0

קווים מנחים לאבטחה בענן של – AZURE

Posted by

קווים מנחים לאבטחה בענן של – AZURE

 

לצורך אבטחת נתונים ואבטחה של שיטות עבודה מומלצות, ההמלצות:

  • ב-מנוחה: זה כולל את כל האובייקטים אחסון מידע, מכולות, וסוגים הקיימים באופן סטטי על מדיה פיזית, בין אם זה מגנטי או דיסק אופטי.
  • במעבר: כאשר נתונים מועברים בין רכיבים, מיקומים או תוכניות, כגון דרך הרשת, באוטובוס שירות (מערוץ מקומי לענן ולהיפך, כולל חיבורים היברידיים כגון ExpressRoute) או במהלך קלט / תהליך הפלט.

Multi-factor Authentication

השלב הראשון בגישה לנתונים ובקרתם ב- Microsoft Azure הוא אימות המשתמש. Azure Multi-Factor Authentication (MFA) היא שיטה לאימות הזהות של המשתמש באמצעות שיטה אחרת מאשר רק שם משתמש וסיסמה. שיטת האימות מסייעת בשמירה על גישה לנתונים וליישומים, תוך עמידה בדרישות המשתמשים לתהליך כניסה פשוט.

על ידי הפעלת Azure MFA עבור המשתמשים שלך, אתה מוסיף שכבה שנייה של אבטחה לרישומי משתמש ועסקאות. במקרה זה, עסקה עשויה לגשת למסמך הממוקם בשרת קבצים או ב.SharePoint Online

MFAמסייע גם ל- IT לצמצם את הסבירות שאישור פגום יקבל גישה לנתוני הארגון.

לדוגמה: אם אתה אוכף את Azure MFA עבור המשתמשים שלך וקובע את תצורתם כדי להשתמש בשיחת טלפון או בהודעת טקסט כאימות, אם אישורי המשתמש נפגעו, התוקף לא יוכל לגשת לכל משאב מאחר שלא תהיה לו גישה אל הטלפון של המשתמש. ארגונים שאינם מוסיפים את השכבה הנוספת הזו להגנה על הזהויות רגישים יותר להתקפת גניבת אישורים.

חלופה אחת לארגונים המעוניינים לשמור על בקרת האימות היא שימוש בשרת Azure Multi-Factor Authentication Server, הנקרא גם MFA במקום. באמצעות שיטה זו עדיין תוכל לאמת אימות של גורמים מרובים, תוך שמירה על שרת MFA מקומי.

Role Based Access Control (RBAC)

הגבלת הגישה על בסיס הצורך לדעת עקרונות האבטחה לפחות. זה הכרחי עבור ארגונים שרוצים לאכוף מדיניות אבטחה עבור גישה לנתונים. ניתן להשתמש בבקרת גישה מבוססת תפקידים (RBAC) כדי להקצות הרשאות למשתמשים, לקבוצות וליישומים בהיקף מסוים. היקף הקצאת תפקידים יכול להיות מנוי, קבוצת משאבים או משאב יחיד.

באפשרותך למנף תפקידי RBAC מובנים ב- Azure כדי להקצות הרשאות למשתמשים. שקול להשתמש באחסון חשבון אחסון עבור מפעילי ענן שצריכים לנהל את חשבונות האחסון ואת התפקיד Virtual Machine Contributor role של ניהול חשבונות אחסון קלאסיים. עבור מפעילי ענן שצריכים לנהל מחשבים וירטואליים וחשבון אחסון, שקול להוסיף אותם לתפקיד Virtual Machine Contributor role.

ארגונים שאינם אוכפים את בקרת הגישה לנתונים על-ידי מינוף יכולות כגון RBAC עשויים להעניק הרשאות רבות יותר מהנדרש עבור המשתמשים שלהם. הדבר עלול להוביל לפשרה של נתונים על ידי כך שלמשתמשים מסוימים יש גישה לנתונים שאינם אמורים להיות להם מלכתחילה.

 

 

Encrypt Azure Virtual Machines

עבור ארגונים רבים, הצפנת נתונים במנוחה היא צעד הכרחי לפרטיות נתונים, תאימות וריבונות נתונים. Azure Disk Encryption (הצפנת דיסק) מאפשרת למנהלי IT להצפין את דיסקי Windows ו- Linux.

באפשרותך למנף את הצפנת הדיסק של Azure כדי להגן על הנתונים שלך ולשמור עליהם כדי לעמוד בדרישות הארגוניות והתאימות הארגוניות שלך. ארגונים צריכים גם לשקול שימוש בהצפנה כדי לסייע בהפחתת הסיכונים הקשורים לגישה לנתונים לא מורשים. מומלץ גם להצפין כוננים לפני כתיבת נתונים רגישים אליהם.

הקפד להצפין את אמצעי האחסון של הנתונים של ה- VM ואת אמצעי האחסון של האתחול כדי להגן על נתונים במנוחה בחשבון האחסון שלך מסוג Azure. שמור על מפתחות ההצפנה והסודות על ידי Azure Key Vault.

עבור שרתי Windows המקומיים שלך, שקול את השיטות המומלצות הבאות להצפנה:

  • השתמש ב- BitLocker להצפנת נתונים
  • אחסן מידע שחזור ב- AD DS.
  • אם יש חשש שמפתחות BitLocker נפגעו, מומלץ לאתחל את הכונן כדי להסיר את כל המופעים של המטא נתונים של BitLocker מהכונן או שתפענח ותצפין את הכונן כולו שוב.

