Microsoft Azure Sentinel 是可縮放的云原生安全信息事件管理 (SIEM) 和安全業(yè)務(wù)流程自動(dòng)響應(yīng) (SOAR) 解決方案��。Azure Sentinel 在整個(gè)企業(yè)范圍內(nèi)提供智能安全分析和威脅智能���,為警報(bào)檢測(cè)����、威脅可見(jiàn)性�、主動(dòng)搜尋和威脅響應(yīng)提供單一解決方案。
大家注意上面這種圖����,攻擊的維度上,黑客組織可以從PC端����,IT基礎(chǔ)設(shè)施端���,員工和客戶(hù)端等發(fā)起攻擊,當(dāng)然最終的目的是為了勒索賺錢(qián)���。從統(tǒng)計(jì)數(shù)據(jù)看其實(shí)攻擊的成本不算很貴�����,所以說(shuō)黑產(chǎn)是一個(gè)有利可圖的領(lǐng)域����,必然會(huì)集結(jié)大量的黑客涌入���。舉幾個(gè)例子����,DDoS攻擊一天只需要102刀�����,租用很多代理服務(wù)器也只要100刀�,1000個(gè)被攻破的賬戶(hù)只需要0.97刀等等����。��。����。
從上面的攻防成本上面來(lái)看,安全與黑產(chǎn)是一項(xiàng)軍備競(jìng)賽�。安全是一項(xiàng)困難的職業(yè)����,因?yàn)槲覀冇肋h(yuǎn)沒(méi)有足夠的資源來(lái)保護(hù)所有資產(chǎn)。如果要做到100分的安全���,傳統(tǒng)企業(yè)也許只能靠自己做到50分���,看起來(lái)也是一個(gè)很不錯(cuò)的成績(jī)了。
那么我們來(lái)看看為什么越來(lái)越多的企業(yè)會(huì)考慮公有云或者混合云的方式來(lái)保護(hù)自己的數(shù)字資產(chǎn)����。云的第一個(gè)優(yōu)點(diǎn)是,它允許您將日常職責(zé)(因SaaS/PaaS/IaaS而異)轉(zhuǎn)移到云提供商�。您必須信任云提供商并驗(yàn)證其可信賴(lài)性����,但是一旦找到可信賴(lài)的提供商����,將最大的安全和運(yùn)營(yíng)責(zé)任從員工那里轉(zhuǎn)移給公有云講對(duì)您有利。這使您可以將團(tuán)隊(duì)的注意力集中到安全的其他方面(例如許多組織內(nèi)信息保護(hù)項(xiàng)目中)�。
那么以Azure舉例來(lái)說(shuō),整體上面我們可以從身份的認(rèn)證��,從而到零信任模型來(lái)管控住需要訪(fǎng)問(wèn)信息的人���。從監(jiān)控安全數(shù)據(jù)層面把相關(guān)的信息從各個(gè)工作負(fù)載之中收取上來(lái)�。并且做到隨后的分析與相應(yīng)��。當(dāng)然在網(wǎng)絡(luò)和數(shù)據(jù)加密層面也需要做一些主動(dòng)和被動(dòng)的防護(hù)�����。
接下來(lái)我們來(lái)看一張大圖����,看看到底哪些防御的東西可以交給微軟的Azure來(lái)管起來(lái)呢?看起來(lái)從不論IaaS和PaaS��,灰色的部分包括最底層的存儲(chǔ),計(jì)算��,網(wǎng)絡(luò)��,虛擬化層��,到PaaS層的應(yīng)用���,身份認(rèn)證�����,網(wǎng)絡(luò)管控,操作系統(tǒng)�,Azure都替你管了起來(lái)。是不是長(zhǎng)出了一口氣的同時(shí)�����,又覺(jué)得賺到了幾百萬(wàn)���?
