσιμες μόνο για τα ακόλουθα SIEM - Splunk (Azure Monitor Add-On for Splunk), IBM QRadar (Microsoft Azure DSM), SumoLogic, ArcSight και ELK. Μέχρι πρόσφατα, υπήρχαν περισσότερα τέτοια SIEM, αλλά από την 1η Ιουνίου 2019, η Microsoft σταμάτησε να υποστηρίζει το Azure Log Integration Tool (AzLog), το οποίο στην αυγή της ύπαρξης του Azure και ελλείψει κανονικής τυποποίησης της εργασίας με αρχεία καταγραφής (Azure Η οθόνη δεν υπήρχε καν ακόμα) έκανε εύκολη την ενσωμάτωση του εξωτερικού SIEM στο σύννεφο της Microsoft. Τώρα η κατάσταση έχει αλλάξει και η Microsoft συνιστά την πλατφόρμα Azure Event Hub ως το κύριο εργαλείο ενοποίησης για άλλα SIEM. Πολλοί έχουν ήδη εφαρμόσει μια τέτοια ενσωμάτωση, αλλά να είστε προσεκτικοί - ενδέχεται να μην καταγράφουν όλα τα αρχεία καταγραφής Azure, αλλά μόνο μερικά (ανατρέξτε στην τεκμηρίωση για το SIEM σας).

Ολοκληρώνοντας μια σύντομη εκδρομή στο Azure, θα ήθελα να δώσω μια γενική σύσταση για αυτήν την υπηρεσία cloud - προτού πείτε οτιδήποτε σχετικά με τις λειτουργίες παρακολούθησης ασφάλειας πληροφοριών στο Azure, θα πρέπει να τις διαμορφώσετε πολύ προσεκτικά και να ελέγξετε ότι λειτουργούν όπως αναγράφεται στην τεκμηρίωση και όπως σας είπαν οι σύμβουλοι της Microsoft (και μπορεί να έχουν διαφορετικές απόψεις σχετικά με τη λειτουργικότητα των λειτουργιών Azure). Εάν έχετε τους οικονομικούς πόρους, μπορείτε να αποσπάσετε πολλές χρήσιμες πληροφορίες από το Azure όσον αφορά την παρακολούθηση της ασφάλειας των πληροφοριών. Εάν οι πόροι σας είναι περιορισμένοι, τότε, όπως στην περίπτωση του AWS, θα πρέπει να βασιστείτε μόνο στις δικές σας δυνάμεις και στα ακατέργαστα δεδομένα που σας παρέχει το Azure Monitor. Και να θυμάστε ότι πολλές λειτουργίες παρακολούθησης κοστίζουν χρήματα και είναι καλύτερο να εξοικειωθείτε με την τιμολογιακή πολιτική εκ των προτέρων. Για παράδειγμα, μπορείτε δωρεάν να αποθηκεύσετε δεδομένα για 31 ημέρες έως και 5 GB ανά πελάτη - η υπέρβαση αυτών των τιμών θα απαιτήσει να πληρώσετε επιπλέον χρήματα (περίπου $2+ για την αποθήκευση κάθε επιπλέον GB από τον πελάτη και $0,1 για αποθήκευση 1 GB κάθε επιπλέον μήνα). Η εργασία με την τηλεμετρία και τις μετρήσεις εφαρμογών μπορεί επίσης να απαιτεί επιπλέον χρήματα, καθώς και με ειδοποιήσεις και ειδοποιήσεις (ένα ορισμένο όριο είναι διαθέσιμο δωρεάν, το οποίο μπορεί να μην είναι αρκετό για τις ανάγκες σας).

