Как да използвате Azure Security Center за наблюдение на виртуални машини

Microsoft Azure е облачна платформа, разработена от Microsoft, чрез която ще бъде възможен достъп до създаването и администрирането на стотици ресурси като виртуални машини или приложения както от Microsoft, така и от някои от Ubuntu; позволявайки тези видове ресурси да бъдат не само достъпни, но и тяхната среда е безопасна и достъпна по всяко време и отвсякъде с подкрепата на Microsoft.

Освен ресурсите, които можем да създаваме и управляваме, Microsoft Azure ни предоставя серия от инструменти и помощни програми за улесняване на работата в споменатата среда и един от тях е Центърът за сигурност на Azure, благодарение на който сме в контролен център за наблюдение и наблюдава всяка аномалия, която системата може да представи, и по този начин да действа прецизно, като избягва всякакъв вид атака, която може да възникне.

Поради тази причина днес Solvetic ще обясни какво представлява Azure Security Center и как можем да го внедрим в Azure.

Какво представлява Azure Security Center?Azure Security Center е разработен и интегриран в Azure като унифицирана опция за управление на сигурността, която осигурява разширена защита срещу заплахи, насочена към натоварванията в облака.

Някои от предимствата, които имаме при внедряването на тази функция на Azure

• Възможност за прилагане на директиви, за да се гарантира спазването на стандартите за сигурност.

• Наблюдавайте сигурността както на локалните, така и на облачните работни натоварвания.

• Възможност за намиране и отстраняване на уязвимости, преди да е станало твърде късно.

• Възможност за използване на усъвършенствани инструменти за анализ и информация за заплахи за откриване на атаки в мрежата.

• Възможност за използване на достъпа и контролите на приложения за блокиране на ненадеждна дейност в системата.

Когато решим да разположим Azure Security Center, ще бъде възможно да имаме достъп до унифициран и централизиран изглед на сигурността на различни работни натоварвания в помещения и в облака. Също така ще бъде възможно автоматично откриване и включване на нови ресурси на Azure и прилагане на политики за сигурност.

Използването на този интегриран инструмент на Azure улеснява задачата за наблюдение на сигурността както на машините, мрежите, така и на услугите на Azure, благодарение на интегрираните в него оценки на сигурността, които показват необходимите данни за пълно изпълнение на необходимата информация.

Центърът за защита на Azure се предлага в два типа достъп, които са:

БезплатноС тази версия имаме достъп до:

• Политика за безопасност, оценка и препоръки.

• Решения за свързани партньори.

СтандартенТова ни дава достъп до:

• Политика за безопасност, оценка и препоръки.

• Решения за свързани партньори.

• Търсене и събиране на събития за сигурност.

• Достъп до CM Just-in-Time.

• Адаптивни контроли за приложения.

• Разширено откриване на заплахи.

• Интегрирани и персонализирани сигнали.

• Информация за заплахата.

Сега, ако изберем стандартната версия, цените на използване на ресурс ще бъдат:

Виртуални машини0,017 € / сървър / час, Включени данни - 500 MB / ден

Услуги за приложения0,017 € / екземпляр на услугата за приложения / час

SQL DB0,018 € / сървър / час

MySQL (Визуализация)0,009 € / сървър / час

PostgreSQL (Визуализация)0,009 € / сървър / час

Съхранение (Визуализация)€ 0 /10 000 транзакции

В обобщение, Azure Security Center ни позволява да идентифицираме различни проблеми, свързани с конфигурирането на виртуални машини и да откриваме заплахи за сигурността, пренасочени към тях. Тази дискусионна група включва виртуални машини, които нямат мрежови групи за сигурност, некриптирани твърди дискове и RDP атаки с груба сила.

1. Как да получите достъп до Центъра за сигурност на Azure

Етап 1
За да имаме достъп до Центъра за сигурност на Azure, първо трябва да отидем на следната връзка и там да се регистрираме със съответните идентификационни данни:

След като отидем там, отиваме в страничното меню и кликваме върху секцията Център за сигурност:

Увеличете

Стъпка 2
Като щракнете там, ще се покаже следният прозорец. Както виждаме, по подразбиране Центърът за сигурност е деактивиран. Там намираме кратко резюме на техните действия и за да го активираме, кликваме върху бутона „Старт“.

Увеличете

Стъпка 3
След това ще бъдем пренасочени към следващия прозорец. На този етап трябва да инсталираме агенти на Центъра за сигурност, които ни позволяват да получаваме сигнали за сигурност за промени и заплахи във виртуалните машини, щракнете върху бутона „Инсталиране на агенти“, за да продължите с процеса.