那么聰明的你一定會(huì)問(wèn)���?動(dòng)輒上百萬(wàn)的安全機(jī)制����,為什么微軟即便再財(cái)大氣粗���,到底是靠什么輕輕松松的幫我們保護(hù)起來(lái)的呢����?回答其實(shí)可以很簡(jiǎn)單�,因?yàn)槲④涀约阂Wo(hù)自己,所以也能順手保護(hù)你在Azure上的工作負(fù)載哦���。如果大家使用過(guò)微軟的另外一套SaaS的服務(wù)Office365的話(huà)����,一定對(duì)其再郵件�,辦公軟件,個(gè)人信息存儲(chǔ)分享的保護(hù)印象深刻���。所以微軟就是把這些防護(hù)的技能賦能到Azure的底層維護(hù)上����,同時(shí)把一些SaaS后臺(tái)的安全技能開(kāi)放成安全服務(wù)通過(guò)Azure這個(gè)大平臺(tái)給到大家���。接下來(lái)我們可以看看到底有哪些服務(wù)可以利用�。
微軟對(duì)安全的重視遍布到每一個(gè)細(xì)小環(huán)節(jié),從代碼開(kāi)發(fā)到對(duì)事件的響應(yīng)都會(huì)投入大量安全防護(hù)措施���,充分保障Azure資源的安全性����。我們都是知道��,全球范圍內(nèi)網(wǎng)絡(luò)攻擊每時(shí)每刻都在發(fā)生��,保障網(wǎng)絡(luò)安全離不開(kāi)產(chǎn)品及使用者的共同努力����。Azure始終為用戶(hù)提供一套全面的且易操作的安全防護(hù)體系供。我們認(rèn)為如果把一個(gè)問(wèn)題變得復(fù)雜��,人們往往會(huì)選擇繞開(kāi)它�,所以Azure每年在安全問(wèn)題上投資超過(guò)10億美金�,推出多種AI和自動(dòng)化的安全防護(hù)產(chǎn)品和服務(wù)。
在Azure上�����,用戶(hù)需要將資源部署在Azure虛擬網(wǎng)絡(luò)(VNet)中。Azure虛擬網(wǎng)絡(luò)是一個(gè)構(gòu)建于Azure物理網(wǎng)絡(luò)結(jié)構(gòu)上的邏輯結(jié)構(gòu)�,每個(gè)虛擬網(wǎng)絡(luò)之間默認(rèn)相互隔離,從而保障不同用戶(hù)之間資源與網(wǎng)絡(luò)流量的隔離�����。用戶(hù)可以像管理內(nèi)部網(wǎng)絡(luò)一樣�,控制虛擬網(wǎng)絡(luò)的IP地址塊、DNS配置�����、安全策略和路由表�����;還可以通過(guò)網(wǎng)絡(luò)安全組����、VPN網(wǎng)關(guān)或網(wǎng)絡(luò)專(zhuān)線(xiàn)ExpressRoute來(lái)控制虛擬網(wǎng)絡(luò)的訪(fǎng)問(wèn)權(quán)限。除了對(duì)網(wǎng)絡(luò)訪(fǎng)問(wèn)的控制之外�����,我們還需要針對(duì)各種網(wǎng)絡(luò)安全威脅,進(jìn)行安全防護(hù)��,例如配置Azure防火墻�����、應(yīng)用程序防火墻�����、DDoS防護(hù)等�����。
大數(shù)據(jù)時(shí)代����,數(shù)據(jù)的挖掘、處理�、運(yùn)用,在給社會(huì)帶來(lái)便利的同時(shí)�,也造成了數(shù)據(jù)不合理使用和對(duì)個(gè)人信息造成威脅。