Παράδειγμα: Παρακολούθηση ασφάλειας πληροφοριών στο IaaS με βάση την πλατφόρμα Google Cloud

Το Google Cloud Platform μοιάζει με νέο σε σύγκριση με το AWS και το Azure, αλλά αυτό είναι εν μέρει καλό. Σε αντίθεση με το AWS, το οποίο αύξησε σταδιακά τις δυνατότητές του, συμπεριλαμβανομένων εκείνων ασφαλείας, έχοντας προβλήματα με τη συγκέντρωση. Το GCP, όπως και το Azure, έχει πολύ καλύτερη διαχείριση κεντρικά, γεγονός που μειώνει τα σφάλματα και τον χρόνο υλοποίησης σε όλη την επιχείρηση. Από την άποψη της ασφάλειας, το GCP είναι, παραδόξως, μεταξύ AWS και Azure. Έχει επίσης μια εγγραφή εκδήλωσης για ολόκληρο τον οργανισμό, αλλά είναι ελλιπής. Ορισμένες λειτουργίες εξακολουθούν να βρίσκονται σε λειτουργία beta, αλλά σταδιακά αυτή η ανεπάρκεια θα πρέπει να εξαλειφθεί και το GCP θα γίνει μια πιο ώριμη πλατφόρμα όσον αφορά την παρακολούθηση της ασφάλειας των πληροφοριών.

Cloud Security Monitoring

Το κύριο εργαλείο για την καταγραφή συμβάντων στο GCP είναι το Stackdriver Logging (παρόμοιο με το Azure Monitor), το οποίο σας επιτρέπει να συλλέγετε συμβάντα σε ολόκληρη την υποδομή σας στο cloud (καθώς και από το AWS). Από την άποψη της ασφάλειας στο GCP, κάθε οργανισμός, έργο ή φάκελος έχει τέσσερα αρχεία καταγραφής:

  • Δραστηριότητα διαχειριστή - περιέχει όλα τα συμβάντα που σχετίζονται με την πρόσβαση διαχειριστή, για παράδειγμα, δημιουργία εικονικής μηχανής, αλλαγή δικαιωμάτων πρόσβασης κ.λπ. Αυτό το αρχείο καταγραφής γράφεται πάντα, ανεξάρτητα από την επιθυμία σας, και αποθηκεύει τα δεδομένα του για 400 ημέρες.
  • Πρόσβαση δεδομένων - περιέχει όλα τα συμβάντα που σχετίζονται με την εργασία με δεδομένα από χρήστες cloud (δημιουργία, τροποποίηση, ανάγνωση κ.λπ.). Από προεπιλογή, αυτό το αρχείο καταγραφής δεν είναι γραμμένο, καθώς ο όγκος του διογκώνεται πολύ γρήγορα. Για το λόγο αυτό, η διάρκεια ζωής του είναι μόνο 30 ημέρες. Επιπλέον, δεν είναι όλα γραμμένα σε αυτό το περιοδικό. Για παράδειγμα, συμβάντα που σχετίζονται με πόρους που είναι δημόσια προσβάσιμοι σε όλους τους χρήστες ή που είναι προσβάσιμοι χωρίς σύνδεση στο GCP δεν εγγράφονται σε αυτό.
  • Συμβάν συστήματος - περιέχει συμβάντα συστήματος που δεν σχετίζονται με χρήστες ή ενέργειες ενός διαχειριστή που αλλάζει τη διαμόρφωση των πόρων του cloud. Γράφεται και αποθηκεύεται πάντα για 400 ημέρες.
  • Το Access Transparency είναι ένα μοναδικό παράδειγμα αρχείου καταγραφής που καταγράφει όλες τις ενέργειες των υπαλλήλων της Google (αλλά όχι ακόμη για όλες τις υπηρεσίες GCP) που έχουν πρόσβαση στην υποδομή σας ως μέρος των εργασιακών τους καθηκόντων. Αυτό το αρχείο καταγραφής αποθηκεύεται για 400 ημέρες και δεν είναι διαθέσιμο σε κάθε πελάτη GCP, αλλά μόνο εάν πληρούνται ορισμένες προϋποθέσεις (είτε υποστήριξη σε επίπεδο Gold ή Platinum ή παρουσία 4 ρόλων συγκεκριμένου τύπου ως μέρος της εταιρικής υποστήριξης). Μια παρόμοια λειτουργία είναι επίσης διαθέσιμη, για παράδειγμα, στο Office 365 - Lockbox.

