Zagotavljanje varnosti podatkov ni lahka naloga. Z vsakdanjimi kršitvami podatkov je varnost platforme nekaj, kar nobenemu vodji službe za informatiko - CIO ali službe za podatkovno varnost - CISO ne pusti spati. Primer Uberja in incidenti, kot so odprti Amazon S3 bucketi s podatki (kar se lahko zgodi tudi v drugem oblaku), so le primeri novega področja, ki ga je treba pokriti – naši razvijalci in ekipe za uvajanje/namestitve. Ali nam oblak povzroča le še en glavobol?
Varnost je po novem zapletena naloga. Zajema več področij – varnostne politike in postopke, ohranjanje varnosti poverilnic naših strank, ohranjanje varnosti našega okolja. Sprejetje DevOps in stalnih orodij za integracijo/uvajanje je prineslo nove izzive. Presenetljivo je, da tam, kjer je oblak pogosto obravnavan kot problem, lahko hkrati postane tudi rešitev. Ali vsaj del rešitve. Osnove so še vedno najpomembnejše, vendar obstajajo orodja in prakse, ki jih lahko uporabite za izboljšanje informacijske varnosti v vaši organizaciji. Na tem mestu želimo biti jasni – nekatere stvari pomenijo dodatne stroške! Kjerkoli boste v tem članku videli opozorilo P2, to pomeni, da govorimo o premium ali plačljivih različicah storitev. Tako je v oblaku – obstajajo vstopne in premium storitve. Imajo svojo ceno, vendar se običajno splača. Kar začnimo!
Ohranite varnost računa
To temo smo že večkrat obravnavali na blogu, zato bodimo kratki – pomembno je. Večina napadov in kršitev podatkov se začne z ogroženimi računi. Hranite jih na varnem! Izobrazite svoje uporabnike. Pri storitvah Azure gre za Azure Active Directory, ki je vaša platforma za identifikacijo:
- Prepričajte se, da uporabniki razumejo resnost groženj. Izobrazite jih.
- Sprejmite razumne pravilnike o geslih in bodite na tekočem z najnovejšimi priporočili. Spreminjanje gesel vsak mesec danes ni več v modi.
- Uporabite multifaktorsko avtentikacijo. Ni nujno, da je za uporabnike moteče in trenutno deluje z večino orodij in storitev. Časi gesel za aplikacije so preteklost.
Praktičen nasvet – MFA je za vaše skrbnike Azure AD brezplačna!
Povečajte varnost računa
To so osnove zaščite vašega računa. Kot del platforme so na voljo orodja, ki varnost dvignejo na naslednjo raven:
Pogojni dostop
Olajšajte življenje svojim uporabnikom in hkrati izboljšajte varnost svojih aplikacij in dostopa – pogojni dostop v Azure AD je tu! Nadzorujte dostop in zaščito glede na lokacijo, čas in stanje naprave. Vas skrbi vsebina vašega ali ekipnega repozitorija kod? Ni problema, uporabite pogojni dostop in dovolite dostop le upravljanim napravam. In s posodobitvami deluje tudi na Mac OS!
Zaščita identitete (opozorilo P2)
Želite zagotoviti boljšo zaščito z boljšo uporabniško izkušnjo? Zaščita identitete (Identity Protection) uporablja Microsoft security intelligence za vaš račun in ga po potrebi izvaja. Sprožite lahko dodatne zaščitne ukrepe na podlagi praga tveganja za določen račun in ob upoštevanju pravilnikov, ki ste jih konfigurirali.
Nadzor dostopa
Takoj po zaščiti računa pride na vrsto nadzor dostopa. Ne moremo dovolj poudariti, kako pomembno je to. Upravljanje dostopa je vaša ovira, ki jo je treba prestopiti, ko se nekdo znajde v vašem omrežju. Pustite ga odprtega – in vaši podatki bodo odprti za vse, ki lahko dostopajo do vaših rešitev. Ni opravičila za to, da imajo posamezniki dostop do vseh vaših virov. Ni potrebe, da ima nekdo vsak dan dostop do vseh vaših storitev na skrbniški ravni. Azure AD vam omogoča nadzor nad računi. Kaj pa nadzor dostopa? Platforma Azure vam ponuja model RBCA, ki ga lahko uporabite za natančen nadzor dostopa do svojih naročnin, skupin virov in virov znotraj teh skupin. Obstaja precej dober nabor vgrajenih vlog, če pa potrebujete vloge po meri – jih lahko sami ustvarite. In ne pozabite – v vašem tenantu ni Microsoftovih računov (ali LiveID). Če potrebujete zunanje goste – uporabite Azure AD B2B.
Če bi radi še več – upravljanje dostopa na naslednji ravni (opozorilo P2)
Najpogostejši razlog za kakršnekoli kršitve varnosti so prekomerni privilegiji, ki jih imajo običajni ali celo skrbniški računi na dnevni ravni. Če ne opravljate skrbniškega dela, zakaj bi imeli skrbniške pravice? Zakaj!? Za to ni nikakršnega razloga! Obstaja veliko rešitev za Privilege Account Management (PAM) za podjetja. Verjemite nam – privilegiji v oblaku na varnostnem radarju pogosto manjkajo. Azure AD zagotavlja storitev Privileged Identity Management (PIM), ki vam omogoča, da skrbniške vloge dodelite na zahtevo in samo za določen čas To ustvari skrbniški račun Just-in Time (JIT, zapomnite si to kratico, znova jo bomo uporabili). Isti mehanizem je v predogledu za vloge Azure RBAC. Ni potrebe, da se nekomu trajno odobri dostop do virov v Azure naročnini. Lahko so zgolj upravičeni do te vloge, vi pa uporabite PIM, da jo aktivirate le, ko je to potrebno. Platforma sama bo dostop preklicala po času, ki ga določite. Prav tako pa obstajajo dnevniki in revizije za vse dejavnosti! Bonus z vidika skladnosti.
Varnostno središče Azure
Vas skrbi VMSkonfiguracija? Ali je posodobljen in konfiguriran glede na vaše zahteve? Na pomoč vam priskoči varnostno središče Azure. Ta pomembna, a pogosto spregledana storitev, bo vašo varnost popeljala na naslednjo raven. Gre za večnamensko in široko uporabno orodje, ko gre za spremljanje varnosti vaših virov. Preverjanje statusa VMS za posodobitve je enostavno. Središče za varnost zmore še več. Spremlja vaše vire glede napačne konfiguracije, samodejno uporablja popravke, zazna napade na vaše VM-je (Virtual Machines) in druge storitve v oblaku. Ali menite, da v oblaku niste izpostavljeni napadom? Naredite preizkus – vzpostavite izoliran VM z odprtim RDP (Remote Desktop Access) na standardnem priključku na internet in spremljajte varnostno središče za ta stroj. Presenečeni boste. Morda ne veste – deluje tudi za on-premise gostitelje. Samo v plačani različici storitve, vendar je na voljo.
Pravočasen dostop do virtualnih strojev
Se spomnite, kaj smo malo prej pisali malo o JIT (Just-In Time) dostopu do skrbniških vlog, ki jih sistem samodejno prekliče? Kaj če bi lahko enako načelo JIT uporabili za dostop do omrežnih vrat? Središče varnosti v standardni (plačljivi) različici omogoča Just-In Time dostop do vrat. Vrata niso ves čas odprta. Ko vaš uporabnik potrebuje RDP dostop, greste skozi postopek zahtev in na ta način se odprejo. Po določenem času jih bo Azure zaprl. Ni vam treba izvajati nobenih ročnih dejanj ali posegov. V smislu licenciranja središča varnosti nekaj stane, vendar v zelo zavarovanem okolju ali okolju upravljanih storitev resnično prav pride in izboljša celotno varnost platforme.
Aplikacije potrebujejo poverilnice... in pravice! (Opozorilo P2)
Kateri je eden od pogostih razlogov za ogroženo varnost omrežja? Računi za storitve in aplikacije. Če aplikacija ali skript potrebuje dostop do vaše Azure AD organizacije ali Azure virov, potrebuje tudi entiteto varnosti in poverilnice! Ne pozabite! Z njimi bi morali ravnati kot z vsemi drugimi privilegiranimi računi. Tipičen scenarij je, da ima aplikacija svoj ID (enakovreden uporabniškemu imenu) in uporabniško tajno geslo (enakovredno geslu). Mnogi uporabniki Azure, zlasti razvijalci, jih ne obravnavajo kot enakovredne poverilnicam in jih shranijo v sisteme za nadzor različic, kot sta GitHub ali VSTS. Uganite, kaj se je zgodilo v primeru uhajanja podatkov v podjetju Uber? Da, ključi za upravljanje AWS so bili v repozitoriju izvorne kode. Čakali so, da jih nekdo vzame. Če imate aplikacijo ali skript, ki zahteva dostop do vaše platforme Azure, je namesto uporabe uporabniškega tajnega gesla veliko varneje uporabiti certifikat za preverjanje pristnosti. Da, to lahko storite. In poleg tega – tu je še en novinec. Upravljane storitvene identitete (Managed Service Identities) za Azure AD so način za avtomatizacijo upravljanja poverilnic za Azure AD. Ni podprto v vseh scenarijih. Vendar pa je v primerih, ko ga lahko uporabite, zagotovo koristna možnost!
Poverilnice po celotni kodi – uporabite KeyVault!
Poverilnice in gesla, shranjeni v kodi aplikacije, so nočna mora. Z varnostnega vidika so resnično nočna mora. Ljudje shranjujejo kodo na številnih mestih. Seveda bi morala biti v repozitoriju vaše organizacije zaščitena z vsemi vašimi podatki o identiteti. Ampak pogosto ni. Z vidika DevOpsev gre za nočno moro. Kako vse to uporabiti na učinkovit in uspešen način? Kje lahko dobite vse poverilnice in certifikate? Kako jih lahko pridobite? Spet – na pomoč prihaja oblak. Azure KeyVault je storitev, ki vam omogoča shranjevanje občutljivih materialov, kot so poverilnice in certifikati, v namenski storitvi. Je enostaven za uporabo in zelo ugoden! Seveda ni brezplačen, vendar v primerjavi s tveganjem, da so zaupni podatki shranjeni v kodi in s tem izpostavljeni, ter stroški upravljanja tega v vašem procesu DevOps – sploh ni treba razmišljati!
- Uporabite ga lahko v spletni aplikaciji.
- Druga možnost je, da z njim zaščitite svoj BitLocker ključ za vaše VM-je.
- Poleg tega lahko upravljate tudi svoje SSL certifikate, vključno z IIS, ki se izvajajo v virtualni mašini.
- In še več – samo preverite dokumentacijo storitve.
Azure KeyVault je eden od tistih skritih draguljev oblačnih platform, ko gre za izboljšanje varnosti aplikacij.
Šifriranje, povsod samo šifriranje!
Za mnoge stranke je zaupnost podatkov nuja. Azure ponuja številne možnosti za šifriranje in zaščito podatkov. Dobro je poznati te možnosti in jih uporabiti. Ta članek vam ponuja vse na enem mestu, da lahko začnete raziskovati in uporabljati šifriranje na platformi Azure. Pred začetkom uporabe storitev, ga preberite!
Povzetek
Obstaja še veliko drugih elementov varnosti platforme Azure, ki jih morate poznati!
- Azure Monitor je orodje, s katerim lahko ugotovite, kdaj se nekaj dogaja na vaši platformi, ter zberete in usmerjate vse informacije o reviziji iz vaših virov.
- Pravilnik Azure je še vedno v fazi predogleda, vendar vam omogoča, da upravljate svoje vire v oblaku, in če se pravilno izvaja, je lahko pomemben vidik vaše splošne varnosti platforme Azure!
Vsaka storitev na platformi ima svoje varnostne vidike – šifriranje, nadzor dostopa, model groženj ter mehanizme za preprečevanje in ublažitev groženj. K tej temi se bomo zagotovo vrnili s praktičnimi primeri uporabe iz naših projektov. Ostanite z nami! In če se želite podrobneje pogovoriti o kakršnihkoli rešitvah – stopite v stik z nami!
Avtor
