Безопасность Azure может быть выстроена различными способами в зависимости от используемых ролей и служб. Ознакомьтесь с приведенными ниже правилами, чтобы избежать распространенных рисков и повысить уровень безопасности в Вашей среде Azure.

Полезные советы по управлению доступом

Конфигурация и управление доступом к облачным ресурсам должны быть важной частью Вашей политики безопасности.  Для этого Microsoft предлагает 3 интерфейса управления облачными ресурсами: Azure Portal, PowerShell, и Azure CLI. Так как получение доступа к ним является целью для многих киберпреступников, защита этих интерфейсов должна быть ключевым моментом в обеспечении безопасности Вашей инфраструктуры Azure. 

Вот, чего стоит избегать в первую очередь для предотвращения возникновения проблем безопасности:

• Слабой защиты учетной записи.  Согласно отчету Verizon Data Breach, 63% атак связаны с компрометацией учетных записей, когда нарушитель использует слабый или украденный пароль.
• Избыточных прав для пользователей и приложений.  В большинстве случаев угрозы безопасности не являются злонамеренными, а возникают из-за беспечности сотрудников.
• Использования настроек Azure Portal по умолчанию. 

Чтобы избежать этих распространенных ошибок, необходимо понимать важность надежности пароля и безопасной аутентификации.  Ниже приведены рекомендации по настройке политики доступа и защиты облачных ресурсов. 

• Обеспечьте защиту учетной записи пользователя. 

- Подключите мультифакторную аутентификацию (MFA) для всех учетных записей.  Azure бесплатно предоставляет (MFA) для пользователей с ролью Глобального администратора. 

-Будьте осторожны, используя функцию App Password.  Некоторые приложения, например Office 2010 и более ранние версии не поддерживают MFA и используют App Password для правильной работы, что повышает риск взлома учетной записи. 

-Уделите внимание сложности пароля и его своевременной смене.  Рекомендуемая длина пароля - 10 символов, включая цифры и буквы. 

- Ограничьте количество попыток ввода неверного пароля. 

- Используйте инструменты условного доступа  (Conditional Access) и защиту идентификации (Identity Protection) для быстрого обнаружения и предотвращения вредоносной деятельности в Вашей учетной записи. 

• Сократите избыточные права.
• Ограничьте количество привилегированных учетных записей.  Например, Microsoft рекомендует сократить число пользователей с ролью глобального администратора до 3-х. 

-Внедрите и активно используйте службу Privileged Identity Management (PIM). PIM — это превосходный инструмент, помогающий проводить аудит избыточных прав и предоставлять доступ к ресурсам только, когда это необходимо. 

• Защитите Ваш портал и приложения. 

-Проверяйте права, предоставленные приложениям, которые используют API Microsoft Graph.

-Для непривилегированных пользователей отключите регистрацию приложений. 

-Подключите функцию, ограничивающую доступ к порталу Azure для непривилегированных пользователей. 

-Определите субъект-службу для приложений, использующих собственные службы (например, хранилище Azure).

Советы по безопасному развертыванию службы

Сложные атаки с обходом брандмауэра или расшифровкой криптозащиты редко встречаются в реальной жизни.  В большинстве случаев злоумышленники ищут легкую добычу и используют уязвимые места, неосторожно оставленные после развертывания. 

Вот список главных ошибок, которые допускают разработчики или администраторы при развертывании служб Azure. 

• Открытые административные порты. Открытый SSH-порт может быть подвергнут более, чем миллиону попыток получения пароля менее, чем за 8 дней.
• Неосторожно оставленные пароли в файлах конфигурации Azure Resource Manager (ARM) или шаблонах развертывания. 
• Неправильно настроенный модификаторы доступа к хранилищу Azure. Согласно отчету Verizon Data Breach, 21 из 347 угроз связана с неправильной конфигурацией доступа, что приводит к утечке данных. 
• Ненастроенные политики доступа к сети. 
• Отсутствие антивирусного ПО. Программа для взлома может быть использована не только для атаки, но также для контроля над уже взломанным сервером.  Большинство ПО для взлома - это программы удаленного управления 
• Отключены обновления операционной системы. 

Советы, которые помогут Вам избежать вышеописанных ошибок: 

• Используйте Azure Key Vault для хранения паролей и сертификатов. Это поможет Вам защитить Вашу инфраструктуру, если файлы конфигурации или шаблоны были случайно скопированы в публичный репозиторий.
• Используйте доступ к виртуальным машинам Just-in-Time (JIT). JIT доступ позволяет держать административные порты закрытыми и открывать их по запросу администратора на условиях, определенных заранее. 
• Настройте Network Security Group (NSG), брандмауэр ресурса, брандмауэр приложения. Распределите виртуальные машины по различным NSG согласно ролям и для каждой NSG откройте только те порты, которые нужны.  
• Установите плагин Defender для каждой виртуальной машины, запускающей Microsoft Windows. Вы можете сделать это вручную через портал или скопом через Azure Policy. 
• Настройте политику обновления операционной системы. Настройте обновление с портала Azure. 
• Для защиты базы данных рекомендуется использовать расширенную защиту от угроз и функции шифрования баз данных.  Расширенная защита от угроз помогает предотвратить внедрение SQL-кода и предупреждает о подозрительной активности или потенциальных уязвимостях базы данных.  Функция шифрования служит для предотвращения чтения данных, когда к ним получен неавторизованный доступ к Вашей базе данных. 

В статье перечислены общие меры для защиты среды Azure, которые помогут избежать серьезных ошибок.  Однако, область кибербезопасности постоянно развивается и необходимо постоянно отслеживать изменения.  

No Comments