9 najboljih bezbednosnih praksi u radu sa IaaS

9 najboljih bezbednosnih praksi u radu sa IaaS

Piše: Stefan Gajić, Cloud and Infrastructure Lead at P3 i Microsoft Certified Trainer u Semos Education-u

jit

U ovom blogu ćemo vam predstaviti najbolje bezbednosne prakse za zaštitu vašeg IaaS-a. Za one koji nisu upoznati sa ovim metodama, nadamo da će vas ovaj tekst navesti da počnete da razmišljate i da učite o sigurnosti u Azure-u. Za sve vas koji već koristite barem neke od ovih sigurnosnih funkcionalnosti, ovaj tekst može služiti kao podsetnik, ili kao motivacija da posvetite više pažnje sigurnosti u radu sa IaaS.

Zapamtite, sigurnost u Azure-u je zajednička odgovornost i mi smo odgovorni za zaštitu naše infrastrukture. Nemojte dozvoliti da incidenti budu inicijatori uvođenja sigurnosnih procedura, već budite proaktivni i uvek imajte na umu da ste baš vi odgovorni za sigurnost radnog opterećenja u Azure-u.

Primeri dobre prakse već postoje u zvaničnoj Microsoft dokumentaciji, međutim, bio sam slobodan da to začinim svojim iskustvom.

Evo tema koje ćemo obrađivati:

1. Planiranje i deployment virtuelnih mašina

2. Zaštita virtuelne mašine kontrolom pristupa (IAM)

3. Endpoint zaštita za virtuelne mašine

4. Dostupnost virtuelnih mašina

5. Update virtuelnih mašina – security patching

6. Enkriptovanje hard diskova

7. Mrežna sigurnost za virtuelne mašine

8. Just in time pristup virtuelnim mašinama

9. Monitoring vaše infrastrukture

1.      Planiranje i deployment virtuelnih mašina

Kada je u pitanju planiranje, postoji mnogo stvari koje se jednostavno podrazumevaju. Iz mog praktičnog iskustva, većina ovih stvari koje se "podrazumevaju" su upravo najrizičnija mesta, gde problem i nastaje. Ovo je glavni razlog zašto uvek započinjem projekat pravilnim planiranjem. Baš kao što je moj bivši menadžer voleo da kaže: „Raditi nešto bez planiranja isto je što i ne raditi“.

Dakle, analizirajte i razgovarajte s ljudima. Bilo da radite u IT ops ili DevOps timu koji je odgovoran za dodeljivanje pristupa IaaS drugima, bilo da ste vi osoba koja podnosi zahtev - uvek predložite sastanke posvećene planiranju. Pitate se zašto?

Ljudi uglavnom traže resurse u cloud-u koji im nisu nužno potrebni i u većini slučajeva neće mnogo pažnje posvetiti bezbednosti. Bezbednost je zajednička odgovornost između cloud provajdera (u ovom slučaju Microsoft-a) i vas kao klijenta:

vm


Ako je vaše okruženje već na ovom nivou – svaka čast. Međutim, IT odeljenja obično nemaju puno vremena da konfigurišu sve što je potrebno, zato budite pripremljeni sa dokumentima „najbolje prakse“. Tokom planiranja koristite Azure Calculator i podesite upozorenja o budžetu za vašu infrastrukturu, kako biste bili sigurni da izbegavate finansijske rizike.Kada sve razjasnite i dogovorite sa klijentima, kolegama, i sa svima sa kojima radite, dokumentujte to. Ne budite lenji i ne ostavljajte to za kasnije, već odmah pošaljite ovaj mini-plan projekta svom timu. Kao najbolju praksu u ovom slučaju, napravite sopstvenu dokumentaciju sa postupcima koje želite da primenite u budućnosti i uključite i razne nacrte i pravila.

2. Zaštita virtuelne mašine kontrolom pristupa (IAM)

Osnovna stvar koju morate da utvrdite tokom sastanaka planiranja je šta je zaista potrebno za tim ili osobu koja će koristiti IaaS. Uvek koristite pristup sa najmanje privilegija - tako ćete svima dati upravo ono što im je potrebno.

