Создание первого уровня защиты с помощью служб безопасности Azure

Azure
Microsoft Entra ID

Идеи решения

В этой статье описывается идея решения. Ваш архитектор облака может использовать это руководство, чтобы визуализировать основные компоненты для типичной реализации этой архитектуры. Используйте эту статью в качестве отправной точки для разработки хорошо спроектированного решения, которое соответствует конкретным требованиям рабочей нагрузки.

Эта статья является второй в серии из четырех, которая объясняет, как разработать многоуровневую архитектуру безопасности с помощью Microsoft решений безопасности.

В первой статье описывается сопоставление угроз программ-шантажистов в гибридной корпоративной среде с помощью платформы MITRE ATT&CK. В этой статье показано, как злоумышленники обычно получают первоначальный доступ, повышают привилегии, осуществляют боковое перемещение и в конечном итоге затрагивают удостоверения, инфраструктуру, приложения и данные.

Эта вторая статья непосредственно опирается на эту основу и сосредоточена на первом рубеже защиты: превентивной безопасности.

Архитектура

Схема принципов Microsoft

Загрузите файл Visio этой архитектуры.

Этот образ включает понятия и терминологию из платформы MITRE ATT&CK®, разработанной корпорацией MITRE. ATT&CK® является зарегистрированным товарным знаком корпорации MITRE.

Уровень безопасности Azure, показанный на этой схеме, соответствует Azure тесту безопасности (ASB) версии 3, который определяет Microsoft рекомендуемые элементы управления безопасностью для удостоверений, сетей, вычислений, данных и управления.

В настоящее время эти элементы управления в основном реализуются и отслеживаются с помощью:

  • Политика Azure.
  • Microsoft Defender для облака.
  • Встроенные параметры безопасности платформы по умолчанию.

Схема не включает каждую доступную службу. Вместо этого в него входят широко применяемые высокоэффективные меры защиты, которые напрямую снижают риск реализации сценариев атак с использованием программ-вымогателей.

Рабочий процесс

Следующий рабочий процесс соответствует предыдущей схеме:

  1. Службы безопасности Azure способствуют предотвращению нарушений безопасности по каждому из следующих принципов "Никому не доверяй": сеть, инфраструктура и конечные точки, приложения и данные, а также удостоверения.
  2. Сетевые службы в этой архитектуре включают группы безопасности сети (NSG), шлюз виртуальной частной сети (VPN), Брандмауэр Azure, Шлюз приложений Azure с Брандмауэр веб-приложений Azure, сетевое виртуальное устройство (NVA), Azure DDoS Network Protection, протоколы TLS/SSL, обеспечивающие шифрование, Приватный канал Azure и частные конечные точки.
  3. Службы инфраструктуры и конечных точек в архитектуре включают Бастион Azure, Microsoft Defender службу защиты от вредоносных программ, шифрование дисков, Azure Key Vault, Виртуальный рабочий стол Azure RDP Shortpath и обратное подключение виртуального рабочего стола.
  4. Службы приложений и данных на схеме включают Azure Front Door с брандмауэром веб-приложений, Azure API Management, тестирование на проникновение, подписи общего доступа служба хранилища Azure (SAS), частные конечные точки доступа, брандмауэр служба хранилища Azure, шифрование служба хранилища Azure, аудит SQL, оценку уязвимостей SQL и шифрование служб База данных SQL Azure.
  5. Службы идентификации в архитектуре включают управление доступом на основе ролей Azure (Azure RBAC), многофакторную аутентификацию Microsoft Entra, Защита Microsoft Entra ID, Microsoft Entra управление привилегированными пользователями (PIM) и Условный доступ Microsoft Entra.

Числа в матрице ATT&CK соответствуют номерам методов, назначенным MITRE.

Компоненты

  • Microsoft Entra ID — это служба управления удостоверениями и доступом. В этой архитектуре он управляет удостоверениями пользователей и доступом к внешним ресурсам, таким как Microsoft 365 и Azure portal, и внутренними ресурсами, такими как приложения в интрасети компании.

  • виртуальная сеть — это сетевая служба, которая обеспечивает безопасный обмен данными между ресурсами Azure, Интернетом и локальными сетями. В этой архитектуре она предоставляет инфраструктуру частной сети, которая поддерживает безопасное подключение и изоляцию для рабочих нагрузок.

  • Azure Load Balancer — это служба балансировки нагрузки уровня 4 с низкой задержкой для трафика UDP и TCP. Распределитель нагрузки — это зонально-избыточный сервис, который может обрабатывать миллионы параллельных потоков. В этой архитектуре обеспечивается высокий уровень доступности и масштабируемости путем распределения входящего и исходящего трафика между ресурсами в virtual network.