Παράδειγμα αρχείου καταγραφής: Πρόσβαση στη Διαφάνεια

{
 insertId:  "abcdefg12345"
 jsonPayload: {
  @type:  "type.googleapis.com/google.cloud.audit.TransparencyLog"
  location: {
   principalOfficeCountry:  "US"
   principalEmployingEntity:  "Google LLC"
   principalPhysicalLocationCountry:  "CA"
  }
  product: [
   0:  "Cloud Storage"
  ]
  reason: [
    detail:  "Case number: bar123"
    type:  "CUSTOMER_INITIATED_SUPPORT"
  ]
  accesses: [
   0: {
    methodName: "GoogleInternal.Read"
    resourceName: "//googleapis.com/storage/buckets/[BUCKET_NAME]/objects/foo123"
    }
  ]
 }
 logName:  "projects/[PROJECT_NAME]/logs/cloudaudit.googleapis.com%2Faccess_transparency"
 operation: {
  id:  "12345xyz"
 }
 receiveTimestamp:  "2017-12-18T16:06:37.400577736Z"
 resource: {
  labels: {
   project_id:  "1234567890"
  }
  type:  "project"
 }
 severity:  "NOTICE"
 timestamp:  "2017-12-18T16:06:24.660001Z"
}

Η πρόσβαση σε αυτά τα αρχεία καταγραφής είναι δυνατή με διάφορους τρόπους (με τον ίδιο τρόπο που συζητήθηκε προηγουμένως το Azure και το AWS) - μέσω της διεπαφής Log Viewer, μέσω του API, μέσω του Google Cloud SDK ή μέσω της σελίδας Δραστηριότητα του έργου σας για το οποίο ενδιαφέρονται για εκδηλώσεις. Με τον ίδιο τρόπο, μπορούν να εξαχθούν σε εξωτερικές λύσεις για πρόσθετη ανάλυση. Το τελευταίο γίνεται με την εξαγωγή αρχείων καταγραφής στο BigQuery ή στο Cloud Pub/Sub storage.

Εκτός από το Stackdriver Logging, η πλατφόρμα GCP προσφέρει επίσης λειτουργία Stackdriver Monitoring, η οποία σας επιτρέπει να παρακολουθείτε βασικές μετρήσεις (απόδοση, MTBF, συνολική υγεία κ.λπ.) των υπηρεσιών και των εφαρμογών cloud. Τα επεξεργασμένα και οπτικοποιημένα δεδομένα μπορούν να διευκολύνουν την εύρεση προβλημάτων στην υποδομή σας στο cloud, μεταξύ άλλων στο πλαίσιο της ασφάλειας. Ωστόσο, θα πρέπει να σημειωθεί ότι αυτή η λειτουργικότητα δεν θα είναι πολύ πλούσια στο πλαίσιο της ασφάλειας πληροφοριών, καθώς σήμερα το GCP δεν διαθέτει ανάλογο του ίδιου AWS GuardDuty και δεν μπορεί να εντοπίσει τα κακά μεταξύ όλων των εγγεγραμμένων συμβάντων (η Google έχει αναπτύξει τον εντοπισμό απειλών συμβάντων, αλλά είναι ακόμα υπό ανάπτυξη σε έκδοση beta και είναι πολύ νωρίς για να μιλήσουμε για τη χρησιμότητά του). Το Stackdriver Monitoring θα μπορούσε να χρησιμοποιηθεί ως σύστημα για τον εντοπισμό ανωμαλιών, οι οποίες στη συνέχεια θα διερευνηθούν για να βρεθούν τα αίτια της εμφάνισής τους. Ωστόσο, δεδομένης της έλλειψης ειδικευμένου προσωπικού στον τομέα της ασφάλειας πληροφοριών GCP στην αγορά, αυτό το έργο φαίνεται επί του παρόντος δύσκολο.

