Pagsubaybay sa Cloud Security

Ang paglipat ng data at mga application sa cloud ay nagpapakita ng bagong hamon para sa mga corporate SOC, na hindi laging handang subaybayan ang imprastraktura ng ibang tao. Ayon sa Netoskope, ang karaniwang enterprise (tila sa US) ay gumagamit ng 1246 iba't ibang serbisyo sa cloud, na 22% higit sa isang taon na ang nakalipas. 1246 cloud services!!! 175 sa mga ito ay nauugnay sa mga serbisyo ng HR, 170 ay nauugnay sa marketing, 110 ay nasa larangan ng komunikasyon at 76 ay nasa pananalapi at CRM. Gumagamit ang Cisco ng "lamang" ng 700 panlabas na serbisyo sa ulap. Kaya medyo nalilito ako sa mga numerong ito. Ngunit sa anumang kaso, ang problema ay wala sa kanila, ngunit sa katotohanan na ang ulap ay nagsisimula nang aktibong gamitin ng dumaraming bilang ng mga kumpanya na gustong magkaroon ng parehong mga kakayahan para sa pagsubaybay sa imprastraktura ng ulap tulad ng sa kanilang sariling network. At ang trend na ito ay lumalaki - ayon sa ayon sa American Chamber of Accounts Pagsapit ng 2023, 1200 data center ang isasara sa United States (6250 na ang nagsara). Ngunit ang paglipat sa cloud ay hindi lamang "ilipat natin ang aming mga server sa isang panlabas na provider." Bagong arkitektura ng IT, bagong software, mga bagong proseso, mga bagong paghihigpit... Ang lahat ng ito ay nagdudulot ng mga makabuluhang pagbabago sa gawain ng hindi lamang IT, kundi pati na rin ang seguridad ng impormasyon. At kung natutunan ng mga provider na kahit papaano ay makayanan ang pagtiyak ng seguridad ng cloud mismo (sa kabutihang palad mayroong maraming mga rekomendasyon), kung gayon sa pagsubaybay sa seguridad ng impormasyon ng ulap, lalo na sa mga platform ng SaaS, may mga makabuluhang paghihirap, na pag-uusapan natin.

Sabihin nating inilipat ng iyong kumpanya ang bahagi ng imprastraktura nito sa cloud... Itigil. Hindi sa ganitong paraan. Kung nailipat na ang imprastraktura, at ngayon mo lang iniisip kung paano mo ito susubaybayan, tapos natalo ka na. Maliban kung ito ay Amazon, Google, o Microsoft (at pagkatapos ay may mga reserbasyon), malamang na wala kang kakayahang subaybayan ang iyong data at mga application. Mabuti kung bibigyan ka ng pagkakataong magtrabaho kasama ang mga log. Minsan magiging available ang data ng kaganapang panseguridad, ngunit wala kang access dito. Halimbawa, Office 365. Kung mayroon kang pinakamurang lisensyang E1, hindi talaga available sa iyo ang mga kaganapang panseguridad. Kung mayroon kang lisensya ng E3, ang iyong data ay naka-imbak lamang ng 90 araw, at kung mayroon kang lisensya ng E5, ang tagal ng mga log ay magagamit para sa isang taon (gayunpaman, ito ay mayroon ding sariling mga nuances na may kaugnayan sa pangangailangan na magkahiwalay humiling ng ilang function para sa pagtatrabaho sa mga log mula sa suporta ng Microsoft). Sa pamamagitan ng paraan, ang lisensya ng E3 ay mas mahina sa mga tuntunin ng pagsubaybay sa mga function kaysa sa corporate Exchange. Upang makamit ang parehong antas, kailangan mo ng lisensyang E5 o karagdagang lisensya sa Advanced na Pagsunod, na maaaring mangailangan ng karagdagang pera na hindi isinaalang-alang sa iyong modelong pinansyal para sa paglipat sa imprastraktura ng cloud. At ito ay isa lamang halimbawa ng pagmamaliit ng mga isyung nauugnay sa pagsubaybay sa seguridad ng impormasyon sa cloud. Sa artikulong ito, nang hindi nagpapanggap na kumpleto, gusto kong bigyang pansin ang ilang mga nuances na dapat isaalang-alang kapag pumipili ng isang cloud provider mula sa isang punto ng seguridad. At sa dulo ng artikulo, bibigyan ng checklist na sulit kumpletuhin bago isaalang-alang na ang isyu ng pagsubaybay sa seguridad ng impormasyon sa cloud ay nalutas na.

Mayroong ilang karaniwang mga problema na humahantong sa mga insidente sa cloud environment, kung saan ang mga serbisyo sa seguridad ng impormasyon ay walang oras upang tumugon o hindi nakikita ang mga ito:

• Ang mga log ng seguridad ay hindi umiiral. Ito ay isang medyo pangkaraniwang sitwasyon, lalo na sa mga baguhan na manlalaro sa merkado ng mga solusyon sa ulap. Ngunit hindi ka dapat sumuko kaagad sa kanila. Ang mga maliliit na manlalaro, lalo na ang mga domestic, ay mas sensitibo sa mga kinakailangan ng customer at maaaring mabilis na ipatupad ang ilang kinakailangang function sa pamamagitan ng pagbabago sa naaprubahang roadmap para sa kanilang mga produkto. Oo, hindi ito magiging isang analogue ng GuardDuty mula sa Amazon o ang module na "Proactive Protection" mula sa Bitrix, ngunit hindi bababa sa isang bagay.
• Hindi alam ng seguridad ng impormasyon kung saan nakaimbak ang mga log o walang access sa mga ito. Dito kinakailangan na pumasok sa mga negosasyon sa cloud service provider - marahil ay magbibigay siya ng ganoong impormasyon kung itinuturing niyang mahalaga sa kanya ang kliyente. Ngunit sa pangkalahatan, hindi ito napakahusay kapag ang access sa mga log ay ibinigay "sa pamamagitan ng espesyal na desisyon."
• Nangyayari rin na ang cloud provider ay may mga log, ngunit nagbibigay sila ng limitadong pagsubaybay at pag-record ng kaganapan, na hindi sapat upang makita ang lahat ng mga insidente. Halimbawa, maaari ka lamang makatanggap ng mga log ng mga pagbabago sa isang website o mga log ng mga pagtatangka sa pagpapatunay ng user, ngunit hindi sa iba pang mga kaganapan, gaya ng trapiko sa network, na magtatago mula sa iyo ng isang buong layer ng mga kaganapan na nagpapakita ng mga pagtatangka na i-hack ang iyong imprastraktura sa cloud.
• Mayroong mga log, ngunit ang pag-access sa mga ito ay mahirap i-automate, na pinipilit silang subaybayan hindi patuloy, ngunit sa isang iskedyul. At kung hindi ka maaaring awtomatikong mag-download ng mga log, pagkatapos ay ang pag-download ng mga log, halimbawa, sa Excel na format (tulad ng ilang domestic cloud solution providers), ay maaaring humantong sa pag-aatubili sa bahagi ng corporate information security service na makipag-usap sa kanila.
• Walang pagsubaybay sa log. Ito marahil ang pinaka-hindi malinaw na dahilan para sa paglitaw ng mga insidente ng seguridad ng impormasyon sa mga kapaligiran ng ulap. Tila may mga log, at posible na i-automate ang pag-access sa mga ito, ngunit walang gumagawa nito. Bakit?

Nakabahaging konsepto ng seguridad sa ulap

Ang paglipat sa cloud ay palaging isang paghahanap para sa isang balanse sa pagitan ng pagnanais na mapanatili ang kontrol sa imprastraktura at ilipat ito sa mas propesyonal na mga kamay ng isang cloud provider na dalubhasa sa pagpapanatili nito. At sa larangan ng seguridad sa ulap, dapat ding hanapin ang balanseng ito. Bukod dito, depende sa modelo ng paghahatid ng serbisyo sa cloud na ginamit (IaaS, PaaS, SaaS), ang balanseng ito ay magiging iba sa lahat ng oras. Sa anumang kaso, dapat nating tandaan na ang lahat ng cloud provider ngayon ay sumusunod sa tinatawag na shared responsibility at shared information security model. Ang cloud ay may pananagutan para sa ilang bagay, at para sa iba ang kliyente ay may pananagutan, paglalagay ng kanyang data, kanyang mga application, kanyang virtual machine at iba pang mapagkukunan sa cloud. Magiging walang ingat na asahan na sa pamamagitan ng pagpunta sa cloud, ibibigay namin ang lahat ng responsibilidad sa provider. Ngunit hindi rin matalino na bumuo ng lahat ng seguridad sa iyong sarili kapag lumipat sa cloud. Kinakailangan ang balanse, na magdedepende sa maraming salik: - diskarte sa pamamahala ng peligro, modelo ng pagbabanta, mga mekanismo ng seguridad na available sa provider ng cloud, batas, atbp.