  • Виртуальные машины Azure — это инфраструктура как услуга (IaaS), которая предоставляет масштабируемые вычислительные ресурсы. В этой архитектуре виртуальные машины размещают рабочие нагрузки, требующие прямого управления конфигурацией операционной системы и безопасности.

  • Azure Kubernetes Service (AKS) — это служба оркестрации управляемых контейнеров, которая упрощает развертывание кластеров Kubernetes и управление ими. В этой архитектуре AKS запускает контейнерные приложения и предоставляет встроенные функции для обеспечения безопасности, управления и непрерывной интеграции и непрерывной доставки (CI/CD).

  • Виртуальный рабочий стол — это служба виртуализации рабочих столов и приложений, которую можно использовать для создания удаленных рабочих столов из облака. В этой архитектуре он обеспечивает безопасный доступ к корпоративным рабочим столам для удаленных пользователей. В архитектуре используются встроенные функции, такие как RDP Shortpath и обратное подключение.

  • Функция веб-приложений службы Служба приложений Azure размещает веб-приложения, REST API и серверные части мобильных приложений. В этой архитектуре веб-приложения размещаются http-приложения и предоставляются такие функции безопасности, как TLS и private endpoints. Вы можете разрабатывать приложения на выбранном языке. Приложения выполняются и масштабируются в средах под управлением Windows и Linux.

  • служба хранилища Azure — это масштабируемое и безопасное решение storage для различных типов данных, включая большие двоичные объекты, файлы, очереди и таблицы. В этой архитектуре предусмотрено хранение данных приложений и системных данных с шифрованием хранимых данных и поддерживается безопасный доступ через маркеры SAS и частные конечные точки доступа.

  • база данных SQL — это управляемая реляционная база данных, которая автоматизирует исправление, резервное копирование и мониторинг. В этой архитектуре она обеспечивает безопасное и совместимое хранилище данных с помощью таких функций, как прозрачное шифрование данных, аудит и оценки уязвимостей.

  • Microsoft Fabric — это единая платформа аналитики SaaS, которая объединяет проектирование данных, хранение данных, аналитику в режиме реального времени и бизнес-аналитику. В этой архитектуре можно использовать Fabric для аналитических рабочих нагрузок, которым требуются управляемые рабочие пространства, шифрование данных в OneLake при хранении, ролевое управление доступом на уровне элементов и централизованное журналирование действий, при этом операционные данные остаются в таких службах, как SQL Database.

  • Группа безопасности сети (NSG) — это бесплатная служба, подключенная к сетевому интерфейсу или подсети. Сетевая группа безопасности позволяет фильтровать трафик протоколов TCP или UDP, используя диапазоны IP-адресов и порты для входящих и исходящих подключений.

  • Azure VPN Gateway — это шлюз виртуальной частной сети (VPN), который предоставляет туннель с защитой IPSEC (IKE версии 1/v2).

  • Брандмауэр Azure — это платформа как услуга (PaaS), которая обеспечивает защиту на уровне 4 и подключена ко всей виртуальной сети.

  • Application Gateway — это подсистема балансировки нагрузки для веб-трафика, работающего на уровне 7, и добавляет Брандмауэр веб-приложений Azure для защиты приложений, использующих ПРОТОКОЛ HTTP и HTTPS.

  • Виртуальный сетевой модуль (NVA) — это виртуальная служба безопасности из Marketplace, которая развертывается на виртуальных машинах в Azure.

  • Azure защита от атак DDoS реализует защиту от атак DDoS в виртуальной сети, чтобы устранить различные типы атак DDoS.

  • Приватный канал позволяет создать частную сеть для службы Azure, которая изначально доступна через Интернет.

  • Бастион Azure предоставляет функции сервера перехода. Эту службу можно использовать для доступа к виртуальным машинам через протокол удаленного рабочего стола (RDP) или SSH без предоставления доступа к Интернету.

  • антивирусная программа Microsoft Defender в Windows предоставляет службы защиты от вредоносных программ. Это часть Windows 10, Windows 11, Windows Server 2016 и Windows Server 2019.

  • Шифрование на узле — это дополнительная функция для управляемых дисков Azure, которая обеспечивает сквозное шифрование данных виртуальных машин, включая временные диски и кэши дисков, для поддерживаемых размеров виртуальных машин. Управляемые диски Azure по умолчанию шифруются при хранении с использованием шифрования на стороне сервера (SSE).

  • Key Vault — это служба для хранения ключей, секретов и сертификатов с FIPS 140-2 уровня 2 или 3.