Ako nekome slučajno treba više, vi ćete biti osoba koja to odobrava i kontroliše; a ako se niko ne žali – sigurni ste da je vaš plan dobar i bezbedan. Postoji nekoliko različitih uloga koje možete da koristite kada dodeljujete pristup korisnicima. Na ovom Microsoft linku možete da proverite koja vam najviše odgovara.

3.      Endpoint zaštita za virtuelne mašine

Jednom kada postavite infrastrukturu ili virtuelnu mašinu, vreme je da razmislite o endpoint zaštiti. Isto kao i sa vašim ličnim računarom, želite da budete bezbedni, zar ne? Ako je odgovor tako očigledan, kako se onda dešava da neki ljudi zaboravljaju da postave endpoint na VM?

 Trebalo bi da instalirate antimalware zaštitu kako biste lakše identifikovali i uklonili viruse, spyware i druge zlonamerne softvere. Možete instalirati Microsoft Antimalware ili endpoint rešenje za zaštitu nekog od Microsoft-ovih partnera (Trend Micro, Broadcom, McAfee, Windows Defender, i System Center Endpoint Protection). Microsoft troši 1.000.000.000 dolara godišnje na sigurnost. Zašto ovo ne biste iskoristili? To je kao da vam je neko ponudio “free money”, koji može sačuvati vašu infrastrukturu.

vm

4.      Dostupnost VM

Kada je u pitanju dostupnost, zagarantovani brojevi za SLA (service level agreement) su zaista dobri, ali može se dogoditi da vaš VM “padne” ako postoji neki problem ili nedostatak održavanja. Sigurni smo da ovo želite da sprečite na najbolji mogući način.

Dve prakse će vam pomoći:

  • Setovi raspoloživosti
  • Zona dostupnosti

Ako još uvek niste upoznati sa ovim sjajnim funkcionalnostima, toplo vam savetujem da ih pronađete u Microsoft dokumentima i počnete da ih koristite za najvažnije resurse u vašem okruženju.

vm

5.      VM Updates – security patching

Azure virtuelne mašine, kao i sve on-premise virtuelne mašine, bi trebalo da budu održavane od strane korisnika. Azure ne vrši automatska ažuriranja virtuelnih mašina, već je update VM-a vaša dužnost. Vodite računa da su sve vaše virtuelne mašine uvek aktuelno ažurirane. U nastavku delimo sa vama nekoliko praksi u ovoj oblasti:

  • Omogućite automatsko podešavanje Windows Update.
  • Prilikom implementacije, osigurajte da ste uključili najnovije update-ove za Windows. Povremeno uradite re-deploy svojih virtuelnih mašina, kako  biste osigurali novu verziju OS-a.
  • Definišite svoj VM pomoću Azure Resource Manager template, kako biste kasnije mogli da lakše uradite re-deploy. Korišćenjem ovog template-a dobijate patch-ovan i siguran VM u svakom trenutku.
  • Brzo primenite bezbednosne ispravke na VM-ove. Koristitie Azure Security Center (Free tier or Standard tier) kako biste prepoznali koji bezbednosni update nedostaje i potom ga instalirali.
  • Instalirajte i testirajte backup. Sa njim treba postupati na isti način kao i sa bilo kojom drugom operacijom. To se odnosi na sve sisteme koji su deo vašeg produkcionog okruženja koje se oslanja na cloud.

6. Enkriptovanje hard diskova

Toplo vam preporučujem da šifrujete svoje virtuelne hard diskove (VHD), kako biste zaštitili boot i data volumene u stanju mirovanja, zajedno sa enkripcionim ključevima i tajnama. Azure Disk Encryption koristi standardnu BitLocker Windows funkciju i DM-Crypt Linux funkciju za obezbeđivanje encryption volumena za OS i diskove sa podacima.