Halimbawa, ang pag-uuri ng data na naka-host sa cloud ay palaging responsibilidad ng customer. Matutulungan lang siya ng isang cloud provider o isang external na service provider sa pamamagitan ng mga tool na makakatulong sa pagmarka ng data sa cloud, pagtukoy ng mga paglabag, pagtanggal ng data na lumalabag sa batas, o pag-mask nito gamit ang isang paraan o iba pa. Sa kabilang banda, ang pisikal na seguridad ay palaging responsibilidad ng cloud provider, na hindi nito maibabahagi sa mga kliyente. Ngunit ang lahat ng nasa pagitan ng data at pisikal na imprastraktura ay tiyak na paksa ng talakayan sa artikulong ito. Halimbawa, ang pagkakaroon ng cloud ay responsibilidad ng provider, at ang pag-set up ng mga panuntunan sa firewall o pagpapagana ng pag-encrypt ay responsibilidad ng kliyente. Sa artikulong ito susubukan naming tingnan kung anong mga mekanismo ng pagsubaybay sa seguridad ng impormasyon ang ibinibigay ngayon ng iba't ibang sikat na cloud provider sa Russia, ano ang mga tampok ng kanilang paggamit, at kailan ito nagkakahalaga ng pagtingin sa mga panlabas na solusyon sa overlay (halimbawa, Cisco E- mail Security) na nagpapalawak ng mga kakayahan ng iyong cloud sa mga tuntunin ng cybersecurity. Sa ilang mga kaso, lalo na kung sinusunod mo ang isang multi-cloud na diskarte, wala kang pagpipilian kundi ang gumamit ng mga solusyon sa pagsubaybay sa seguridad ng panlabas na impormasyon sa ilang mga cloud environment nang sabay-sabay (halimbawa, Cisco CloudLock o Cisco Stealthwatch Cloud). Buweno, sa ilang mga kaso malalaman mo na ang cloud provider na iyong pinili (o ipinataw sa iyo) ay hindi nag-aalok ng anumang mga kakayahan sa pagsubaybay sa seguridad ng impormasyon. Ito ay hindi kasiya-siya, ngunit hindi rin kaunti, dahil pinapayagan ka nitong masuri nang sapat ang antas ng panganib na nauugnay sa pagtatrabaho sa ulap na ito.

Lifecycle ng Pagsubaybay sa Cloud Security

Upang subaybayan ang seguridad ng mga ulap na iyong ginagamit, mayroon ka lamang tatlong mga pagpipilian:

• umasa sa mga tool na ibinigay ng iyong cloud provider,
• gumamit ng mga solusyon mula sa mga third party na susubaybay sa IaaS, PaaS o SaaS platform na ginagamit mo,
• bumuo ng sarili mong imprastraktura sa pagsubaybay sa ulap (para lamang sa mga platform ng IaaS/PaaS).

Tingnan natin kung anong mga tampok ang mayroon ang bawat isa sa mga opsyong ito. Ngunit una, kailangan nating maunawaan ang pangkalahatang balangkas na gagamitin kapag sinusubaybayan ang mga cloud platform. I-highlight ko ang 6 na pangunahing bahagi ng proseso ng pagsubaybay sa seguridad ng impormasyon sa cloud:

• Paghahanda ng imprastraktura. Pagtukoy sa mga kinakailangang aplikasyon at imprastraktura para sa pagkolekta ng mga kaganapan na mahalaga para sa seguridad ng impormasyon sa imbakan.
• Koleksyon. Sa yugtong ito, ang mga kaganapang panseguridad ay pinagsama-sama mula sa iba't ibang mga mapagkukunan para sa kasunod na paghahatid para sa pagproseso, pag-iimbak at pagsusuri.
• Paggamot. Sa yugtong ito, ang data ay binago at pinayaman upang mapadali ang kasunod na pagsusuri.
• Imbakan. Ang bahaging ito ay responsable para sa panandalian at pangmatagalang imbakan ng nakolektang naproseso at hilaw na data.
• Pagsusuri. Sa yugtong ito, mayroon kang kakayahang makakita ng mga insidente at tumugon sa mga ito nang awtomatiko o manu-mano.
• Pag-uulat. Nakakatulong ang yugtong ito na bumalangkas ng mga pangunahing tagapagpahiwatig para sa mga stakeholder (pamamahala, auditor, cloud provider, kliyente, atbp.) na tumutulong sa amin na gumawa ng ilang partikular na desisyon, halimbawa, pagpapalit ng provider o pagpapalakas ng seguridad ng impormasyon.

Ang pag-unawa sa mga bahaging ito ay magbibigay-daan sa iyo na mabilis na magpasya sa hinaharap kung ano ang maaari mong kunin mula sa iyong provider, at kung ano ang kailangan mong gawin sa iyong sarili o sa paglahok ng mga panlabas na consultant.

Mga built-in na serbisyo sa cloud

Naisulat ko na sa itaas na maraming mga serbisyo sa ulap ngayon ang hindi nagbibigay ng anumang mga kakayahan sa pagsubaybay sa seguridad ng impormasyon. Sa pangkalahatan, hindi nila binibigyang pansin ang paksa ng seguridad ng impormasyon. Halimbawa, isa sa mga sikat na serbisyo ng Russia para sa pagpapadala ng mga ulat sa mga ahensya ng gobyerno sa pamamagitan ng Internet (hindi ko partikular na babanggitin ang pangalan nito). Ang buong seksyon tungkol sa seguridad ng serbisyong ito ay umiikot sa paggamit ng sertipikadong CIPF. Ang seksyon ng seguridad ng impormasyon ng isa pang domestic cloud service para sa pamamahala ng elektronikong dokumento ay hindi naiiba. Pinag-uusapan nito ang tungkol sa mga pampublikong key certificate, sertipikadong cryptography, pag-aalis ng mga kahinaan sa web, proteksyon laban sa mga pag-atake ng DDoS, paggamit ng mga firewall, pag-backup, at kahit na regular na pag-audit ng seguridad ng impormasyon. Ngunit walang salita tungkol sa pagsubaybay, o tungkol sa posibilidad na magkaroon ng access sa mga kaganapan sa seguridad ng impormasyon na maaaring interesado sa mga kliyente ng service provider na ito.

Sa pangkalahatan, sa paraan ng paglalarawan ng cloud provider sa mga isyu sa seguridad ng impormasyon sa website nito at sa dokumentasyon nito, mauunawaan mo kung gaano kaseryoso ang isyu na ito. Halimbawa, kung babasahin mo ang mga manwal para sa mga produkto ng "Aking Opisina", walang anumang salita tungkol sa seguridad, ngunit sa dokumentasyon para sa hiwalay na produkto na "Aking Opisina. KS3", na idinisenyo upang maprotektahan laban sa hindi awtorisadong pag-access, mayroong isang karaniwang listahan ng mga punto ng ika-17 na order ng FSTEC, na ipinapatupad ng "My Office.KS3", ngunit hindi ito inilarawan kung paano ito ipinapatupad at, higit sa lahat, kung paano isama ang mga mekanismong ito sa seguridad ng impormasyon ng korporasyon. Marahil ay umiiral ang naturang dokumentasyon, ngunit hindi ko ito nakita sa pampublikong domain, sa website ng "Aking Opisina". Bagama't marahil ay wala lang akong access sa lihim na impormasyong ito?..

Para kay Bitrix, mas maganda ang sitwasyon. Inilalarawan ng dokumentasyon ang mga format ng mga log ng kaganapan at, kawili-wili, ang log ng panghihimasok, na naglalaman ng mga kaganapang nauugnay sa mga potensyal na banta sa cloud platform. Mula doon maaari mong ilabas ang IP, pangalan ng user o bisita, pinagmulan ng kaganapan, oras, Ahente ng Gumagamit, uri ng kaganapan, atbp. Totoo, maaari kang magtrabaho sa mga kaganapang ito mula sa control panel ng cloud mismo, o mag-upload ng data sa format na MS Excel. Mahirap na ngayong i-automate ang trabaho gamit ang mga log ng Bitrix at kakailanganin mong gawin nang manu-mano ang ilan sa mga gawain (pag-upload ng ulat at paglo-load nito sa iyong SIEM). Ngunit kung naaalala natin na hanggang kamakailan lamang ang gayong pagkakataon ay hindi umiiral, kung gayon ito ay mahusay na pag-unlad. Kasabay nito, nais kong tandaan na maraming dayuhang tagapagbigay ng ulap ang nag-aalok ng katulad na pag-andar "para sa mga nagsisimula" - tingnan ang mga log gamit ang iyong mga mata sa pamamagitan ng control panel, o i-upload ang data sa iyong sarili (gayunpaman, karamihan sa pag-upload ng data sa . csv format, hindi Excel).