Cloud Security Monitoring

Αξίζει επίσης να δώσετε μια λίστα με ορισμένες ενότητες ασφάλειας πληροφοριών που μπορούν να χρησιμοποιηθούν στο σύννεφο GCP και οι οποίες είναι παρόμοιες με αυτές που προσφέρει το AWS:

  • Το Cloud Security Command Center είναι ένα ανάλογο του AWS Security Hub και του Azure Security Center.
  • Cloud DLP - Αυτόματη ανακάλυψη και επεξεργασία (π.χ. απόκρυψη) δεδομένων που φιλοξενούνται στο cloud χρησιμοποιώντας περισσότερες από 90 προκαθορισμένες πολιτικές ταξινόμησης.
  • Το Cloud Scanner είναι ένας σαρωτής για γνωστά τρωτά σημεία (XSS, Flash Injection, μη επιδιορθωμένες βιβλιοθήκες κ.λπ.) στο App Engine, στο Compute Engine και στο Google Kubernetes.
  • Cloud IAM - Ελέγξτε την πρόσβαση σε όλους τους πόρους GCP.
  • Cloud Identity - Διαχείριση λογαριασμών χρήστη, συσκευής και εφαρμογής GCP από μία μόνο κονσόλα.
  • Cloud HSM - προστασία κρυπτογραφικών κλειδιών.
  • Cloud Key Management Service - διαχείριση κρυπτογραφικών κλειδιών στο GCP.
  • Έλεγχος υπηρεσιών VPC - Δημιουργήστε μια ασφαλή περίμετρο γύρω από τους πόρους GCP σας για να τους προστατεύσετε από διαρροές.
  • Κλειδί ασφαλείας Titan - προστασία από το phishing.

Cloud Security Monitoring

Πολλές από αυτές τις λειτουργικές μονάδες δημιουργούν συμβάντα ασφαλείας που μπορούν να αποσταλούν στο χώρο αποθήκευσης BigQuery για ανάλυση ή εξαγωγή σε άλλα συστήματα, συμπεριλαμβανομένου του SIEM. Όπως αναφέρθηκε παραπάνω, το GCP είναι μια ενεργά αναπτυσσόμενη πλατφόρμα και η Google αναπτύσσει τώρα μια σειρά από νέες ενότητες ασφάλειας πληροφοριών για την πλατφόρμα της. Μεταξύ αυτών είναι το Event Threat Detection (τώρα διαθέσιμο σε έκδοση beta), το οποίο σαρώνει τα αρχεία καταγραφής Stackdriver αναζητώντας ίχνη μη εξουσιοδοτημένης δραστηριότητας (ανάλογα με το GuardDuty στο AWS) ή το Policy Intelligence (διαθέσιμο σε alpha), το οποίο θα σας επιτρέψει να αναπτύξετε έξυπνες πολιτικές για πρόσβαση σε πόρους GCP.

Έκανα μια σύντομη επισκόπηση των ενσωματωμένων δυνατοτήτων παρακολούθησης σε δημοφιλείς πλατφόρμες cloud. Αλλά έχετε ειδικούς που μπορούν να εργαστούν με "ακατέργαστα" αρχεία καταγραφής παρόχων IaaS (δεν είναι όλοι έτοιμοι να αγοράσουν τις προηγμένες δυνατότητες του AWS ή του Azure ή της Google); Επιπλέον, πολλοί είναι εξοικειωμένοι με την παροιμία «εμπιστεύσου, αλλά επαλήθευε», η οποία είναι πιο αληθινή από ποτέ στον τομέα της ασφάλειας. Πόσο εμπιστεύεστε τις ενσωματωμένες δυνατότητες του παρόχου cloud που σας στέλνει συμβάντα ασφάλειας πληροφοριών; Πόσο εστιάζουν στην ασφάλεια των πληροφοριών;