  • Azure Front Door — это сеть доставки содержимого (CDN). Он объединяет несколько точек присутствия, чтобы обеспечить лучшее подключение для пользователей, которые обращаются к службе. Он также добавляет Брандмауэр веб-приложений Azure.

  • Управление API — это служба, которая обеспечивает безопасность вызовов API и управляет API в разных средах.

  • Azure RBAC помогает управлять доступом к службам Azure с помощью подробных разрешений, основанных на учетных данных Microsoft Entra пользователей.

  • Многофакторная проверка подлинности Microsoft Entra поддерживает другие способы проверки подлинности помимо имен пользователей и паролей.

  • управление привилегированными пользователями (PIM) помогает временно предоставлять привилегированные права для Microsoft Entra ID (например, роль администратора пользователей) и подписок Azure (например, роль администратора управления доступом на основе ролей или администратора Key Vault).

  • Условный доступ — это интеллектуальная служба безопасности, которая использует политики, которые определяются для различных условий для блокировки или предоставления доступа пользователей.

Сведения о сценарии

Упреждающие меры защиты предназначены для уменьшения поверхности атаки, устранения распространенных ошибок конфигурации и блокировки злоумышленников до начала вторжения. Эти элементы управления тесно соответствуют принципам Microsoft "Никому не доверяй". "Никому не доверяй" основан на принципе, согласно которому ни одному ресурсу не доверяют по умолчанию, а доступ непрерывно проверяется.

Цель этой статьи — показать, как можно объединить базовые службы безопасности Azure, чтобы перекрыть распространённые точки проникновения программ-вымогателей, определённые на схеме угроз в первой статье этой серии, Сопоставление угроз с вашей ИТ-средой.

Как отмечалось в этой статье, атаки программ-шантажистов редко начинаются с сложных эксплойтов. В большинстве реальных инцидентов злоумышленники преуспевают из-за:

  • Открытые службы.
  • Слабые средства контроля идентификации.
  • Чрезмерные привилегии.
  • Неструктурированные сети.
  • Незашифрованные пути к данным.

Элементы управления, описанные в этой статье, не являются расширенными средствами обнаружения или реагирования. Напротив, они формируют базовый уровень защищённости, который значительно затрудняет проведение кампаний с использованием программ-вымогателей.

Если эти меры контроля отсутствуют или неправильно настроены, злоумышленникам часто удаётся добиться успеха ещё до того, как средства обнаружения успевают отправить оповещение.

Тестирование безопасности Azure

Каждый элемент управления безопасностью в Azure Security Benchmark ссылается на одну или несколько конкретных Azure служб безопасности. В справочнике по архитектуре в этой статье показаны некоторые из них. К элементам управления относятся:

  • Безопасность сети.
  • Управление идентичностью.
  • Привилегированный доступ.
  • Защита данных.
  • Управление ресурсами.
  • Ведение журнала и обнаружение угроз.
  • Реагирование на инциденты.
  • Управление состоянием и уязвимостью.
  • Безопасность конечных точек.
  • Резервное копирование и восстановление.
  • Безопасность DevOps.
  • Управление и стратегия.

Дополнительные сведения об элементах управления безопасностью см. в разделе Overview элементов управления безопасностью Azure (версия 3).

Потенциальные варианты использования

В этой статье службы безопасности Azure организованы по типам ресурсов, чтобы вы могли напрямую сопоставить их с методами, используемыми программами-вымогателями и выявленными ранее, например:

  • Первоначальный доступ через открытые службы.
  • Кража учётных данных и атаки методом перебора.
  • Боковое перемещение между сетями.
  • Несанкционированный доступ к хранилищам данных.

Схема архитектуры в начале этой статьи показывает, как эти службы защищают цифровые удостоверения, сети, вычислительные ресурсы, приложения и данные до того, как злоумышленник закрепляется в системе.

Соавторы

Ведение этой статьи осуществляет Microsoft. Следующие авторы написали эту статью.

Главный автор:

  • Rudnei Oliveira | Старший инженер по безопасности Azure

Другие участники:

Чтобы увидеть непубличные профили в LinkedIn, войдите в LinkedIn.

Следующие шаги

Эта статья посвящена предотвращению атак ещё до их начала путём применения базовых средств безопасности Azure.

В следующей статье серии предполагается, что некоторые атаки по-прежнему будут успешными и сосредоточены на:

  • Расширенное обнаружение угроз.
  • Аналитика поведения.
  • Реагирование на инциденты и расследование.

Дополнительные сведения об этой эталонной архитектуре см. в других статьях этой серии: