Antes de contratar um serviço de IaaS é importante conhecer os prós e contras dos vários provedores disponíveis no mercado. Com isso em mente, este artigo vai esclarecer tudo sobre os serviços Iaas do Microsoft Azure.
São seis critérios principais a avaliar. Mas, antes, é preciso compreendê-los. Confira, então, a seguir suas definições básicas:
Segurança de perímetro
Embora o conceito de perímetro tenha diminuído na nuvem e em sua arquitetura de recursos compartilhados, ainda há uma necessidade de definir os limites externos de dados, aplicativos e serviços em nuvem. Controles de perímetro em uma nuvem visam avaliar o tempo de atividade e disponibilidade de recursos de ataques, como negação de serviço e envenenamento de DNS de serviços em nuvem. Contudo, o perímetro também inclui alguns aspectos de um WAF para aplicativos em nuvem, bem como o controle de acesso remoto a recursos de nuvem, como solicitações de porta.
Os principais provedores de nuvem oferecem uma gama completa de controles para mitigar ameaças externas e sustentar o tempo de atividade durante uma negação de serviço direcionada. A bem da verdade, o Google pode ter uma ligeira vantagem nesta categoria devido aos seus recursos de aprendizado de máquina e funcionalidade out-of-the-box. Entretanto, o serviço AWS WAF oferece as opções mais personalizáveis.
Segurança de rede
Um desafio em relação à segurança de rede na computação em nuvem é a falta de visibilidade da organização para monitorar o tráfego de rede e responder a atividades suspeitas. A computação em uma nuvem pública renuncia ao controle de rede e dados do usuário ou empresa para o CSP em modelo de responsabilidade compartilhada. Portanto, a segurança dos dados é responsabilidade do cliente.
Por esse motivo, é imperativo que o provedor de nuvem ofereça recursos e / ou suporte às ferramentas de terceiros para garantir à rede principal princípios básicos de segurança. Isso inclui o isolamento entre várias zonas por meio de camadas de firewalls, controles de tráfego de e para aplicativos, criptografia de nível de transporte ponta a ponta e protocolos de padrão seguro de encapsulamento, como IPSEC, SSH e Secure Sockets Layer (SSL), usado ao implantar um VPC.
Contudo, além de todos esses recursos, o provedor IaaS deve oferecer suporte a algum método de monitoramento de rede para detecção e resposta a ameaças, o que significa fornecer uma fonte de dados de tráfego de rede para inspeção de segurança.
Virtualização / Host
Os clientes IaaS são os principais responsáveis por proteger os hosts provisionados na nuvem, como virtualização e segurança de software ou segurança de servidor virtual. Em paralelo, o provedor de IaaS é responsável pelo camada de hardware e configuração de hipervisor de suporte subjacente. Ou seja, o cliente assume a responsabilidade e gerenciamento do sistema operacional convidado, incluindo atualizações e patches de segurança.
Além disso, as cargas de trabalho do cliente são isoladas e cada conta do cliente está vinculada aos recursos que ele consome. A maioria das cargas de trabalho corporativas é executada em sistemas operacionais Windows e Linux. Contudo, o Windows tem recursos de autopatching, enquanto o sistema operacional Linux requer script ou ferramentas de terceiros.
Gerenciamento de identidade e acesso
A identidade é talvez o componente mais crítico pelo qual o cliente é responsável na questão de segurança da nuvem. Afinal, a identidade mantém a integridade e confidencialidade dos dados e aplicativos, ao mesmo tempo que torna o acesso prontamente disponível para usuários autorizados. Portanto, oferecer suporte para esses recursos de gerenciamento de identidade, para usuários e componentes de infraestrutura, é um requisito importante para a computação em nuvem. Então, a identidade deve ser gerenciada de forma a construir confiança.
Felizmente, todos os CSPs fornecem identidade granular e controle de acesso que oferecem suporte à maioria, senão a todas, as opções de autenticação.
Gerenciamento de postura de segurança
É muito difícil controlar se os dados do cliente estão armazenados adequadamente. Isso acontece devido a mudanças emergentes e perpétuas na nuvem. Afinal, conforme a infraestrutura em nuvem cresce e muda dinamicamente, a necessidade de rastrear e proteger contra as configurações incorretas devem ocorrer em conjunto.
Portanto, o gerenciamento de postura de segurança na nuvem deve permitir o monitoramento de mudanças de configuração com algum nível de automação de aplicação de política. Isso inclui consultas que são executadas periodicamente, junto com recursos habilitados para alertas automáticos a fim de permitir a correção manual ou automatizada de configurações incorretas à medida que ocorrem.
Segurança de dados
No datacenter tradicional, controles de acesso físico, acesso a hardware e software e controles de identidade se combinam para proteger os dados. Entretanto, na nuvem, essa barreira protetora que protege a infraestrutura é difusa. Portanto, os dados precisam de sua própria segurança.
Então, esses controles devem incluir criptografia, isolamento de dados, classificação, direitos gerenciamento e forte acesso baseado em funções para armazenamentos de dados. Todos os principais provedores de nuvem têm um conjunto completo de controles para garantir a criptografia de dados em uso, em trânsito e em repouso. A diferença está entre controles nativos e custos adicionais de ferramentas de terceiros.
IaaS Microsoft Azure
Segurança de perímetro do Microsoft Azure
O Microsoft Azure WAF no Azure Application Gateway fornece proteção centralizada de aplicativos da web de exploits e vulnerabilidades comuns. Afinal, os aplicativos da web são cada vez mais alvo de ataques maliciosos que exploram vulnerabilidades comumente conhecidas. Inclusive, a injeção de SQL e o script entre sites estão entre os ataques mais comuns.
Então o WAF on Application Gateway é baseado no conjunto de regras principais do Open Web Application Security Project (OWASP). Ou seja, o WAF é atualizado automaticamente para incluir proteção contra novas vulnerabilidades, sem precisar de configuração. O serviço tem preços combinados com base no tipo de gateway de aplicativo e na quantidade de dados processados.
Segurança de rede na IaaS Azure
As zonas de disponibilidade do Microsoft Azure consistem em locais físicos exclusivos dentro de uma região do Azure. Cada zona é composta por um ou mais datacenters equipados com alimentação independente, refrigeração e rede. No entanto, para garantir resiliência, há um mínimo de três zonas separadas em todas as regiões habilitadas.
Então, em cada datacenter, os clientes criam o Azure VNets, que são os blocos de construção fundamentais das redes privadas do cliente IaaS Azure. Os VNets permitem muitos tipos de recursos da plataforma, como VMs, para se comunicarem com segurança uns com os outros, com a Internet e redes locais.
VNets são como redes tradicionais que os clientes operariam em seus próprios datacenters, contudo, trazem com eles benefícios adicionais da infraestrutura do Azure, como escala, disponibilidade e isolamento.
Filtro de tráfego
Portanto, para filtrar o tráfego de rede de e para recursos do Azure em uma VNet do Azure, os clientes usam um NSG do Azure. Um NSG, por sua vez, contém regras de segurança que permitem ou negam o tráfego de rede de entrada para, ou o tráfego de rede de saída de, vários tipos de recursos disponíveis na IaaS Azure.
Então, um registro de fluxo é criado para conexões existentes. Assim, a comunicação é permitida ou negada com base no estado de conexão do registro de fluxo. Contudo, o registro de fluxo também permite que um NSG tenha estado. Portanto, o cliente só precisa especificar uma regra de segurança de entrada se a comunicação for iniciada externamente. Se o tráfego de entrada for permitido em uma porta, não é necessário especificar uma regra de segurança de saída para responder ao tráfego na porta.
Virtualização/host da IaaS Azure
Os grupos de gerenciamento, assinaturas e VNets da IaaS Microsoft Azure fornecem isolamento do cliente. O Azure Stack Hub, por exemplo, é uma extensão do Azure que fornece uma maneira de executar aplicativos em um ambiente local e fornecer serviços em um datacenter.
Contudo, a IaaS Azure também tem uma infraestrutura bare metal desenvolvida especificamente para dimensionar as cargas de trabalho. Inclusive, as VMs do Azure são um dos vários tipos de recursos de computação escalonáveis sob demanda que o Azure oferece.
Normalmente, os clientes escolhem uma VM quando precisam de mais controle sobre o ambiente de computação do que o outro. Vale lembrar que os parceiros do Azure fornecem imagens do Linux no Azure Marketplace.
Gerenciamento de identidade de acesso na IaaS Azure
Azure AD é o serviço IAM baseado em nuvem da Microsoft. Ele ajuda os funcionários a entrar e acessar recursos internos, como aplicativos na rede corporativa e intranet, junto com quaisquer aplicativos em nuvem desenvolvidos por sua organização. No entanto, também pode ser usado para recursos externos. E o caso do Microsoft Office 365, o portal do Azure e milhares de outros aplicativos de software como serviço (SaaS).
A camada gratuita do Azure AD fornece aos clientes da IaaS Azure os principais recursos do IAM, como logon único, usuário e grupos provisionamento e gerenciamento, autenticação multifator, registro de dispositivo e autenticação em nuvem. Contudo, os clientes que optam por fazer upgrade para níveis premium (P1 e P2) têm acesso a complementos, como gerenciamento de acesso baseado em grupo, suporte para aplicativos locais e Azure AD Identity Protection para ajudar a fornecer acesso condicional a aplicativos e dados críticos da empresa.