Увеличете

Стъпка 4
След като това стане, ще видим следната среда директно в раздела „Обща информация“:

Там откриваме подробности като:

• Брой изпълнени директиви и съответното им съответствие.

• Състояние на активните ресурси в Azure.

• Ниво на оценка, присвоено от Azure за проблеми със сигурността.

Увеличете

Стъпка 5
Едно от предимствата на тази помощна програма е, че Центърът за сигурност не се ограничава само до откриването на данни с цел генериране на препоръки, но ако някой ресурс, като виртуални машини е един от най -използваните, не е с някой от параметрите за сигурност, като като подмрежи или групи за сигурност, Центърът за сигурност автоматично се грижи за създаването на препоръка със съответните стъпки за тяхното коригиране. Виждаме това в раздела „Препоръки“:

В този раздел откриваме тези аспекти

• Подробно наблюдение на ресурсите.

• Описание на генерираната препоръка.

• Въздействие на препоръката.

• Вид засегнат ресурс.

Увеличете

2. Как да конфигурирате събирането на данни в Центъра за защита на Azure

За да получите достъп до конфигурациите за защита във виртуалните машини, трябва да конфигурирате събирането на данни на помощната програма Център за сигурност, за това трябва да активирате събирането на данни, което автоматично инсталира Microsoft Monitoring Agent във всички виртуални машини, създадени в използвания абонамент.

Етап 1
За да активираме това събиране на данни, ще отидем в панела „Център за сигурност“ и там трябва да кликнем върху раздела „Политика за сигурност“ и ще видим следното. Там ще се показват активни абонаменти, сега трябва да изберем абонамента, който да редактираме.

Увеличете

Стъпка 2
В следващия прозорец ще кликнете върху бутона „Присвояване на политика за сигурност“:

Увеличете

Стъпка 3
Ще се покаже следният прозорец, където трябва да зададем параметрите, които сметнем за необходими. След като това приключи, кликваме върху бутона „Запазване, за да приложим промените“.

Увеличете

Стъпка 4
Сега в главния прозорец трябва да кликнете върху реда „Редактиране на конфигурацията“ и ще видим следното. Там кликваме върху бутона „Активиран“.

Увеличете

Стъпка 5
Следващата серия от опции ще се покаже, когато конфигурираме следното:

• В полето „В настройките на работното пространство по подразбиране“ активираме полето „Използване на работни пространства“, създадено от „Център за сигурност“ (стойност по подразбиране)

• В полето "Събития за сигурност" активираме опцията по подразбиране "Общи".

Запазваме промените, като кликваме върху бутона „Запазване“.

Увеличете

3. Как да конфигурирате политика за сигурност в Azure

Политиките за сигурност са разработени за определяне на елементите, с които Центърът за сигурност може да събира данни и въз основа на това генерира препоръки. Различни политики за защита могат да бъдат приложени към множество набори от ресурси на Azure и по подразбиране ресурсите на Azure се оценяват спрямо всички елементи на политиката.

За да конфигурираме тези правила, трябва да отидем в раздела „Политики за сигурност“ и там да активираме или деактивираме елементите на политиката, към които искате да приложите абонамента.

4. Как да видите състоянието на конфигурацията на виртуална машина с Azure Security Center

Когато приключим процеса на активиране на събирането на данни и бъде определена политика за сигурност, помощната програма Център за сигурност ще започне процеса на генериране на сигнали и препоръки. По този начин, когато виртуалните машини са разгърнати, агентът за събиране на данни се инсталира автоматично и след това този център за сигурност ще бъде попълнен с данните на новите виртуални машини.

Когато данните се събират, те ще бъдат добавени към състоянието на ресурсите на всяка виртуална машина и свързаните с тях ресурси на Azure и те ще бъдат представени в полезна графика за административни задачи.

Различните препоръки, налични в Azure, са:

Активирайте събирането на данни за абонаментаТова ви позволява да активирате събирането на данни в политиката за сигурност за всеки абонамент и за всички виртуални машини в абонамента.

Активирайте криптиране за вашия акаунт за хранилище в AzureТази препоръка ни инструктира да активираме криптирането на услугата Azure Storage за данни в покой. Шифроването на услугата за съхранение (SSE) работи чрез криптиране на данни, както са записани в хранилището на Azure и декриптиране преди възстановяване. SSE е наличен само за услугата Azure Blob и може да се използва за блокове, страници и прикачени файлове.

Правилни настройки за сигурностТази препоръка ви позволява да управлявате ISO конфигурациите с препоръчителните правила за конфигуриране.

Прилагане на системни актуализацииТой препоръчва внедряването на критични актуализации и актуализации на системата за сигурност на виртуални машини.