2018年�����,歐盟出臺(tái)《通用數(shù)據(jù)保護(hù)條例》(GDPR)�,目的在于遏制個(gè)人信息被濫用,保護(hù)個(gè)人隱私�,并被稱(chēng)為史上最嚴(yán)的個(gè)人數(shù)據(jù)保護(hù)條例;2019年5月28日��,根據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》等法律法規(guī)��,國(guó)家互聯(lián)網(wǎng)信息辦公室會(huì)同相關(guān)部門(mén)也研究起草了《數(shù)據(jù)安全管理辦法(征求意見(jiàn)稿)》���。國(guó)家對(duì)于網(wǎng)絡(luò)安全問(wèn)題的重視�,進(jìn)一步細(xì)化了數(shù)據(jù)安全管理辦法和準(zhǔn)則����,助力網(wǎng)絡(luò)環(huán)境健康發(fā)展。
總結(jié)一下���,在曾國(guó)藩平定叛亂的過(guò)程中�,他從來(lái)不玩奇淫技巧����,會(huì)做的就是結(jié)硬寨,打呆仗���。反觀(guān)在Azure上之前提到的基礎(chǔ)網(wǎng)絡(luò)的安全��,以及數(shù)據(jù)的加密��,保護(hù)等都是十分重要的�����。在后面幾期我們會(huì)著重聊一下網(wǎng)絡(luò)和數(shù)據(jù)加密這方面的內(nèi)容�����。
安全事件管理與響應(yīng)–安全部署疾如風(fēng)���,徐如林���,侵掠如火,不動(dòng)如山
數(shù)據(jù)全管理辦法(征求意見(jiàn)稿):保障個(gè)人信息和重要數(shù)據(jù)安全��。
https://www.freebuf.com/column/204800.html
講到安全����,就會(huì)想到攻防,想到攻防�,比如按要引入攻在孫子兵法也好�����,在武田信玄大神的眼中,標(biāo)題上這句話(huà)是十分的重要�����。那在安全領(lǐng)域如何理解呢��?疾如風(fēng)——部隊(duì)行動(dòng)時(shí)�,像疾風(fēng)一樣迅速。在安全受到威脅的時(shí)候�,安全的服務(wù)能夠像風(fēng)一樣的快速去找到問(wèn)題源,并且馬上部署�。徐如林——軍陣像樹(shù)林一樣整齊,徐徐而行�����。安全的部署要有章法���,要有藍(lán)圖�,有治理���,不能亂了陣腳�����,不論是新部署的應(yīng)用�����,還是要在現(xiàn)有應(yīng)用上添加內(nèi)容��,安全的不如一定是徐徐有序����,保持一致。侵略如火——進(jìn)攻時(shí)候像烈火燃燒�����。大家也許奇怪��,安全不是防守嗎���?為啥還要進(jìn)攻�,但是你有沒(méi)有想過(guò)當(dāng)黑客通過(guò)一整條鏈路來(lái)攻擊你的時(shí)候���,你是不是也要化盾為矛��,找到隱藏在黑暗角落的攻擊機(jī)器���,去切斷他,更甚至于找到他�,將他繩之以法。不動(dòng)如山——軍隊(duì)不動(dòng)時(shí)���,像山一樣不可撼動(dòng)���。當(dāng)你部署完安全的策略,比如定期收集日志��,安全規(guī)則��,多因子認(rèn)證等動(dòng)態(tài)防護(hù)等�����。安全系統(tǒng)的穩(wěn)定性一定是十分重要的�����,自身一定要像山一樣不可攻破,才能保證后面被保護(hù)系統(tǒng)的安全�。
那么如何能夠做到上文提到的這些,那么安全的事件的數(shù)據(jù)收集���,以及對(duì)安全事件的自動(dòng)響應(yīng)是至關(guān)重要的�。工欲善其事必先利其器����,微軟就提供了這樣的安全神器。
Microsoft Azure Sentinel是可縮放的云原生安全信息事件管理(SIEM)和安全業(yè)務(wù)流程自動(dòng)響應(yīng)(SOAR)解決方案�����。Azure Sentinel在整個(gè)企業(yè)范圍內(nèi)提供智能安全分析和威脅智能���,為警報(bào)檢測(cè)����、威脅可見(jiàn)性��、主動(dòng)搜尋和威脅響應(yīng)提供單一解決方案����。
Azure Sentinel提供整個(gè)企業(yè)安全局勢(shì)的鳥(niǎo)瞰圖��,可以緩解日益復(fù)雜的攻擊和不斷增加的警報(bào)量����,并可以縮短解決問(wèn)題所需的時(shí)間�。
跨所有用戶(hù)、設(shè)備���、應(yīng)用程序和基礎(chǔ)結(jié)構(gòu)(包括本地和多個(gè)云)以云規(guī)模收集數(shù)據(jù)�����。
檢測(cè)以前未檢測(cè)到的威脅,并使用Microsoft的分析和無(wú)與倫比的威脅智能�,最大限度地減少誤報(bào)。
借助人工智能調(diào)查威脅��,結(jié)合Microsoft多年以來(lái)的網(wǎng)絡(luò)安全工作經(jīng)驗(yàn)大規(guī)模搜尋可疑活動(dòng)�。
過(guò)內(nèi)置的業(yè)務(wù)流程和常見(jiàn)任務(wù)自動(dòng)化快速響應(yīng)事件。
Azure Sentinel基于現(xiàn)有的各種Azure服務(wù)�,原生集成了經(jīng)過(guò)證實(shí)的基礎(chǔ)服務(wù),例如Log Analytics和邏輯應(yīng)用��。Azure Sentinel可以借助人工智能豐富調(diào)查和檢測(cè)工作���,并提供Microsoft的威脅智能流���,使你能夠運(yùn)用自己的威脅智能����。
云中的零信任–特洛伊木馬之殤
特洛伊木馬在現(xiàn)代有名是由于特洛伊木馬病毒���,在一直流傳的故事中出名是由于木馬計(jì)攻陷特洛伊城�,當(dāng)然也由于之前一段浪漫戀情做了很好的鋪墊����。但是在安全領(lǐng)域,也許浪漫部分是十分罕見(jiàn)的����,更多的是基于利益的攻防。
如今許多企業(yè)仍然依賴(lài)“城堡和護(hù)城河”方法(也叫做“邊界安全”方法)來(lái)保護(hù)數(shù)據(jù)免遭惡意攻擊��。就像中世紀(jì)的城堡受到石墻���、護(hù)城河和城門(mén)的保護(hù)一樣���,大量的投資以通過(guò)防火墻����、代理服務(wù)器�����、蜜罐技術(shù)和其他入侵防護(hù)工具來(lái)加強(qiáng)他們的網(wǎng)絡(luò)邊界��?�!斑吔绨踩蓖ㄟ^(guò)驗(yàn)證進(jìn)入和離開(kāi)組織網(wǎng)絡(luò)的數(shù)據(jù)包和用戶(hù)身份來(lái)保護(hù)網(wǎng)絡(luò)入口點(diǎn)和出口點(diǎn)的安全�,然后假設(shè)在加固后的邊界內(nèi)進(jìn)行的活動(dòng)是相對(duì)安全的。那么你用特洛伊木馬的故事來(lái)看�,確實(shí)只要騙過(guò)了這個(gè)守城墻的“邊界安全”那么整個(gè)城池就會(huì)陷落了���。
如今�����,精明的企業(yè)正在超越這種范例��,轉(zhuǎn)而采用一種新式的網(wǎng)絡(luò)安全方法-“零信任”模型�����?��!傲阈湃巍蹦P偷闹行脑瓌t是默認(rèn)情況下不信任任何人(無(wú)論是內(nèi)部人員還是外部人員)�,并且在授予訪(fǎng)問(wèn)權(quán)限之前需要對(duì)每個(gè)人或每臺(tái)設(shè)備進(jìn)行嚴(yán)格的驗(yàn)證����。
下面我們來(lái)看一張圖,看看在哪些層面零信任網(wǎng)絡(luò)可以幫助到你���。
新式安全外圍網(wǎng)絡(luò)現(xiàn)已超出組織網(wǎng)絡(luò)的范圍����,其中涵蓋了用戶(hù)和設(shè)備標(biāo)識(shí)���。在做攻防最火熱的地方�����,也就是如何利用這些標(biāo)識(shí)與如何防范標(biāo)識(shí)被攻破�����。
零信任安全模型無(wú)疑是現(xiàn)在最火爆的話(huà)題���,接下來(lái)我們還會(huì)用專(zhuān)門(mén)的篇幅來(lái)介紹如何運(yùn)用微軟在安全領(lǐng)域的各種SaaS和PaaS幫助企業(yè)從“城墻邊界”模式切換到更為嚴(yán)密的“零信任”模式����。
總結(jié)
一直以來(lái)�����,微軟在開(kāi)發(fā)每一項(xiàng)產(chǎn)品的同時(shí)��,都會(huì)考慮其給到企業(yè)的安全性的保障���,每年����,微軟都會(huì)投入超過(guò)十億美元在安全方面�����,來(lái)保證已有的服務(wù)的安全性�����,以及開(kāi)發(fā)更好的產(chǎn)品及服務(wù)�����,來(lái)幫助客戶(hù)做到安全�。下圖將截止到目前為止,微軟能夠給到企業(yè)不同服務(wù)和領(lǐng)域的安全功能進(jìn)行了總結(jié)����。
最傳統(tǒng)領(lǐng)域?qū)τ诜?wù)器端的防護(hù)和監(jiān)控,微軟也在Azure端提供了各種功能���,從虛擬機(jī)��,到網(wǎng)絡(luò)���,到數(shù)據(jù),以及從流程上���,能夠滿(mǎn)足客戶(hù)根據(jù)不同的合規(guī)及政策要求����,完整地搭建整套安全框架��。之后我們也會(huì)有專(zhuān)欄介紹Azure上面的網(wǎng)絡(luò)應(yīng)用防火墻,基礎(chǔ)網(wǎng)絡(luò)防火墻等��。
如果客戶(hù)對(duì)于企業(yè)安全環(huán)境有更高地要求��,需要完整的一套安全監(jiān)控及響應(yīng)機(jī)制��,Azure Sentinel可以作為客戶(hù)的依賴(lài)平臺(tái)��。只要通過(guò)connector將本地的�,微軟一方的,三方的應(yīng)用及日志接入到平臺(tái)�,就能實(shí)現(xiàn),對(duì)于企業(yè)中用戶(hù)的���,各類(lèi)服務(wù)的�����,各種維度的監(jiān)控及探測(cè)�。之后我們也會(huì)有專(zhuān)題介紹相對(duì)應(yīng)的Azure Sentinel和Security Center���。
那么除了構(gòu)建云上的邊界安全���,我們就需要構(gòu)建更加細(xì)粒度的”零信任“模型?����?梢钥吹綇淖钣也糠值纳矸菁霸L(fǎng)問(wèn)管理�����,基于RBAC以及Zero Trust����,結(jié)合Azure B2B,B2C或者本地AD作為企業(yè)中微軟一方產(chǎn)品或者其他第三方的軟件的身份,從而將所有的用戶(hù)的日志都匯總到一個(gè)實(shí)體中�����,為后續(xù)建立企業(yè)身份的信用體系打下基礎(chǔ)����。隨后我們會(huì)有專(zhuān)題介紹微軟基于Azure Active Directory以及其他服務(wù)構(gòu)建起來(lái)的零信任模型。
總之����,在安全領(lǐng)域,各位在云時(shí)代一定會(huì)遇到更多的挑戰(zhàn)��,但是同時(shí)利用好云上的安全工具一定會(huì)提供給你一個(gè)更加規(guī)范,自動(dòng)化�����,良好性?xún)r(jià)比的云安全工具箱���,保駕護(hù)航你的云上數(shù)字化轉(zhuǎn)型��。后續(xù)請(qǐng)大家關(guān)注安全系列的文章��,為你庖丁解牛���,做一個(gè)安全大牛。
閩公網(wǎng)安備 35010202001226號(hào)