Nang hindi isinasaalang-alang ang opsyon na walang-log, kadalasang nag-aalok sa iyo ang mga cloud provider ng tatlong opsyon para sa pagsubaybay sa mga kaganapang panseguridad - mga dashboard, pag-upload ng data at pag-access sa API. Ang una ay tila upang malutas ang maraming mga problema para sa iyo, ngunit ito ay hindi ganap na totoo - kung mayroon kang ilang mga magazine, kailangan mong lumipat sa pagitan ng mga screen na nagpapakita ng mga ito, nawala ang pangkalahatang larawan. Bilang karagdagan, ang cloud provider ay malamang na hindi magbigay sa iyo ng kakayahang iugnay ang mga kaganapan sa seguridad at sa pangkalahatan ay pag-aralan ang mga ito mula sa isang punto ng seguridad (kadalasan ay nakikipag-usap ka sa hilaw na data, na kailangan mong maunawaan ang iyong sarili). May mga pagbubukod at pag-uusapan pa natin ang mga ito. Sa wakas, sulit na itanong kung anong mga kaganapan ang naitala ng iyong cloud provider, sa anong format, at paano ito tumutugma sa iyong proseso ng pagsubaybay sa seguridad ng impormasyon? Halimbawa, pagkakakilanlan at pagpapatunay ng mga user at bisita. Ang parehong Bitrix ay nagbibigay-daan sa iyo, batay sa mga kaganapang ito, na itala ang petsa at oras ng kaganapan, ang pangalan ng user o bisita (kung mayroon kang module na "Web Analytics"), ang object na na-access at iba pang mga elementong tipikal para sa isang website . Ngunit ang mga serbisyo sa seguridad ng impormasyon ng kumpanya ay maaaring mangailangan ng impormasyon tungkol sa kung na-access ng user ang cloud mula sa isang pinagkakatiwalaang device (halimbawa, sa isang corporate network ang gawaing ito ay ipinatupad ng Cisco ISE). Paano ang tungkol sa isang simpleng gawain tulad ng geo-IP function, na makakatulong na matukoy kung ang isang cloud service user account ay ninakaw? At kahit na ibigay ito sa iyo ng cloud provider, hindi ito sapat. Ang parehong Cisco CloudLock ay hindi lamang nagsusuri ng geolocation, ngunit gumagamit ng machine learning para dito at sinusuri ang makasaysayang data para sa bawat user at sinusubaybayan ang iba't ibang mga anomalya sa mga pagtatangka sa pagkilala at pagpapatunay. Ang MS Azure lang ang may katulad na functionality (kung mayroon kang naaangkop na subscription).

May isa pang kahirapan - dahil para sa maraming mga tagapagbigay ng ulap, ang pagsubaybay sa seguridad ng impormasyon ay isang bagong paksa na nagsisimula pa lamang nilang harapin, patuloy silang nagbabago ng isang bagay sa kanilang mga solusyon. Ngayon mayroon silang isang bersyon ng API, bukas ay isa pa, kinabukasan ay pangatlo. Kailangan mo ring maging handa para dito. Totoo rin ito sa functionality, na maaaring magbago, na dapat isaalang-alang sa iyong sistema ng pagsubaybay sa seguridad ng impormasyon. Halimbawa, ang Amazon sa una ay nagkaroon ng hiwalay na mga serbisyo sa pagsubaybay sa kaganapan sa cloud—AWS CloudTrail at AWS CloudWatch. Pagkatapos ay lumitaw ang isang hiwalay na serbisyo para sa pagsubaybay sa mga kaganapan sa seguridad ng impormasyon - AWS GuardDuty. Pagkaraan ng ilang oras, inilunsad ng Amazon ang isang bagong sistema ng pamamahala, ang Amazon Security Hub, na kinabibilangan ng pagsusuri ng data na natanggap mula sa GuardDuty, Amazon Inspector, Amazon Macie at marami pang iba. Ang isa pang halimbawa ay ang Azure log integration tool sa SIEM - AzLog. Aktibo itong ginamit ng maraming vendor ng SIEM, hanggang noong 2018 inanunsyo ng Microsoft ang pagtigil sa pag-unlad at suporta nito, na humarap sa maraming kliyente na gumamit ng tool na ito nang may problema (pag-uusapan natin kung paano ito nalutas sa ibang pagkakataon).

Samakatuwid, maingat na subaybayan ang lahat ng mga tampok sa pagsubaybay na inaalok sa iyo ng iyong cloud provider. O umasa sa mga external na provider ng solusyon na magsisilbing tagapamagitan sa pagitan ng iyong SOC at ng cloud na gusto mong subaybayan. Oo, magiging mas mahal ito (bagaman hindi palaging), ngunit ililipat mo ang lahat ng responsibilidad sa mga balikat ng ibang tao. O hindi lahat?.. Alalahanin natin ang konsepto ng nakabahaging seguridad at unawain natin na hindi natin maililipat ang anuman - kailangan nating independiyenteng maunawaan kung paano nagbibigay ang iba't ibang cloud provider ng pagsubaybay sa seguridad ng impormasyon ng iyong data, application, virtual machine at iba pang mapagkukunan naka-host sa cloud. At magsisimula tayo sa kung ano ang inaalok ng Amazon sa bahaging ito.

Halimbawa: Pagsubaybay sa seguridad ng impormasyon sa IaaS batay sa AWS

Oo, oo, naiintindihan ko na ang Amazon ay hindi ang pinakamahusay na halimbawa dahil sa katotohanan na ito ay isang serbisyong Amerikano at maaari itong mai-block bilang bahagi ng paglaban sa ekstremismo at ang pagpapakalat ng impormasyong ipinagbabawal sa Russia. Ngunit sa publikasyong ito, nais ko lang ipakita kung paano naiiba ang iba't ibang mga platform ng ulap sa kanilang mga kakayahan sa pagsubaybay sa seguridad ng impormasyon at kung ano ang dapat mong bigyang pansin kapag inililipat ang iyong mga pangunahing proseso sa mga ulap mula sa isang punto ng seguridad. Buweno, kung ang ilan sa mga developer ng Russia ng mga solusyon sa ulap ay natututo ng isang bagay na kapaki-pakinabang para sa kanilang sarili, kung gayon magiging mahusay iyon.

Ang unang bagay na sasabihin ay ang Amazon ay hindi isang hindi malalampasan na kuta. Iba't ibang insidente ang regular na nangyayari sa kanyang mga kliyente. Halimbawa, ang mga pangalan, address, petsa ng kapanganakan, at numero ng telepono ng 198 milyong botante ay ninakaw mula sa Deep Root Analytics. Ang Israeli company na Nice Systems ay nagnakaw ng 14 na milyong talaan ng mga subscriber ng Verizon. Gayunpaman, pinapayagan ka ng mga built-in na kakayahan ng AWS na makakita ng malawak na hanay ng mga insidente. Halimbawa:

• epekto sa imprastraktura (DDoS)
• node compromise (command injection)
• kompromiso sa account at hindi awtorisadong pag-access
• maling configuration at mga kahinaan
• hindi secure na mga interface at API.

Ang pagkakaibang ito ay dahil sa katotohanan na, tulad ng nalaman namin sa itaas, ang customer mismo ang may pananagutan para sa seguridad ng data ng customer. At kung hindi siya nag-abala na i-on ang mga mekanismo ng proteksyon at hindi i-on ang mga tool sa pagsubaybay, malalaman lamang niya ang tungkol sa insidente mula sa media o mula sa kanyang mga kliyente.

Upang matukoy ang mga insidente, maaari kang gumamit ng malawak na hanay ng iba't ibang serbisyo sa pagsubaybay na binuo ng Amazon (bagaman ang mga ito ay madalas na kinukumpleto ng mga panlabas na tool tulad ng osquery). Kaya, sa AWS, ang lahat ng pagkilos ng user ay sinusubaybayan, anuman ang paraan ng mga ito - sa pamamagitan ng management console, command line, SDK o iba pang mga serbisyo ng AWS. Ang lahat ng mga tala ng aktibidad ng bawat AWS account (kabilang ang username, aksyon, serbisyo, mga parameter ng aktibidad, at resulta) at paggamit ng API ay available sa pamamagitan ng AWS CloudTrail. Maaari mong tingnan ang mga kaganapang ito (gaya ng mga pag-login sa console ng AWS IAM) mula sa CloudTrail console, suriin ang mga ito gamit ang Amazon Athena, o "i-outsource" ang mga ito sa mga panlabas na solusyon gaya ng Splunk, AlienVault, atbp. Ang mga log ng AWS CloudTrail mismo ay inilalagay sa iyong AWS S3 bucket.

Dalawang iba pang serbisyo ng AWS ang nagbibigay ng ilang iba pang mahahalagang kakayahan sa pagsubaybay. Una, ang Amazon CloudWatch ay isang serbisyo sa pagsubaybay para sa mga mapagkukunan at application ng AWS na, bukod sa iba pang mga bagay, ay nagbibigay-daan sa iyo upang matukoy ang iba't ibang mga anomalya sa iyong cloud. Ang lahat ng built-in na serbisyo ng AWS, gaya ng Amazon Elastic Compute Cloud (mga server), Amazon Relational Database Service (mga database), Amazon Elastic MapReduce (pagsusuri ng data), at 30 iba pang serbisyo ng Amazon, ay gumagamit ng Amazon CloudWatch upang iimbak ang kanilang mga log. Maaaring gamitin ng mga developer ang bukas na API mula sa Amazon CloudWatch upang magdagdag ng pag-andar ng pagsubaybay sa log sa mga custom na application at serbisyo, na nagpapahintulot sa kanila na palawakin ang saklaw ng pagsusuri ng kaganapan sa loob ng konteksto ng seguridad.

Pangalawa, binibigyang-daan ka ng serbisyo ng VPC Flow Logs na suriin ang trapiko sa network na ipinadala o natanggap ng iyong mga AWS server (panlabas o panloob), gayundin sa pagitan ng mga microservice. Kapag ang alinman sa iyong mga mapagkukunan ng AWS VPC ay nakikipag-ugnayan sa network, ang VPC Flow Logs ay nagtatala ng mga detalye tungkol sa trapiko sa network, kabilang ang source at destination network interface, gayundin ang mga IP address, port, protocol, bilang ng mga byte, at bilang ng mga packet na iyong nakita. Makikilala ito ng mga nakaranas sa seguridad ng lokal na network bilang kahalintulad sa mga thread NetFlow, na maaaring gawin ng mga switch, router at enterprise-grade firewall. Ang mga log na ito ay mahalaga para sa mga layunin ng pagsubaybay sa seguridad ng impormasyon dahil, hindi katulad ng mga kaganapan tungkol sa mga pagkilos ng mga user at application, pinapayagan ka rin nitong hindi makaligtaan ang mga pakikipag-ugnayan sa network sa AWS virtual private cloud environment.

Sa buod, ang tatlong serbisyo ng AWS na ito—AWS CloudTrail, Amazon CloudWatch, at VPC Flow Logs—ay magkasamang nagbibigay ng medyo malakas na insight sa paggamit ng iyong account, gawi ng user, pamamahala sa imprastraktura, aktibidad ng application at serbisyo, at aktibidad sa network. Halimbawa, magagamit ang mga ito upang makita ang mga sumusunod na anomalya:

• Mga pagtatangka na i-scan ang site, maghanap ng mga backdoors, maghanap ng mga kahinaan sa pamamagitan ng pagsabog ng "404 errors".
• Mga pag-atake sa injection (halimbawa, SQL injection) sa pamamagitan ng mga pagsabog ng "500 error".
• Ang mga kilalang attack tool ay sqlmap, nikto, w3af, nmap, atbp. sa pamamagitan ng pagsusuri sa field ng User Agent.

Ang Amazon Web Services ay bumuo din ng iba pang mga serbisyo para sa mga layunin ng cybersecurity na nagbibigay-daan sa iyong lutasin ang maraming iba pang mga problema. Halimbawa, ang AWS ay may built-in na serbisyo para sa mga patakaran at configuration sa pag-audit - AWS Config. Nagbibigay ang serbisyong ito ng tuluy-tuloy na pag-audit ng iyong mga mapagkukunan ng AWS at ang kanilang mga configuration. Kumuha tayo ng isang simpleng halimbawa: Sabihin nating gusto mong tiyakin na ang mga password ng user ay hindi pinagana sa lahat ng iyong mga server at ang pag-access ay posible lamang batay sa mga certificate. Pinapadali ng AWS Config na suriin ito para sa lahat ng iyong server. Mayroong iba pang mga patakaran na maaaring ilapat sa iyong mga cloud server: "Walang server ang maaaring gumamit ng port 22", "Ang mga administrator lang ang makakapagbago ng mga panuntunan sa firewall" o "Ang user lang na si Ivashko ang makakagawa ng mga bagong user account, at magagawa niya ito tuwing Martes lang. " Noong tag-araw ng 2016, pinalawak ang serbisyo ng AWS Config para i-automate ang pagtuklas ng mga paglabag sa mga binuong patakaran. Ang Mga Panuntunan ng AWS Config ay mahalagang tuloy-tuloy na mga kahilingan sa pagsasaayos para sa mga serbisyo ng Amazon na iyong ginagamit, na bumubuo ng mga kaganapan kung nilabag ang mga kaukulang patakaran. Halimbawa, sa halip na pana-panahong patakbuhin ang mga query sa AWS Config upang i-verify na ang lahat ng mga disk sa isang virtual server ay naka-encrypt, ang AWS Config Rules ay maaaring gamitin upang patuloy na suriin ang mga disk ng server upang matiyak na ang kundisyong ito ay natutugunan. At, higit sa lahat, sa konteksto ng publikasyong ito, ang anumang mga paglabag ay bumubuo ng mga kaganapan na maaaring masuri ng iyong serbisyo sa seguridad ng impormasyon.

Ang AWS ay mayroon ding katumbas nito sa mga tradisyonal na solusyon sa seguridad ng impormasyon ng kumpanya, na bumubuo rin ng mga kaganapang panseguridad na maaari at dapat mong suriin:

• Intrusion Detection - AWS GuardDuty
• Information Leak Control - AWS Macie
• EDR (bagaman ito ay nagsasalita tungkol sa mga endpoint sa cloud na medyo kakaiba) - AWS Cloudwatch + open source osquery o mga solusyon sa GRR
• Pagsusuri ng Netflow - AWS Cloudwatch + AWS VPC Flow
• Pagsusuri ng DNS - AWS Cloudwatch + AWS Route53
• AD - Serbisyong Direktoryo ng AWS
• Pamamahala ng Account - AWS IAM
• SSO - AWS SSO
• pagsusuri sa seguridad - AWS Inspector
• pamamahala ng configuration - AWS Config
• WAF - AWS WAF.

Hindi ko ilalarawan nang detalyado ang lahat ng serbisyo ng Amazon na maaaring maging kapaki-pakinabang sa konteksto ng seguridad ng impormasyon. Ang pangunahing bagay ay upang maunawaan na ang lahat ng mga ito ay maaaring makabuo ng mga kaganapan na maaari at dapat nating suriin sa konteksto ng seguridad ng impormasyon, gamit para sa layuning ito ang parehong mga built-in na kakayahan ng Amazon mismo at mga panlabas na solusyon, halimbawa, SIEM, na maaaring dalhin ang mga kaganapang panseguridad sa iyong monitoring center at suriin ang mga ito doon kasama ng mga kaganapan mula sa iba pang mga serbisyo sa cloud o mula sa panloob na imprastraktura, perimeter o mga mobile device.

Sa anumang kaso, ang lahat ay nagsisimula sa mga mapagkukunan ng data na nagbibigay sa iyo ng mga kaganapan sa seguridad ng impormasyon. Kasama sa mga mapagkukunang ito, ngunit hindi limitado sa:

• CloudTrail - Paggamit ng API at Mga Pagkilos ng User
• Pinagkakatiwalaang Tagapayo - pagsusuri sa seguridad laban sa pinakamahuhusay na kagawian
• Config - imbentaryo at configuration ng mga account at setting ng serbisyo
• Mga Log ng Daloy ng VPC - mga koneksyon sa mga virtual na interface
• IAM - serbisyo sa pagkakakilanlan at pagpapatunay
• ELB Access Logs - Load Balancer
• Inspektor - mga kahinaan sa aplikasyon
• S3 - imbakan ng file
• CloudWatch - Aktibidad sa Application
• Ang SNS ay isang serbisyo ng notification.

Ang Amazon, habang nag-aalok ng ganoong hanay ng mga pinagmumulan ng kaganapan at mga tool para sa kanilang henerasyon, ay napakalimitado sa kakayahan nitong pag-aralan ang nakolektang data sa konteksto ng seguridad ng impormasyon. Kakailanganin mong independiyenteng pag-aralan ang magagamit na mga log, naghahanap ng mga nauugnay na tagapagpahiwatig ng kompromiso sa mga ito. Ang AWS Security Hub, na inilunsad kamakailan ng Amazon, ay naglalayong lutasin ang problemang ito sa pamamagitan ng pagiging isang cloud SIEM para sa AWS. Ngunit sa ngayon ito ay nasa simula pa lamang ng paglalakbay nito at nalilimitahan pareho ng bilang ng mga mapagkukunan kung saan ito gumagana at ng iba pang mga paghihigpit na itinatag ng arkitektura at mga subscription ng Amazon mismo.

Halimbawa: Pagsubaybay sa seguridad ng impormasyon sa IaaS batay sa Azure

Hindi ko nais na pumasok sa isang mahabang debate tungkol sa kung alin sa tatlong tagapagbigay ng ulap (Amazon, Microsoft o Google) ang mas mahusay (lalo na dahil ang bawat isa sa kanila ay mayroon pa ring sariling mga partikular na detalye at angkop para sa paglutas ng sarili nitong mga problema); Tumutok tayo sa mga kakayahan sa pagsubaybay sa seguridad ng impormasyon na ibinibigay ng mga manlalarong ito. Dapat aminin na ang Amazon AWS ay isa sa mga una sa segment na ito at samakatuwid ay umabante sa pinakamalayo sa mga tuntunin ng mga function ng seguridad ng impormasyon nito (bagaman marami ang umamin na mahirap gamitin ang mga ito). Ngunit hindi ito nangangahulugan na babalewalain namin ang mga pagkakataong ibinibigay sa amin ng Microsoft at Google.

Ang mga produkto ng Microsoft ay palaging nakikilala sa pamamagitan ng kanilang "pagiging bukas" at sa Azure ang sitwasyon ay magkatulad. Halimbawa, kung ang AWS at GCP ay palaging nagpapatuloy mula sa konsepto ng "kung ano ang hindi pinapayagan ay ipinagbabawal," ang Azure ay may eksaktong kabaligtaran na diskarte. Halimbawa, kapag lumilikha ng isang virtual network sa cloud at isang virtual machine sa loob nito, ang lahat ng mga port at protocol ay bukas at pinapayagan bilang default. Samakatuwid, kakailanganin mong gumastos ng kaunti pang pagsisikap sa paunang pag-setup ng access control system sa cloud mula sa Microsoft. At ito rin ay nagpapataw ng mas mahigpit na mga kinakailangan sa iyo sa mga tuntunin ng aktibidad sa pagsubaybay sa Azure cloud.