Точно навреме приложение за контрол на достъпа до мрежатаТази препоръка показва, че трябва да се приложи достъп до виртуална машина Just-In-Time. Функцията Just-In-Time все още е в предварителен преглед и е налична в стандартното ниво на Центъра за сигурност.

Рестартирайте след актуализиране на систематаПоказва, че виртуална машина трябва да бъде рестартирана, за да завърши процеса на прилагане на системни актуализации.

Инсталирайте Endpoint ProtectionПрепоръчва се да се предоставят антивирусни програми за виртуални машини (важи само за виртуални машини на Windows).

Активирайте агента за виртуална машинаТази препоръка показва, че VM Agent трябва да бъде разгърнат. Агентът на виртуалната машина трябва да бъде инсталиран на виртуални машини, за да осигури откриване на кръпки, откриване на базова линия и програми за защита от злонамерен софтуер.

Прилагане на криптиране на дискаТова съобщение показва, че дисковете на виртуалната машина трябва да бъдат криптирани с помощта на Azure Disk Encryption (Linux и Windows виртуални машини), като за сигурност се препоръчва да се шифроват както обемите данни, така и тези на операционната система във виртуалната машина.

Актуализирайте версията на операционната системаПрепоръчва актуализиране на версията на операционната система за облачната услуга до най -новата версия, налична за семейството на използваната операционна система.

Оценката на уязвимостта не е инсталиранаЧрез тази препоръка се изисква да се инсталира решение за оценка на уязвимостта във виртуалната машина.

Поправки на уязвимостиТази препоръка ви позволява да видите уязвимостите както на системата, така и на приложенията, където е открито решението за оценка на уязвимостта, инсталирано във виртуалната машина.

Използване на най -новата поддържана версия на Java за уеб приложенияПрепоръчително е да използвате най -новата версия на Java за най -новите класове на защита.

Етап 1
За да видим този тип информация в Azure, трябва да отидем в панела на Центъра за сигурност и там да отидем в раздела „Процес“ и приложения, в следващия прозорец отиваме в раздела „VM и компютри“, където ще видим следното. Там ще видим обобщение на състоянието на конфигурацията на всички създадени виртуални машини.

Увеличете

Стъпка 2
Можем да кликнете върху някой от тях, за да получите достъп до по -пълна информация:

Увеличете

Стъпка 3
Въз основа на типа препоръка можем да видим различна среда. Чрез този панел можем да пристъпим към изпълнение на препоръките на Azure.

Увеличете

Стъпка 4
Щраквайки върху някоя от тях, в този случай ще видим следното:

Увеличете

Стъпка 5
В други видове препоръки ще видим следното:

Увеличете

Стъпка 6
Избирайки засегнатата виртуална машина, ще имаме възможност да коригираме тази грешка и по този начин да гарантираме по -добър резултат на ниво сигурност:

Увеличете

5. Как да прегледате откритите заплахи с Azure Security Center

Центърът за сигурност може да показва предупреждения за откриване на заплахи, с които като администратори можем да имаме допълнителен ресурс за управление. Тази функция за предупреждение за защита е отговорна за обобщаването на данни, събрани от всяка виртуална машина, мрежовите регистрационни файлове на Azure и свързаните партньорски решения за откриване на заплахи за сигурността на ресурсите на Azure.

Тази функция използва три основни параметъра, които са:

Интегрирано разузнаване за заплахиКоето търси злонамерени елементи, които използват информация за глобални заплахи от продукти и услуги на Microsoft, звеното за цифрова престъпност (DCU) на Microsoft, Център за реакция на сигурността на Microsoft (MSRC) и други външни източници.

Анализ на поведениетоС които се прилагат известни модели за откриване на злонамерено поведение.

Откриване на аномалииКоето използва генерирането на статистически профили за създаване на историческа референтна база.

Някои от заплахите, които Azure може да открие, са

• Изпълнение на подозрителни процеси.

• Странично превъртане и вътрешно разпознаване.

• Скрит зловреден софтуер и опити за експлоатация.

• Скрит зловреден софтуер и опити за експлоатация.

• Изходни атаки.

За да активираме тази функция, трябва да отидем в Центъра за сигурност и там да отидем в секцията „Политика за сигурност“, след това отиваме в „Конфигурация“ и там избираме „План за тарифи“, където ще видим следното. Избираме плана „Стандарт“ и кликваме върху „Запазване“, за да приложим промените.

Увеличете

Когато тарифният план е променен, графиката за сигнали за сигурност ще започне процеса на попълване на предупреждения при откриване на заплахи за сигурността.

Увеличете

По този начин Azure Security Center е цялостно и цялостно решение за всички задачи за управление и контрол на сигурността в ресурсите на Azure, улесняващо административните действия на всеки тип организация.