E tem mais
Isso, além de gerenciamento de identidade privilegiada para ajudar a descobrir, restringir e monitorar os administradores e seu acesso aos recursos e fornecer acesso just-in-time quando necessário. Esses recursos fornecem uma mudança mais suave de recursos locais para o Azure. Inclusive, a proteção de identidade é um dos vários recursos adicionados quando um cliente faz upgrade para o nível Premium P2. No entanto, não se trata de uma opção de upgrade à la carte.
Para clientes que estão interessados em executar uma instância do AD na nuvem para oferecer suporte aos recursos tradicionais do AD, como associações de domínio e políticas de grupo, o Azure oferece um serviço chamado Azure AD Domain Services.
Gerenciamento de postura de segurança da IaaS Azure
O Azure oferece a Central de Segurança, que é um painel consolidado para monitorar o ambiente. O Centro de Segurança consiste em um sistema de gerenciamento de segurança de infraestrutura unificado que fornece proteção avançada contra ameaças em cargas de trabalho híbridas na nuvem – estejam elas no Azure ou não – bem como no local.
Os dados são coletados de servidores virtuais e físicos usando o agente Log Analytics, que lê várias configurações relacionadas à segurança e registros de eventos da máquina e copia os dados para a área de trabalho de um usuário para análise. O painel integrado, por sua vez, fornece uma visão única das ameaças identificadas e pontua vulnerabilidades no ambiente para ajudar nos esforços de correção. Portanto, a Central de Segurança da IaaS Azure monitora vulnerabilidades em servidores IaaS e PaaS e é usada para gerenciar políticas de segurança e conformidade.
Configurações
Já a Política do Azure avalia os recursos na plataforma comparando as propriedades desses recursos às regras de negócios. No entanto, o cliente deve configurar essas regras de negócios manualmente. Suas respostas para tratamento da não conformidade são as seguintes:
(a) negar a mudança do recurso;
(b) registrar a mudança no recurso;
(c) alterar o recurso antes da mudança;
(d) alterar o recurso após a mudança;
(e) implantar recursos compatíveis relacionados.
Então, a VNet do Azure usa o recurso de logs de fluxo para registrar informações sobre o fluxo de tráfego IP por meio de um NSG. Isso permite que os clientes registrem a fonte e endereço IP de destino, porta, protocolo e se o tráfego era permitido ou negado por um NSG. Vale ressaltar que os registros de fluxo são habilitados no nível VNet / sub-rede. Os dados de fluxo são enviados para as contas de armazenamento do Azure, de onde os usuários podem acessá-lo, bem como exportá-lo para qualquer ferramenta de visualização, SIEM ou IDS.
Segurança de dados na IaaS Azure
O Microsoft Azure oferece uma variedade de soluções de armazenamento de dados para atender a diferentes necessidades, incluindo arquivo, disco, blob e armazenamento de mesa. Portanto, os usuários podem proteger VMs do Windows e Linux usando a criptografia de disco do Azure, que usa o Windows BitLocker e Linux DM-Crypt para proteger os discos do sistema operacional e os discos de dados com volume total de criptografia. Inclusive, os dados em repouso no armazenamento do Blob do Azure e compartilhamentos de arquivos do Azure podem ser criptografados no lado do servidor e cenários do lado do cliente.
O Azure Storage Service Encryption criptografa dados automaticamente antes de serem armazenados. Ele também pode descriptografar automaticamente os dados quando os usuários os recuperam. O processo é totalmente transparente para os usuários. A criptografia de serviço de armazenamento usa Criptografia AES de 256 bits, que é uma das cifras de bloco mais fortes disponíveis. Ou seja, a AES lida com criptografia, descriptografia, e gerenciamento de chaves de forma transparente.
Criptografia
O Banco de Dados SQL da IaaS Azure dá suporte à criptografia do lado do servidor por meio do recurso TDE e criptografia do lado do cliente por meio do Kit de ferramentas Always Encrypted. O TDE protege dados e arquivos de log, usando AES e Triple Data Encryption Standard, algoritmos de criptografia. Então, a criptografia do arquivo de banco de dados é executada no nível da página. As páginas em um banco de dados criptografado são criptografadas antes de serem gravadas no disco e são descriptografadas quando são lidas na memória.
Atualmente, o TDE é habilitado por padrão em bancos de dados SQL do Azure recém-criados e o Azure Cosmos DB é criptografado por padrão e não pode ser desativado. Além disso, o Azure oferece serviços RDS não proprietários que utilizam banco de dados nativo de criptografia que variam em custo com base na versão do banco de dados.
O Azure também protege os dados em trânsito na rede usando TLS e SSL. TLS e SSL são protocolos criptográficos que fornecer segurança de comunicações em uma rede de computadores.Versões mais antigas de TLS / SSL eram vulneráveis e, embora ainda funcionem para permitir compatibilidade com versões anteriores, não são recomendadas, e a indústria está rapidamente abandonando o suporte a esses protocolos mais antigos.