Ang AWS ay may kakaibang nauugnay sa katotohanan na kapag sinusubaybayan mo ang iyong mga virtual na mapagkukunan, kung sila ay matatagpuan sa iba't ibang mga rehiyon, magkakaroon ka ng mga paghihirap sa pagsasama-sama ng lahat ng mga kaganapan at ang kanilang pinag-isang pagsusuri, upang maalis ang kailangan mong gumamit ng iba't ibang mga trick, tulad ng Gumawa ng sarili mong code para sa AWS Lambda na magdadala ng mga kaganapan sa pagitan ng mga rehiyon. Walang ganitong problema ang Azure - sinusubaybayan ng mekanismo ng Activity Log nito ang lahat ng aktibidad sa buong organisasyon nang walang mga paghihigpit. Ang parehong naaangkop sa AWS Security Hub, na kamakailang binuo ng Amazon upang pagsamahin ang maraming mga function ng seguridad sa loob ng iisang security center, ngunit sa loob lamang ng rehiyon nito, na, gayunpaman, ay hindi nauugnay para sa Russia. Ang Azure ay may sariling Security Center, na hindi nakatali sa mga rehiyonal na paghihigpit, na nagbibigay ng access sa lahat ng mga tampok ng seguridad ng cloud platform. Bukod dito, para sa iba't ibang lokal na koponan maaari itong magbigay ng sarili nitong hanay ng mga kakayahan sa proteksyon, kabilang ang mga kaganapang panseguridad na pinamamahalaan nila. Ang AWS Security Hub ay patungo pa rin sa pagiging katulad ng Azure Security Center. Ngunit sulit na magdagdag ng langaw sa ointment - maaari mong i-squeeze out sa Azure ang marami sa naunang inilarawan sa AWS, ngunit ito ay pinaka-maginhawang gawin para lamang sa Azure AD, Azure Monitor at Azure Security Center. Ang lahat ng iba pang mekanismo ng seguridad ng Azure, kabilang ang pagsusuri ng kaganapan sa seguridad, ay hindi pa pinamamahalaan sa pinaka-maginhawang paraan. Ang problema ay bahagyang nalutas ng API, na tumatagos sa lahat ng mga serbisyo ng Microsoft Azure, ngunit ito ay mangangailangan ng karagdagang pagsisikap mula sa iyo upang isama ang iyong cloud sa iyong SOC at ang pagkakaroon ng mga kwalipikadong espesyalista (sa katunayan, tulad ng anumang iba pang SIEM na gumagana sa cloud mga API). Ang ilang mga SIEM, na tatalakayin sa ibang pagkakataon, ay sumusuporta na sa Azure at maaaring i-automate ang gawain ng pagsubaybay dito, ngunit mayroon din itong sariling mga paghihirap - hindi lahat ng mga ito ay maaaring mangolekta ng lahat ng mga log na mayroon si Azure.

Ang pagkolekta at pagsubaybay ng kaganapan sa Azure ay ibinibigay gamit ang serbisyo ng Azure Monitor, na siyang pangunahing tool para sa pagkolekta, pag-iimbak at pagsusuri ng data sa Microsoft cloud at mga mapagkukunan nito - Git repository, container, virtual machine, application, atbp. Ang lahat ng data na nakolekta ng Azure Monitor ay nahahati sa dalawang kategorya - mga sukatan, na nakolekta sa real time at naglalarawan ng mga pangunahing tagapagpahiwatig ng pagganap ng Azure cloud, at mga log, na naglalaman ng data na nakaayos sa mga talaan na nagpapakita ng ilang aspeto ng aktibidad ng mga mapagkukunan at serbisyo ng Azure. Bilang karagdagan, gamit ang Data Collector API, ang serbisyo ng Azure Monitor ay maaaring mangolekta ng data mula sa anumang REST source upang bumuo ng sarili nitong mga senaryo sa pagsubaybay.

Narito ang ilang mga mapagkukunan ng kaganapang panseguridad na inaalok sa iyo ng Azure at maaari mong ma-access sa pamamagitan ng Azure Portal, CLI, PowerShell, o REST API (at ang ilan lamang sa pamamagitan ng Azure Monitor/Insight API):

• Mga Log ng Aktibidad - sinasagot ng log na ito ang mga klasikong tanong ng "sino," "ano," at "kailan" patungkol sa anumang operasyon ng pagsulat (PUT, POST, DELETE) sa mga mapagkukunan ng ulap. Ang mga kaganapang nauugnay sa read access (GET) ay hindi kasama sa log na ito, tulad ng marami pang iba.
• Diagnostic Logs - naglalaman ng data sa mga pagpapatakbo na may partikular na mapagkukunang kasama sa iyong subscription.
• Pag-uulat ng Azure AD - naglalaman ng parehong aktibidad ng user at aktibidad ng system na nauugnay sa pamamahala ng grupo at user.
• Windows Event Log at Linux Syslog - naglalaman ng mga kaganapan mula sa mga virtual machine na naka-host sa cloud.
• Mga Sukatan - naglalaman ng telemetry tungkol sa pagganap at katayuan sa kalusugan ng iyong mga serbisyo at mapagkukunan sa cloud. Sinusukat bawat minuto at iniimbak. Sa loob ng 30 araw.
• Network Security Group Flow Logs - naglalaman ng data sa mga kaganapan sa seguridad ng network na nakolekta gamit ang serbisyo ng Network Watcher at pagsubaybay sa mapagkukunan sa antas ng network.
• Mga Log ng Imbakan - naglalaman ng mga kaganapang nauugnay sa pag-access sa mga pasilidad ng imbakan.

Para sa pagsubaybay, maaari mong gamitin ang mga panlabas na SIEM o ang built-in na Azure Monitor at ang mga extension nito. Pag-uusapan natin ang tungkol sa mga sistema ng pamamahala ng kaganapan sa seguridad ng impormasyon sa ibang pagkakataon, ngunit sa ngayon tingnan natin kung ano mismo ang iniaalok sa atin ng Azure para sa pagsusuri ng data sa konteksto ng seguridad. Ang pangunahing screen para sa lahat ng bagay na nauugnay sa seguridad sa Azure Monitor ay ang Log Analytics Security at Audit Dashboard (sinusuportahan ng libreng bersyon ang limitadong halaga ng storage ng event sa loob lang ng isang linggo). Ang dashboard na ito ay nahahati sa 5 pangunahing lugar na nagpapakita ng buod ng mga istatistika ng kung ano ang nangyayari sa cloud environment na iyong ginagamit:

• Mga Domain ng Seguridad - mga pangunahing tagapagpahiwatig ng dami na nauugnay sa seguridad ng impormasyon - ang bilang ng mga insidente, ang bilang ng mga nakompromisong node, hindi na-patch na mga node, mga kaganapan sa seguridad ng network, atbp.
• Mga Kapansin-pansing Isyu - ipinapakita ang bilang at kahalagahan ng mga aktibong isyu sa seguridad ng impormasyon
• Mga Deteksiyon - nagpapakita ng mga pattern ng mga pag-atake na ginamit laban sa iyo
• Threat Intelligence - nagpapakita ng heyograpikong impormasyon sa mga panlabas na node na umaatake sa iyo
• Mga karaniwang query sa seguridad - mga karaniwang query na makakatulong sa iyong mas mahusay na subaybayan ang iyong seguridad ng impormasyon.

Kasama sa mga extension ng Azure Monitor ang Azure Key Vault (proteksyon ng mga cryptographic key sa cloud), Malware Assessment (pagsusuri ng proteksyon laban sa malisyosong code sa mga virtual machine), Azure Application Gateway Analytics (pagsusuri ng, bukod sa iba pang mga bagay, mga log ng cloud firewall), atbp. . Ang mga tool na ito, na pinayaman ng ilang partikular na panuntunan para sa pagpoproseso ng mga kaganapan, ay nagbibigay-daan sa iyong makita ang iba't ibang aspeto ng aktibidad ng mga serbisyo sa cloud, kabilang ang seguridad, at tukuyin ang ilang partikular na paglihis mula sa operasyon. Ngunit, gaya ng madalas na nangyayari, ang anumang karagdagang pag-andar ay nangangailangan ng kaukulang bayad na subscription, na mangangailangan ng kaukulang mga pamumuhunan sa pananalapi mula sa iyo, na kailangan mong magplano nang maaga.

Ang Azure ay may ilang built-in na kakayahan sa pagsubaybay sa pagbabanta na isinama sa Azure AD, Azure Monitor, at Azure Security Center. Kabilang sa mga ito, halimbawa, ang pagtuklas ng pakikipag-ugnayan ng mga virtual machine sa mga kilalang malisyosong IP (dahil sa pagkakaroon ng pagsasama sa mga serbisyo ng Threat Intelligence mula sa Microsoft), pagtuklas ng malware sa imprastraktura ng ulap sa pamamagitan ng pagtanggap ng mga alarma mula sa mga virtual machine na naka-host sa cloud, password paghula ng mga pag-atake ” sa mga virtual machine, mga kahinaan sa pagsasaayos ng sistema ng pagkakakilanlan ng gumagamit, pag-log in sa system mula sa mga anonymizer o mga nahawaang node, pagtagas ng account, pag-log in sa system mula sa hindi pangkaraniwang mga lokasyon, atbp. Ang Azure ngayon ay isa sa ilang mga cloud provider na nag-aalok sa iyo ng mga built-in na kakayahan sa Threat Intelligence upang pagyamanin ang mga nakolektang kaganapan sa seguridad ng impormasyon.

Tulad ng nabanggit sa itaas, ang paggana ng seguridad at, bilang resulta, ang mga kaganapang panseguridad na nabuo nito ay hindi available sa lahat ng mga user nang pantay-pantay, ngunit nangangailangan ng isang partikular na subscription na kinabibilangan ng pagpapagana na kailangan mo, na bumubuo ng mga naaangkop na kaganapan para sa pagsubaybay sa seguridad ng impormasyon. Halimbawa, ang ilan sa mga function na inilarawan sa nakaraang talata para sa pagsubaybay sa mga anomalya sa mga account ay magagamit lamang sa P2 premium na lisensya para sa serbisyo ng Azure AD. Kung wala ito, ikaw, tulad ng sa kaso ng AWS, ay kailangang suriin ang mga nakolektang kaganapan sa seguridad "manu-mano". At, gayundin, depende sa uri ng lisensya ng Azure AD, hindi lahat ng kaganapan ay magagamit para sa pagsusuri.

Sa portal ng Azure, maaari mong pamahalaan ang parehong mga query sa paghahanap para sa mga log ng interes sa iyo at mag-set up ng mga dashboard upang mailarawan ang mga pangunahing tagapagpahiwatig ng seguridad ng impormasyon. Bilang karagdagan, doon maaari kang pumili ng mga extension ng Azure Monitor, na nagbibigay-daan sa iyong palawakin ang functionality ng mga log ng Azure Monitor at makakuha ng mas malalim na pagsusuri ng mga kaganapan mula sa isang punto ng seguridad.

Kung kailangan mo hindi lamang ng kakayahang magtrabaho sa mga log, ngunit isang komprehensibong sentro ng seguridad para sa iyong platform ng Azure cloud, kabilang ang pamamahala ng patakaran sa seguridad ng impormasyon, pagkatapos ay maaari mong pag-usapan ang tungkol sa pangangailangan na magtrabaho sa Azure Security Center, karamihan sa mga kapaki-pakinabang na pag-andar kung saan ay magagamit para sa ilang pera, halimbawa, pagtukoy ng pagbabanta, pagsubaybay sa labas ng Azure, pagtatasa sa pagsunod, atbp. (sa libreng bersyon, mayroon ka lamang access sa isang pagtatasa ng seguridad at mga rekomendasyon para sa pag-aalis ng mga natukoy na problema). Pinagsasama nito ang lahat ng isyu sa seguridad sa isang lugar. Sa katunayan, maaari naming pag-usapan ang tungkol sa isang mas mataas na antas ng seguridad ng impormasyon kaysa sa ibinibigay sa iyo ng Azure Monitor, dahil sa kasong ito, ang data na nakolekta sa iyong cloud factory ay pinayaman gamit ang maraming mapagkukunan, tulad ng Azure, Office 365, Microsoft CRM online, Microsoft Dynamics AX , outlook .com, MSN.com, Microsoft Digital Crimes Unit (DCU) at Microsoft Security Response Center (MSRC), kung saan naka-superimpose ang iba't ibang sopistikadong machine learning at behavioral analytics algorithm, na dapat sa huli ay mapabuti ang kahusayan ng pag-detect at pagtugon sa mga banta .

Ang Azure ay mayroon ding sariling SIEM - lumitaw ito sa simula ng 2019. Ito ang Azure Sentinel, na umaasa sa data mula sa Azure Monitor at maaari ding isama sa. panlabas na mga solusyon sa seguridad (halimbawa, NGFW o WAF), ang listahan ng kung saan ay patuloy na lumalaki. Bilang karagdagan, sa pamamagitan ng pagsasama ng Microsoft Graph Security API, mayroon kang kakayahang ikonekta ang iyong sariling Threat Intelligence feed sa Sentinel, na nagpapayaman sa mga kakayahan para sa pagsusuri ng mga insidente sa iyong Azure cloud. Maaaring ipagtatalunan na ang Azure Sentinel ay ang unang "katutubong" SIEM na lumitaw mula sa mga provider ng cloud (ang parehong Splunk o ELK, na maaaring i-host sa cloud, halimbawa, AWS, ay hindi pa rin binuo ng mga tradisyonal na cloud service provider). Ang Azure Sentinel at Security Center ay maaaring tawaging SOC para sa Azure cloud at maaaring limitado sa kanila (na may ilang partikular na reserbasyon) kung wala ka nang anumang imprastraktura at inilipat mo ang lahat ng iyong mapagkukunan sa pag-compute sa cloud at ito ang magiging Microsoft cloud Azure.

Ngunit dahil ang mga built-in na kakayahan ng Azure (kahit na mayroon kang isang subscription sa Sentinel) ay madalas na hindi sapat para sa mga layunin ng pagsubaybay sa seguridad ng impormasyon at pagsasama ng prosesong ito sa iba pang mga mapagkukunan ng mga kaganapan sa seguridad (parehong cloud at panloob), mayroong isang kailangang i-export ang nakolektang data sa mga panlabas na system, kung saan maaaring kabilang ang SIEM. Ginagawa ito kapwa gamit ang API at paggamit ng mga espesyal na extension, na kasalukuyang opisyal na magagamit lamang para sa mga sumusunod na SIEM - Splunk (Azure Monitor Add-On para sa Splunk), IBM QRadar (Microsoft Azure DSM), SumoLogic, ArcSight at ELK. Hanggang kamakailan lamang, mayroong higit pang mga naturang SIEM, ngunit mula Hunyo 1, 2019, tumigil ang Microsoft sa pagsuporta sa Azure Log Integration Tool (AzLog), na sa madaling araw ng pagkakaroon ng Azure at sa kawalan ng normal na standardisasyon ng pagtatrabaho sa mga log (Azure Ang monitor ay hindi pa umiiral) ginawa itong madaling isama ang panlabas na SIEM sa Microsoft cloud. Ngayon ay nagbago na ang sitwasyon at inirerekomenda ng Microsoft ang platform ng Azure Event Hub bilang pangunahing tool sa pagsasama para sa iba pang mga SIEM. Marami na ang nagpatupad ng naturang pagsasama, ngunit mag-ingat - maaaring hindi nila makuha ang lahat ng Azure log, ngunit ilan lamang (tingnan ang dokumentasyon para sa iyong SIEM).

Sa pagtatapos ng isang maikling iskursiyon sa Azure, nais kong magbigay ng pangkalahatang rekomendasyon tungkol sa serbisyong cloud na ito - bago ka magsabi ng anuman tungkol sa mga function ng pagsubaybay sa seguridad ng impormasyon sa Azure, dapat mong i-configure nang mabuti ang mga ito at subukan kung gumagana ang mga ito tulad ng nakasulat sa dokumentasyon at gaya ng sinabi sa iyo ng mga consultant sa Microsoft (at maaaring magkaiba sila ng pananaw sa functionality ng Azure functions). Kung mayroon kang mga pinansiyal na mapagkukunan, maaari kang mag-squeeze ng maraming kapaki-pakinabang na impormasyon mula sa Azure sa mga tuntunin ng pagsubaybay sa seguridad ng impormasyon. Kung limitado ang iyong mga mapagkukunan, kung gayon, tulad ng sa kaso ng AWS, kakailanganin mong umasa lamang sa iyong sariling lakas at sa raw data na ibinibigay sa iyo ng Azure Monitor. At tandaan na maraming mga function ng pagsubaybay ay nagkakahalaga ng pera at ito ay mas mahusay na pamilyar sa iyong sarili sa patakaran sa pagpepresyo nang maaga. Halimbawa, libre kang makakapag-imbak ng 31 araw ng data hanggang sa maximum na 5 GB bawat customer - ang paglampas sa mga halagang ito ay mangangailangan sa iyong maglabas ng karagdagang pera (humigit-kumulang $2+ para sa pag-iimbak ng bawat karagdagang GB mula sa customer at $0,1 para sa nag-iimbak ng 1 GB bawat karagdagang buwan). Ang pagtatrabaho sa telemetry ng application at mga sukatan ay maaari ding mangailangan ng mga karagdagang pondo, pati na rin ang pagtatrabaho sa mga alerto at notification (isang partikular na limitasyon ay available nang libre, na maaaring hindi sapat para sa iyong mga pangangailangan).

Halimbawa: Pagsubaybay sa seguridad ng impormasyon sa IaaS batay sa Google Cloud Platform

Ang Google Cloud Platform ay mukhang isang bata kumpara sa AWS at Azure, ngunit ito ay bahagyang mabuti. Hindi tulad ng AWS, na nadagdagan ang mga kakayahan nito, kabilang ang mga seguridad, unti-unting nagkakaroon ng mga problema sa sentralisasyon; Ang GCP, tulad ng Azure, ay mas mahusay na pinamamahalaan sa gitna, na binabawasan ang mga error at oras ng pagpapatupad sa buong enterprise. Mula sa punto ng seguridad, ang GCP ay, kakaiba, sa pagitan ng AWS at Azure. Mayroon din siyang isang pagpaparehistro ng kaganapan para sa buong organisasyon, ngunit hindi ito kumpleto. Ang ilang mga function ay nasa beta mode pa rin, ngunit unti-unting dapat na alisin ang kakulangan na ito at ang GCP ay magiging isang mas mature na platform sa mga tuntunin ng pagsubaybay sa seguridad ng impormasyon.

Ang pangunahing tool para sa pag-log ng mga kaganapan sa GCP ay Stackdriver Logging (katulad ng Azure Monitor), na nagbibigay-daan sa iyong mangolekta ng mga kaganapan sa iyong buong cloud infrastructure (pati na rin mula sa AWS). Mula sa pananaw ng seguridad sa GCP, ang bawat organisasyon, proyekto o folder ay may apat na log:

• Aktibidad ng Admin - naglalaman ng lahat ng kaganapang nauugnay sa administratibong pag-access, halimbawa, paggawa ng virtual machine, pagbabago ng mga karapatan sa pag-access, atbp. Palaging nakasulat ang log na ito, anuman ang gusto mo, at iniimbak ang data nito sa loob ng 400 araw.
• Pag-access sa Data - naglalaman ng lahat ng mga kaganapan na nauugnay sa pagtatrabaho sa data ng mga gumagamit ng ulap (paglikha, pagbabago, pagbabasa, atbp.). Bilang default, ang log na ito ay hindi nakasulat, dahil ang dami nito ay napakabilis na lumaki. Para sa kadahilanang ito, ang shelf life nito ay 30 araw lamang. Bilang karagdagan, hindi lahat ay nakasulat sa magazine na ito. Halimbawa, ang mga kaganapang nauugnay sa mga mapagkukunan na naa-access ng publiko sa lahat ng mga user o naa-access nang hindi nagla-log in sa GCP ay hindi nakasulat dito.
• System Event - naglalaman ng mga system event na hindi nauugnay sa mga user, o mga aksyon ng isang administrator na nagbabago sa configuration ng cloud resources. Ito ay palaging nakasulat at nakaimbak sa loob ng 400 araw.
• Ang Access Transparency ay isang natatanging halimbawa ng isang log na kumukuha ng lahat ng pagkilos ng mga empleyado ng Google (ngunit hindi pa para sa lahat ng serbisyo ng GCP) na nag-a-access sa iyong imprastraktura bilang bahagi ng kanilang mga tungkulin sa trabaho. Ang log na ito ay nakaimbak sa loob ng 400 araw at hindi available sa bawat GCP client, ngunit kung ang ilang kundisyon ay natutugunan (alinman sa Gold o Platinum level support, o ang pagkakaroon ng 4 na tungkulin ng isang partikular na uri bilang bahagi ng corporate support). Available din ang isang katulad na function, halimbawa, sa Office 365 - Lockbox.

Halimbawa ng log: Access Transparency

{
 insertId:  "abcdefg12345"
 jsonPayload: {
  @type:  "type.googleapis.com/google.cloud.audit.TransparencyLog"
  location: {
   principalOfficeCountry:  "US"
   principalEmployingEntity:  "Google LLC"
   principalPhysicalLocationCountry:  "CA"
  }
  product: [
   0:  "Cloud Storage"
  ]
  reason: [
    detail:  "Case number: bar123"
    type:  "CUSTOMER_INITIATED_SUPPORT"
  ]
  accesses: [
   0: {
    methodName: "GoogleInternal.Read"
    resourceName: "//googleapis.com/storage/buckets/[BUCKET_NAME]/objects/foo123"
    }
  ]
 }
 logName:  "projects/[PROJECT_NAME]/logs/cloudaudit.googleapis.com%2Faccess_transparency"
 operation: {
  id:  "12345xyz"
 }
 receiveTimestamp:  "2017-12-18T16:06:37.400577736Z"
 resource: {
  labels: {
   project_id:  "1234567890"
  }
  type:  "project"
 }
 severity:  "NOTICE"
 timestamp:  "2017-12-18T16:06:24.660001Z"
}

Ang pag-access sa mga log na ito ay posible sa maraming paraan (sa parehong paraan tulad ng naunang tinalakay na Azure at AWS) - sa pamamagitan ng interface ng Log Viewer, sa pamamagitan ng API, sa pamamagitan ng Google Cloud SDK, o sa pamamagitan ng page ng Aktibidad ng iyong proyekto kung saan ka interesado sa mga kaganapan. Sa parehong paraan, maaari silang i-export sa mga panlabas na solusyon para sa karagdagang pagsusuri. Ginagawa ang huli sa pamamagitan ng pag-export ng mga log sa storage ng BigQuery o Cloud Pub/Sub.

Bilang karagdagan sa Stackdriver Logging, nag-aalok din ang GCP platform ng Stackdriver Monitoring functionality, na nagbibigay-daan sa iyong subaybayan ang mga pangunahing sukatan (performance, MTBF, pangkalahatang kalusugan, atbp.) ng mga serbisyo at application ng cloud. Mapapadali ng naproseso at na-visualize na data ang paghahanap ng mga problema sa iyong imprastraktura sa cloud, kasama ang konteksto ng seguridad. Ngunit dapat tandaan na ang pag-andar na ito ay hindi magiging napakayaman sa konteksto ng seguridad ng impormasyon, dahil ngayon ang GCP ay walang analogue ng parehong AWS GuardDuty at hindi matukoy ang mga masama sa lahat ng nakarehistrong kaganapan (Ang Google ay bumuo ng Event Threat Detection, ngunit ito ay nasa ilalim pa rin ng pag-unlad sa beta at masyadong maaga upang pag-usapan ang tungkol sa pagiging kapaki-pakinabang nito). Maaaring gamitin ang Stackdriver Monitoring bilang isang sistema para sa pag-detect ng mga anomalya, na pagkatapos ay iimbestigahan upang mahanap ang mga sanhi ng kanilang paglitaw. Ngunit dahil sa kakulangan ng mga tauhan na kwalipikado sa larangan ng seguridad ng impormasyon ng GCP sa merkado, ang gawaing ito ay kasalukuyang mukhang mahirap.

Sulit ding magbigay ng listahan ng ilang module ng seguridad ng impormasyon na magagamit sa loob ng iyong GCP cloud, at na katulad ng inaalok ng AWS:

• Ang Cloud Security Command Center ay isang analogue ng AWS Security Hub at Azure Security Center.
• Cloud DLP - Awtomatikong pagtuklas at pag-edit (hal. pag-mask) ng data na naka-host sa cloud gamit ang higit sa 90 paunang natukoy na mga patakaran sa pag-uuri.
• Ang Cloud Scanner ay isang scanner para sa mga kilalang kahinaan (XSS, Flash Injection, hindi na-patch na mga library, atbp.) sa App Engine, Compute Engine at Google Kubernetes.
• Cloud IAM - Kontrolin ang access sa lahat ng mapagkukunan ng GCP.
• Cloud Identity - Pamahalaan ang GCP user, device at application account mula sa iisang console.
• Cloud HSM - proteksyon ng mga cryptographic key.
• Cloud Key Management Service - pamamahala ng mga cryptographic key sa GCP.
• Kontrol ng Serbisyo ng VPC - Gumawa ng secure na perimeter sa paligid ng iyong mga mapagkukunan ng GCP upang maprotektahan ang mga ito mula sa mga pagtagas.
• Titan Security Key - proteksyon laban sa phishing.

Marami sa mga module na ito ay bumubuo ng mga kaganapang panseguridad na maaaring ipadala sa BigQuery storage para sa pagsusuri o pag-export sa iba pang mga system, kabilang ang SIEM. Gaya ng nabanggit sa itaas, ang GCP ay isang aktibong umuunlad na platform at ang Google ay gumagawa na ngayon ng ilang bagong module ng seguridad ng impormasyon para sa platform nito. Kabilang sa mga ito ang Event Threat Detection (available na ngayon sa beta), na nag-scan ng Stackdriver logs para maghanap ng mga bakas ng hindi awtorisadong aktibidad (katulad ng GuardDuty sa AWS), o Policy Intelligence (available sa alpha), na magbibigay-daan sa iyong bumuo ng mga matatalinong patakaran para sa access sa mga mapagkukunan ng GCP.

Gumawa ako ng maikling pangkalahatang-ideya ng mga built-in na kakayahan sa pagsubaybay sa mga sikat na cloud platform. Ngunit mayroon ka bang mga espesyalista na nagagawang magtrabaho sa "raw" na mga log ng provider ng IaaS (hindi lahat ay handang bumili ng mga advanced na kakayahan ng AWS o Azure o Google)? Bilang karagdagan, marami ang pamilyar sa kasabihang "magtiwala, ngunit patunayan," na mas totoo kaysa kailanman sa larangan ng seguridad. Gaano ka nagtitiwala sa mga built-in na kakayahan ng cloud provider na nagpapadala sa iyo ng mga kaganapan sa seguridad ng impormasyon? Gaano sila tumutuon sa seguridad ng impormasyon?

Minsan sulit na tingnan ang mga overlay na solusyon sa pagsubaybay sa imprastraktura ng ulap na maaaring umakma sa built-in na seguridad sa cloud, at kung minsan ang mga naturang solusyon ay ang tanging opsyon upang makakuha ng insight sa seguridad ng iyong data at mga application na naka-host sa cloud. Bilang karagdagan, ang mga ito ay mas maginhawa, dahil ginagawa nila ang lahat ng mga gawain ng pagsusuri ng mga kinakailangang log na nabuo ng iba't ibang mga serbisyo ng ulap mula sa iba't ibang mga tagapagbigay ng ulap. Ang isang halimbawa ng naturang overlay na solusyon ay ang Cisco Stealthwatch Cloud, na nakatuon sa iisang gawain - pagsubaybay sa mga anomalya sa seguridad ng impormasyon sa mga cloud environment, kasama hindi lamang ang Amazon AWS, Microsoft Azure at Google Cloud Platform, kundi pati na rin ang mga pribadong ulap.

Halimbawa: Pagsubaybay sa Seguridad ng Impormasyon Gamit ang Stealthwatch Cloud

Nagbibigay ang AWS ng flexible computing platform, ngunit ang flexibility na ito ay nagpapadali para sa mga kumpanya na magkamali na humahantong sa mga isyu sa seguridad. At ang nakabahaging modelo ng seguridad ng impormasyon ay nag-aambag lamang dito. Ang pagpapatakbo ng software sa cloud na may hindi kilalang mga kahinaan (maaaring labanan ang mga kilala, halimbawa, ng AWS Inspector o GCP Cloud Scanner), mahihinang password, maling configuration, insider, atbp. At ang lahat ng ito ay makikita sa pag-uugali ng mga mapagkukunan ng ulap, na maaaring subaybayan ng Cisco Stealthwatch Cloud, na isang sistema ng pagsubaybay sa seguridad ng impormasyon at pag-detect ng pag-atake. pampubliko at pribadong ulap.

Isa sa mga pangunahing tampok ng Cisco Stealthwatch Cloud ay ang kakayahang mag-modelo ng mga entity. Gamit ito, maaari kang lumikha ng modelo ng software (iyon ay, isang halos real-time na simulation) ng bawat isa sa iyong mga mapagkukunan ng ulap (hindi mahalaga kung ito ay AWS, Azure, GCP, o iba pa). Maaaring kabilang dito ang mga server at user, pati na rin ang mga uri ng mapagkukunan na partikular sa iyong cloud environment, gaya ng mga pangkat ng seguridad at mga auto-scale na grupo. Gumagamit ang mga modelong ito ng mga structured na stream ng data na ibinigay ng mga serbisyo sa cloud bilang input. Halimbawa, para sa AWS ang mga ito ay VPC Flow Logs, AWS CloudTrail, AWS CloudWatch, AWS Config, AWS Inspector, AWS Lambda, at AWS IAM. Awtomatikong natutuklasan ng pagmomodelo ng entity ang tungkulin at gawi ng alinman sa iyong mga mapagkukunan (maaari mong pag-usapan ang tungkol sa pag-profile sa lahat ng aktibidad sa cloud). Kasama sa mga tungkuling ito ang Android o Apple mobile device, Citrix PVS server, RDP server, mail gateway, VoIP client, terminal server, domain controller, atbp. Pagkatapos ay patuloy nitong sinusubaybayan ang kanilang pag-uugali upang matukoy kung kailan nangyayari ang peligroso o nagbabanta sa kaligtasan. Maaari mong matukoy ang paghula ng password, pag-atake ng DDoS, pag-leak ng data, ilegal na malayuang pag-access, aktibidad ng malisyosong code, pag-scan ng kahinaan at iba pang mga banta. Halimbawa, ito ang hitsura ng pag-detect ng isang malayuang pag-access na pagtatangka mula sa isang bansang hindi tipikal para sa iyong organisasyon (South Korea) sa isang Kubernetes cluster sa pamamagitan ng SSH:

At ito ang hitsura ng di-umano'y pagtagas ng impormasyon mula sa database ng Postgress sa isang bansa kung saan hindi pa kami nakakaranas ng pakikipag-ugnayan dati:

Sa wakas, ito ang hitsura ng napakaraming nabigong pagtatangka sa SSH mula sa China at Indonesia mula sa isang panlabas na remote device:

O, ipagpalagay na ang server instance sa VPC ay, ayon sa patakaran, ay hindi kailanman magiging isang remote na destinasyon sa pag-log in. Ipagpalagay pa natin na ang computer na ito ay nakaranas ng malayuang pag-logon dahil sa isang maling pagbabago sa patakaran sa mga panuntunan ng firewall. Ang tampok na Entity Modeling ay magde-detect at mag-uulat ng aktibidad na ito (“Hindi Karaniwang Remote Access”) nang malapit sa real-time at ituturo ang partikular na tawag sa AWS CloudTrail, Azure Monitor, o GCP Stackdriver Logging API (kabilang ang username, petsa at oras, bukod sa iba pang mga detalye. ). na nag-udyok sa pagbabago sa panuntunan ng ITU. At pagkatapos ang impormasyong ito ay maaaring ipadala sa SIEM para sa pagsusuri.

Ang mga katulad na kakayahan ay ipinatupad para sa anumang cloud environment na sinusuportahan ng Cisco Stealthwatch Cloud:

Ang pagmomodelo ng entity ay isang natatanging paraan ng automation ng seguridad na maaaring tumuklas ng dati nang hindi kilalang problema sa iyong mga tao, proseso, o teknolohiya. Halimbawa, pinapayagan ka nitong makita, bukod sa iba pang mga bagay, ang mga problema sa seguridad gaya ng:

• May nakatuklas ba ng backdoor sa software na ginagamit namin?
• Mayroon bang anumang third party na software o device sa aming cloud?
• Inaabuso ba ng awtorisadong user ang mga pribilehiyo?
• Nagkaroon ba ng error sa configuration na nagbigay-daan sa malayuang pag-access o iba pang hindi sinasadyang paggamit ng mga mapagkukunan?
• Mayroon bang data leak mula sa aming mga server?
• May sumusubok bang kumonekta sa amin mula sa isang hindi tipikal na heyograpikong lokasyon?
• Ang aming cloud ba ay nahawaan ng malisyosong code?

Ang isang natukoy na kaganapan sa seguridad ng impormasyon ay maaaring ipadala sa anyo ng isang kaukulang tiket sa Slack, Cisco Spark, ang PagerDuty incident management system, at ipadala din sa iba't ibang SIEM, kabilang ang Splunk o ELK. Upang buod, maaari naming sabihin na kung ang iyong kumpanya ay gumagamit ng isang multi-cloud na diskarte at hindi limitado sa alinman sa isang cloud provider, ang mga kakayahan sa pagsubaybay sa seguridad ng impormasyon na inilarawan sa itaas, kung gayon ang paggamit ng Cisco Stealthwatch Cloud ay isang magandang opsyon upang makakuha ng pinag-isang hanay ng pagsubaybay mga kakayahan para sa mga nangungunang manlalaro ng ulap - Amazon, Microsoft at Google. Ang pinaka-kagiliw-giliw na bagay ay kung ihahambing mo ang mga presyo para sa Stealthwatch Cloud sa mga advanced na lisensya para sa pagsubaybay sa seguridad ng impormasyon sa AWS, Azure o GCP, maaaring lumabas na ang solusyon ng Cisco ay magiging mas mura kaysa sa mga built-in na kakayahan ng Amazon, Microsoft. at mga solusyon sa Google. Ito ay kabalintunaan, ngunit ito ay totoo. At ang mas maraming ulap at ang kanilang mga kakayahan na iyong ginagamit, mas malinaw ang kalamangan ng isang pinagsama-samang solusyon.

Bilang karagdagan, maaaring subaybayan ng Stealthwatch Cloud ang mga pribadong ulap na naka-deploy sa iyong organisasyon, halimbawa, batay sa mga container ng Kubernetes o sa pamamagitan ng pagsubaybay sa mga daloy ng Netflow o trapiko sa network na natanggap sa pamamagitan ng pag-mirror sa mga kagamitan sa network (kahit na domestic na ginawa), data ng AD o mga DNS server at iba pa. Ang lahat ng data na ito ay pagyamanin ng impormasyon sa Threat Intelligence na kinolekta ng Cisco Talos, ang pinakamalaking non-governmental na grupo ng mga mananaliksik ng banta sa cybersecurity sa mundo.

Nagbibigay-daan ito sa iyong magpatupad ng pinag-isang sistema ng pagsubaybay para sa parehong pampubliko at hybrid na ulap na maaaring gamitin ng iyong kumpanya. Ang nakolektang impormasyon ay maaaring masuri gamit ang mga built-in na kakayahan ng Stealthwatch Cloud o ipadala sa iyong SIEM (Splunk, ELK, SumoLogic at marami pang iba ay sinusuportahan bilang default).

Sa pamamagitan nito, kukumpletuhin namin ang unang bahagi ng artikulo, kung saan sinuri ko ang built-in at panlabas na mga tool para sa pagsubaybay sa seguridad ng impormasyon ng mga platform ng IaaS/PaaS, na nagbibigay-daan sa aming mabilis na makakita at tumugon sa mga insidenteng nagaganap sa mga cloud environment na napili ang aming negosyo. Sa ikalawang bahagi, ipagpapatuloy namin ang paksa at titingnan ang mga opsyon para sa pagsubaybay sa mga platform ng SaaS gamit ang halimbawa ng Salesforce at Dropbox, at susubukan din naming ibuod at pagsama-samahin ang lahat sa pamamagitan ng paglikha ng pinag-isang sistema ng pagsubaybay sa seguridad ng impormasyon para sa iba't ibang mga provider ng cloud.

Pinagmulan: www.habr.com