Koristite ključ za šifrovanje ključeva (KEK) za dodatni sloj sigurnosti za ključeve za šifrovanje. Dodajte KEK u vaš trezor. Napravite snapshot i/ili backup pre nego što se diskovi šifruju. Backup-ovi pružaju mogućnost oporavka ako se tokom šifriranja dogodi neočekivani kvar. Kako bi bili sigurni da tajne šifriranja ne prelaze regionalne granice, Azure Disk Encryption zahteva da se key vault i VM-ovi nalaze u istoj regiji.

7. Mrežna sigurnost za VM

Identifikujte i preusmerite izložene VM-ove koji omogućavaju pristup sa bilo koje IP adrese. Konfigurišite NSG – Network Security Group.

Podrazumevana podešavanja su takva da je svaki VM otvorio RDP i SSH portove sa bilo koje lokacije. Ovo je, uz javnu IP adresu dodeljenu VM-u, pravi poziv dobrodošlice hakerima. Svaka javna IP adresa je skenirana i napadači će možda (ili bih čak rekao sigurno) da je napadnu ako je samo ostavite tako. Uronite u detalje i napravite svoj NSG tako da samo korisnici sa određenih IP adresa mogu da pristupe vašem VM-u.

Uzmimo veoma poverljiv server na kome se čuvaju podaci korisnika. Kako biste ga zaštitili? Razmislite o korišćenju jump servera. To su virtuelne mašine, bez domena, sa kojih možete samo da pristupite drugim VM-ovima u vašem okruženju.

vm

8. Just in time VM pristup

Ograničite portove za upravljanje (RDP, SSH). Detaljno: Just-in-time (JIT) VM access može se koristiti za zaključavanje ulaznog saobraćaja na vaše Azure VM-ove, smanjujući izloženost napadima. Istovremeno, omogućava lak pristup za povezivanje sa VM-om kada god vam je to potrebno. Kada je JIT omogućen, Security center zaključava ulazni saobraćaj na vaše Azure virtuelne mašine, kreirajući NSG pravilo. Vi birate portove na VM-u u koji će se zaključati za ulazni saobraćaj, a ovim portovima upravlja JIT rešenje. Pročitajte malo više o potencijalnim scenarijima napada koji vam se mogu dogoditi i tada ćete vrlo brzo implementirati JIT 😊.

jit

9. Monitoring vaše infrastrukture

Azure Security Center je jedinstveni sistem upravljanja sigurnošću infrastrukture koji osnažuje bezbednost vaših data centara i pruža naprednu zaštitu kroz celokupno hibridno radno okruženje u Cloud-u - bilo da je u pitanju Azure ili ne - kao i on-premise.

Preporučuje se upotreba programa Azure Monitor, kako biste imali bolji pregled u zdravlje svih vaših resursa.

Funkcionalnosti Azure Monitor-a:

Resource diagnostic log files: Nadgleda vaše VM resurse i identifikuje potencijalne probleme koji mogu ugroziti performanse i dostupnost.   

Azure Diagnostics extension: pruža mogućnost nadzora i dijagnostike na Windows VM-ovima. Ovo možete omogućiti uključivanjem ekstenzije Azure Resource Manager template.

Organizacije koje ne prate performanse VM-a ne mogu utvrditi da li su određene promene u obrascima performansi normalne ili abnormalne. VM koji troši više resursa nego što je normalno, može ukazivati na napad spoljnog resursa ili na kompromitovan proces koji se pokreće u VM-u.

jit

Zanimaju te osnove na Azure-u?

Pogledaj online predavanje "Uvod u Microsoft Azure" koje je Stefan održao u okviru projekta #DigitalnaSolidarnost.

Predavanje je koncipirano kao zanimljiv i praktičan uvod u Azure, idealno za sve one koji žele da "zavire" u zvanične Microsoft obuke.

Microsoft Azure obuke

Želiš da naučiš više o Azure Cloud tehnologijama?

Više o zvaničnim Microsoft obukama možeš pronaći ovde.