Μερικές φορές αξίζει να δείτε λύσεις παρακολούθησης υποδομής cloud επικάλυψης που μπορούν να συμπληρώσουν την ενσωματωμένη ασφάλεια στο cloud και μερικές φορές τέτοιες λύσεις είναι η μόνη επιλογή για να αποκτήσετε πληροφορίες σχετικά με την ασφάλεια των δεδομένων και των εφαρμογών σας που φιλοξενούνται στο cloud. Επιπλέον, είναι απλώς πιο βολικά, αφού αναλαμβάνουν όλα τα καθήκοντα της ανάλυσης των απαραίτητων αρχείων καταγραφής που δημιουργούνται από διαφορετικές υπηρεσίες cloud από διαφορετικούς παρόχους cloud. Ένα παράδειγμα τέτοιας λύσης επικάλυψης είναι το Cisco Stealthwatch Cloud, το οποίο εστιάζει σε μία μόνο εργασία - την παρακολούθηση ανωμαλιών ασφάλειας πληροφοριών σε περιβάλλοντα cloud, συμπεριλαμβανομένων όχι μόνο των Amazon AWS, Microsoft Azure και Google Cloud Platform, αλλά και ιδιωτικών cloud.

Παράδειγμα: Παρακολούθηση ασφάλειας πληροφοριών με χρήση του Stealthwatch Cloud

Το AWS παρέχει μια ευέλικτη υπολογιστική πλατφόρμα, αλλά αυτή η ευελιξία διευκολύνει τις εταιρείες να κάνουν λάθη που οδηγούν σε ζητήματα ασφάλειας. Και το μοντέλο κοινής ασφάλειας πληροφοριών συμβάλλει μόνο σε αυτό. Λογισμικό που εκτελείται στο cloud με άγνωστα τρωτά σημεία (τα γνωστά μπορούν να καταπολεμηθούν, για παράδειγμα, από το AWS Inspector ή το GCP Cloud Scanner), αδύναμους κωδικούς πρόσβασης, εσφαλμένες διαμορφώσεις, εσωτερικές πληροφορίες κ.λπ. Και όλα αυτά αντικατοπτρίζονται στη συμπεριφορά των πόρων cloud, οι οποίοι μπορούν να παρακολουθούνται από το Cisco Stealthwatch Cloud, το οποίο είναι ένα σύστημα παρακολούθησης της ασφάλειας πληροφοριών και ανίχνευσης επιθέσεων. δημόσια και ιδιωτικά σύννεφα.

Cloud Security Monitoring

Ένα από τα βασικά χαρακτηριστικά του Cisco Stealthwatch Cloud είναι η δυνατότητα μοντελοποίησης οντοτήτων. Με αυτό, μπορείτε να δημιουργήσετε ένα μοντέλο λογισμικού (δηλαδή, μια προσομοίωση σχεδόν σε πραγματικό χρόνο) για κάθε έναν από τους πόρους του cloud σας (δεν έχει σημασία αν είναι AWS, Azure, GCP ή κάτι άλλο). Αυτά μπορεί να περιλαμβάνουν διακομιστές και χρήστες, καθώς και τύπους πόρων ειδικά για το περιβάλλον cloud σας, όπως ομάδες ασφαλείας και ομάδες αυτόματης κλίμακας. Αυτά τα μοντέλα χρησιμοποιούν δομημένες ροές δεδομένων που παρέχονται από υπηρεσίες cloud ως είσοδο. Για παράδειγμα, για το AWS αυτά θα είναι τα αρχεία καταγραφής ροής VPC, το AWS CloudTrail, το AWS CloudWatch, το AWS Config, το AWS Inspector, το AWS Lambda και το AWS IAM. Η μοντελοποίηση οντοτήτων ανακαλύπτει αυτόματα το ρόλο και τη συμπεριφορά οποιουδήποτε από τους πόρους σας (μπορείτε να μιλήσετε για τη δημιουργία προφίλ όλης της δραστηριότητας στο cloud). Αυτοί οι ρόλοι περιλαμβάνουν κινητή συσκευή Android ή Apple, διακομιστή Citrix PVS, διακομιστή RDP, πύλη αλληλογραφίας, πελάτη VoIP, διακομιστή τερματικού, ελεγκτή τομέα κ.λπ. Στη συνέχεια παρακολουθεί συνεχώς τη συμπεριφορά τους για να καθορίσει πότε εμφανίζεται επικίνδυνη ή απειλητική για την ασφάλεια συμπεριφορά. Μπορείτε να αναγνωρίσετε εικασία κωδικού πρόσβασης, επιθέσεις DDoS, διαρροές δεδομένων, παράνομη απομακρυσμένη πρόσβαση, δραστηριότητα κακόβουλου κώδικα, σάρωση ευπάθειας και άλλες απειλές. Για παράδειγμα, η ανίχνευση μιας προσπάθειας απομακρυσμένης πρόσβασης από μια χώρα άτυπη για τον οργανισμό σας (Νότια Κορέα) σε ένα σύμπλεγμα Kubernetes μέσω SSH μοιάζει με:

Cloud Security Monitoring

Και έτσι μοιάζει η υποτιθέμενη διαρροή πληροφοριών από τη βάση δεδομένων Postgress σε μια χώρα με την οποία δεν είχαμε προηγουμένως συναντήσει αλληλεπίδραση:

Cloud Security Monitoring

Τέλος, έτσι μοιάζουν πάρα πολλές αποτυχημένες προσπάθειες SSH από την Κίνα και την Ινδονησία από μια εξωτερική απομακρυσμένη συσκευή:

Cloud Security Monitoring

Ή, ας υποθέσουμε ότι η παρουσία διακομιστή στο VPC δεν θα είναι, βάσει πολιτικής, ποτέ απομακρυσμένος προορισμός σύνδεσης. Ας υποθέσουμε περαιτέρω ότι αυτός ο υπολογιστής παρουσίασε απομακρυσμένη σύνδεση λόγω λανθασμένης αλλαγής στην πολιτική κανόνων του τείχους προστασίας. Η λειτουργία Μοντελοποίησης οντοτήτων θα εντοπίσει και θα αναφέρει αυτήν τη δραστηριότητα ("Ασυνήθιστη απομακρυσμένη πρόσβαση") σε σχεδόν πραγματικό χρόνο και θα παραπέμπει στη συγκεκριμένη κλήση API AWS CloudTrail, Azure Monitor ή GCP Stackdriver Logging (συμπεριλαμβανομένου ονόματος χρήστη, ημερομηνίας και ώρας, μεταξύ άλλων λεπτομερειών ) που προκάλεσε την αλλαγή στον κανόνα της ITU. Και στη συνέχεια αυτές οι πληροφορίες μπορούν να σταλούν στη SIEM για ανάλυση.

Cloud Security Monitoring

Παρόμοιες δυνατότητες υλοποιούνται για οποιοδήποτε περιβάλλον cloud που υποστηρίζεται από το Cisco Stealthwatch Cloud:

Cloud Security Monitoring

Η μοντελοποίηση οντοτήτων είναι μια μοναδική μορφή αυτοματισμού ασφαλείας που μπορεί να αποκαλύψει ένα προηγουμένως άγνωστο πρόβλημα με τους ανθρώπους, τις διαδικασίες ή την τεχνολογία σας. Για παράδειγμα, σας επιτρέπει να εντοπίσετε, μεταξύ άλλων, προβλήματα ασφάλειας όπως:

  • Έχει ανακαλύψει κάποιος μια κερκόπορτα στο λογισμικό που χρησιμοποιούμε;
  • Υπάρχει κάποιο λογισμικό ή συσκευή τρίτων στο cloud μας;
  • Ο εξουσιοδοτημένος χρήστης κάνει κατάχρηση προνομίων;
  • Υπήρχε κάποιο σφάλμα διαμόρφωσης που επέτρεπε την απομακρυσμένη πρόσβαση ή άλλη ακούσια χρήση πόρων;
  • Υπάρχει διαρροή δεδομένων από τους διακομιστές μας;
  • Προσπαθούσε κάποιος να συνδεθεί μαζί μας από μια άτυπη γεωγραφική τοποθεσία;
  • Το σύννεφο μας έχει μολυνθεί με κακόβουλο κώδικα;

Cloud Security Monitoring

Ένα ανιχνευμένο συμβάν ασφάλειας πληροφοριών μπορεί να σταλεί με τη μορφή αντίστοιχου εισιτηρίου στο Slack, το Cisco Spark, το σύστημα διαχείρισης συμβάντων PagerDuty και επίσης να σταλεί σε διάφορα SIEM, συμπεριλαμβανομένων των Splunk ή ELK. Συνοψίζοντας, μπορούμε να πούμε ότι εάν η εταιρεία σας χρησιμοποιεί μια στρατηγική πολλαπλών νέφους και δεν περιορίζεται σε οποιονδήποτε πάροχο cloud, οι δυνατότητες παρακολούθησης της ασφάλειας πληροφοριών που περιγράφονται παραπάνω, τότε η χρήση του Cisco Stealthwatch Cloud είναι μια καλή επιλογή για να αποκτήσετε ένα ενοποιημένο σύνολο παρακολούθησης δυνατότητες για τους κορυφαίους παίκτες cloud - Amazon , Microsoft και Google. Το πιο ενδιαφέρον πράγμα είναι ότι αν συγκρίνετε τις τιμές για το Stealthwatch Cloud με προηγμένες άδειες για παρακολούθηση ασφάλειας πληροφοριών σε AWS, Azure ή GCP, μπορεί να αποδειχθεί ότι η λύση Cisco θα είναι ακόμη φθηνότερη από τις ενσωματωμένες δυνατότητες των Amazon, Microsoft και λύσεις Google. Είναι παράδοξο, αλλά είναι αλήθεια. Και όσο περισσότερα σύννεφα και τις δυνατότητές τους χρησιμοποιείτε, τόσο πιο προφανές θα είναι το πλεονέκτημα μιας ενοποιημένης λύσης.

Cloud Security Monitoring

Επιπλέον, το Stealthwatch Cloud μπορεί να παρακολουθεί ιδιωτικά σύννεφα που αναπτύσσονται στον οργανισμό σας, για παράδειγμα, με βάση τα κοντέινερ Kubernetes ή παρακολουθώντας τις ροές Netflow ή την κίνηση δικτύου που λαμβάνεται μέσω κατοπτρισμού σε εξοπλισμό δικτύου (ακόμη και εγχώριας παραγωγής), δεδομένα AD ή διακομιστές DNS κ.λπ. Όλα αυτά τα δεδομένα θα εμπλουτιστούν με πληροφορίες Threat Intelligence που συλλέγει η Cisco Talos, η μεγαλύτερη μη κυβερνητική ομάδα ερευνητών απειλών στον κυβερνοχώρο στον κόσμο.

Cloud Security Monitoring

Αυτό σας επιτρέπει να εφαρμόσετε ένα ενοποιημένο σύστημα παρακολούθησης τόσο για δημόσια όσο και για υβριδικά σύννεφα που μπορεί να χρησιμοποιεί η εταιρεία σας. Οι πληροφορίες που συλλέγονται μπορούν στη συνέχεια να αναλυθούν χρησιμοποιώντας τις ενσωματωμένες δυνατότητες του Stealthwatch Cloud ή να αποσταλούν στο SIEM (Splunk, ELK, SumoLogic και πολλά άλλα υποστηρίζονται από προεπιλογή).

Με αυτό, θα ολοκληρώσουμε το πρώτο μέρος του άρθρου, στο οποίο εξέτασα τα ενσωματωμένα και εξωτερικά εργαλεία για την παρακολούθηση της ασφάλειας πληροφοριών των πλατφορμών IaaS/PaaS, τα οποία μας επιτρέπουν να ανιχνεύουμε γρήγορα και να ανταποκρινόμαστε σε περιστατικά που συμβαίνουν στα περιβάλλοντα cloud που η επιχείρησή μας έχει επιλέξει. Στο δεύτερο μέρος, θα συνεχίσουμε το θέμα και θα εξετάσουμε επιλογές για την παρακολούθηση πλατφορμών SaaS χρησιμοποιώντας το παράδειγμα του Salesforce και του Dropbox και επίσης θα προσπαθήσουμε να συνοψίσουμε και να συνδυάσουμε τα πάντα δημιουργώντας ένα ενοποιημένο σύστημα παρακολούθησης ασφάλειας πληροφοριών για διαφορετικούς παρόχους cloud.

Πηγή: www.habr.com

Προσθέστε ένα σχόλιο