Microsoft Azure 的功能相當龐大,各家公司紛紛擴大其使用範圍,以擴展業務。由於能夠快速啟用雲端服務的極大便利性,公司常常發現自己迅速面臨安全挑戰。然而,當公司太遲才發現這些挑戰時,可能會造成災難性的影響。
Microsoft Azure 是受到最多攻擊的頂尖雲端服提供商之一,由於其成功,攻擊事件日益頻繁。但不僅僅是由 Microsoft 負責防止這些攻擊。微軟將安全責任與客戶共同分享,因此每家公司都需要履行其承諾,確保他們在維護環境安全方面盡到所需的責任。
在使用 Microsoft Azure 的前三年內,有 75% 的客戶會遇到以下五個安全陷阱。讓我們深入了解:
公開面向的 IP 地址
當用戶參與 Azure 優化服務時,我們通常會在展示他們環境中存在的公開面向的 IP 地址數量時看到他們的驚訝。通常 IT 團隊對此毫無所知。這可能是因為開發人員是他們 Azure 環境的最初架構師之一。他們在建立時更像是開發人員的方式,而不是網絡安全架構師的方式。
這為什麼很重要?通過將您的資源暴露於互聯網,您不知不覺地允許任何人訪問存儲在這些資源上的數據。在過去幾年中,就因為這個確切的問題,數億條記錄已經遭到洩露。
幸運的是,有一個簡單的解決方案。請審查您的公開面向的 IP 地址,並確定它們是否絕對需要保留。然後,相應地重新進行架構設計。
存取控制挑戰
在談到安全性時,我喜歡用一個主要的過度簡化來跟客戶解釋:攻擊者不是闖進來,而是登錄進來的。這意味著保護對環境的存取是關鍵。不是建立一道巨大的城牆和充滿鱷魚的護城河,而是要控制門上有多少把鑰匙,並確保使用該鑰匙的人就是你給了鑰匙的那個人。
這為什麼很重要?存取控制問題可能對公司來說是非常大的問題,以下是一些導致安全事件的問題示例。
🟩缺乏多重驗證(MFA) > 管理員帳戶受到侵害 > 授予攻擊者訪問權限
🟩特權訪問授予使用者帳戶(非管理員帳戶) > 使用者帳戶受到侵害 > 授予攻擊者訪問權限
🟩使用者獲得執行任務所需的提升權限 > 提升權限從未被撤銷 > 使用者不知情地使帳戶受到侵害
🟩第三方供應商需要權限來完成任務 > 未啟用 MFA,因為該帳戶需要多名團隊成員使用 > 第三方供應商帳戶受到侵害 > 授予攻擊者訪問權限
再次強調,Microsoft 提供了工具來防止這些問題導致災難。教育您的團隊關於 Azure 角色基礎存取控制(RBAC)和 Azure 屬性基礎存取控制(ABAC),並為您的組織建立適當的權限管理流程。一旦這個流程建立起來,定期進行審查以確保您的存取控制政策得以執行。
安全性並不是雲端使用者唯一的陷阱。不良的成本管理常常導致在雲端上超支和低估成本。立即深入了解更多關於雲端成本管理的資訊吧!
不使用 Azure 原生的安全服務 - 監控和記錄
每個小團隊都有比不斷檢查實例是否可用以及是否發生安全事件更有價值的任務。最有效地利用時間的方法是設置您的 Azure 環境,使其在真正出現問題時立即通知您,更好的是,一旦檢測到問題,立即自動化解決該問題的流程。
我們如何實現這一點呢?通過充分利用 Azure Monitor 和 Microsoft Sentinel。
Azure Monitor 在整個 Azure 環境中提供了可見性,您可以自動獲取來自大多數資源的平台指標、活動日誌和診斷日誌,而無需進行任何配置。您可以根據每個實例的敏感性更新設定,因此您只會得到您想要的通知,並減少與高頻警報相關的干擾。
Microsoft Sentinel 是一個安全資訊事件管理(SIEM)和安全協調自動響應(SOAR)解決方案。這個強大的解決方案為您提供了一個統一的解決方案,用於攻擊檢測、威脅可見性、主動搜尋和威脅響應。我們已經看到有如此多的組織未充分利用其功能。當正確部署時,這是對抗 Azure 中的威脅的最強大工具之一。每個組織都應該評估如何利用其功能來進行更好的保護。
最後一個 Azure 原生服務值得有專門的一節,因此我們將在第四點進行介紹。
不使用 Defender for Cloud
儘管微軟的營銷團隊在為他們的安全解決方案命名時採取了類似喬治·佛爾曼(George Foreman)給他的孩子取名的方法,但這些解決方案本身實際上非常全面。Defender for Cloud 是一個原生於雲端的保護平台,具有一系列安全實踐和措施,旨在保護雲端應用免受各種威脅和漏洞的影響。在底層,Defender for Cloud 由許多特定的服務組成(例如 Defender for Storage、Defender for Servers、Defender for Key Vault 等),所有這些服務都旨在保護其特定工作負載的安全,以其命名為名。
我們始終關注以簡單的架構為目標,而不會妥協於最佳安全實踐。Microsoft Defender for Cloud 服務允許您為在 Azure 中運行的特定服務獲得最佳保護,並具有本地集成以便於管理。
登錄到您的 Azure Portal,搜索並選擇 Microsoft Defender for Cloud,然後前往環境設置,查看您當前是否已經啟用了任何 Defender for Cloud 服務。
在沒有不可變保險庫(Immutable vault)的情況下進行備份
在系統管理的基礎課程中,我們知道對於所有有價值的資源,我們需要對它們進行備份。這有多種用途,但在生產實例受到感染時,我們需要一個健康的備份來進行還原。
然而,在發生安全漏洞的情況下,攻擊者首先瞄準的是備份。這確保當他們加密/竊取資訊時,組織無法依賴備份作為恢復機制。如果攻擊者能夠訪問備份,我們需要一種方式來確保他們無法消除我們的恢復能力。
我們如何實現這一點?使用 Azure 備份的不可變保險庫。
通過充分利用不可變備份,我們通過阻止可能導致恢復點丟失的任何操作來保護我們的備份數據。此外,我們可以鎖定不可變保險庫的設置,使其變得不可逆轉,以防止任何惡意行為者(無論是外部的還是內部的)禁用不可變性並刪除備份。
這是非常重要的。在與客戶談論備份時,我們提出的一個主要觀點是:您的備份僅僅和您的還原一樣好。如果您有有效的備份,但無法將其還原,那麼它們有什麼用呢?使用不可變備份確保它們無法被篡改,因此,即使在所有其他保護措施都失效,並且惡意行為者可以訪問您的備份的情況下,您仍然可以進行恢復。
PEI 擁有 Azure 基礎架構的認證,並且在 Azure 的網絡服務方面具有專業特長。了解與一個榮獲多項 Microsoft 雲端合作夥伴殊榮的合作夥伴合作的意義吧!
履行你的責任!
正如我之前所說的,保護你的 Azure 環境不僅僅取決於 Microsoft。我們已經走過了 Azure 客戶經常遇到的五個最常見的安全陷阱,每個陷阱都有一個易於訪問的解決方案。現在輪到你採取下一步措施來保護你的 Azure 環境了。
如果你對 Azure 有疑問,或者你想獲得一些幫助,使你的環境配置遵循安全最佳實踐,請聯絡我們!我們很樂意為你安排一次與我們的 Azure 架構師對話的機會。
Comments are closed, but trackbacks and pingbacks are open.