ארגונים שאינם מאלצים הצפנת נתונים נוטים יותר להיות חשופים לבעיות של תקינות נתונים, כגון משתמשים זדוניים או נוכלים שגוזלים נתונים וחשבונות שנפרצו, המקבלים גישה לא מורשית לנתונים בפורמט ברור. מלבד סיכונים אלה, חברות שצריכות לעמוד בתקנות התעשייה, מוכיחות שהן חרוצות ומשתמשות בבקרות האבטחה הנכונות כדי לשפר את אבטחת המידע.

Hardware Security Modules

פתרונות הצפנה בתעשייה משתמשים במפתחות סודיים כדי להצפין נתונים. לכן, זה קריטי כי מפתחות אלה מאוחסנים בבטחה. ניהול מפתח הופך לחלק אינטגרלי של הגנת נתונים, שכן הוא יהיה ממונף לאחסון מפתחות סוד המשמשים להצפנת נתונים.

הצפנת דיסק Azure משתמשת ב- Azure Key Vault כדי לסייע לך לשלוט ולנהל את מפתחות הצפנת הדיסק ואת סודותיהם במנוי הכספת הראשי שלך, תוך הבטחת שכל הנתונים בדיסקים של המחשב הווירטואלי מוצפנים במנוחה באחסון שלך ב- Azure. עליך להשתמש בכספת מפתח מסוג Azure כדי לבדוק את המפתחות ואת השימוש במדיניות.

אם לתוקפים יש גישה למפתחות הסודיים, הם יוכלו לפענח את הנתונים.

Secure Workstations

מאחר שרובן המכריע של ההתקפות מכוונות למשתמש הקצה, נקודת הקצה הופכת לאחת מנקודות ההתקפה העיקריות. אם התוקף פוגע בנקודת הקצה, הוא יכול למנף את אישורי המשתמש כדי לקבל גישה לנתוני הארגון. רוב התקפות הקצה מסוגלים לנצל את העובדה כי משתמשי הקצה הם מנהלים בתחנות העבודה המקומיות שלהם.

באפשרותך לצמצם סיכונים אלה באמצעות תחנת עבודה מאובטחת. אני ממליץ להשתמש בתחנות עבודה מסוג Privileged Access (PAW) כדי לצמצם את משטח ההתקפה בתחנות עבודה. תחנות עבודה מאובטחות אלה יכולות לסייע לך לצמצם חלק מההתקפות הללו כדי להבטיח שהנתונים שלך יהיו בטוחים יותר. הקפד להשתמש ב- PAW כדי להקשיח ולנעול את תחנת העבודה. זהו צעד חשוב לספק אבטחה גבוהה עבור חשבונות רגישים, משימות והגנה על נתונים.

היעדר הגנה על נקודות קצה עלול להציב את הנתונים שלך בסיכון, הקפד לאכוף מדיניות אבטחה בכל המכשירים המשמשים לצריכת נתונים, ללא קשר למיקום הנתונים (ענן או מקומי).

SQL data encryption

Azure SQL הצפנת נתונים שקופים (TDE) מסייע בהגנה מפני האיום של פעילות זדונית על ידי ביצוע הצפנה פענוח בזמן אמת של מסד הנתונים, גיבויים הקשורים, וקבצי יומן במנוחה ללא צורך בשינויים ביישום. TDE מצפין את האחסון של מסד נתונים שלם באמצעות מפתח סימטרי שנקרא מפתח ההצפנה של מסד הנתונים.

גם כאשר האחסון כולו מוצפן, חשוב מאוד גם להצפין את מסד הנתונים עצמו. זהו יישום של ההגנה לעומק גישה להגנה על נתונים. אם אתה משתמש ב- Azure SQL Database וברצונך להגן על נתונים רגישים כגון כרטיס אשראי או מספרי ביטוח לאומי, באפשרותך להצפין מסדי נתונים עם הצפנת APS של FIPS 140-2 עם הצפנת 256 סיביות אשר עונה על הדרישות של תקני תעשייה רבים (לדוגמה, HIPAA, PCI ).

מאחר ומשתמש מורשה כגון מנהל אבטחה או מנהל מסד נתונים יכול לגשת לנתונים גם אם מסד הנתונים מוצפן באמצעות TDE, עליך לפעול לפי ההמלצות הבאות:

  • אימות SQL ברמת מסד הנתונים
  • אימות באמצעות תפקידים RBAC Azure AD

משתמשים ויישומים צריכים להשתמש בחשבונות נפרדים כדי לאמת. בדרך זו תוכל להגביל את ההרשאות המוענקות למשתמשים ויישומים ולהקטין את הסיכונים של פעילות זדונית.

הפעל אבטחה ברמת מסד הנתונים באמצעות תפקידי מסד נתונים קבועים (כגון db_datareader או db_datawriter), או שתוכל ליצור תפריטים מותאמים אישית עבור היישום שלך כדי להעניק הרשאות מפורשות לאובייקטי מסד נתונים נבחרים.

ארגונים שאינם משתמשים בהצפנת ברמת מסד הנתונים עשויים להיות רגישים יותר להתקפות העלולות לפגוע בנתונים הממוקמים במסדי נתונים של SQL.

הגן על נתונים במעבר

הגנה על נתונים במעבר צריכה להיות חלק חיוני באסטרטגיית הגנת הנתונים שלך. מאחר שהנתונים יעברו הלוך וחזור ממיקומים רבים, ההמלצה הכללית היא שתמיד תשתמש בפרוטוקולי SSL / TLS כדי להחליף נתונים בין מיקומים שונים. במקרים מסוימים, ייתכן שתרצה לבודד את כל ערוץ התקשורת בין תשתית הענן המקומית לבין תשתית הענן באמצעות רשת וירטואלית פרטית (VPN).

כדי להעביר נתונים בין התשתית המקומית שלך לבין Azure, עליך לשקול אמצעי הגנה מתאימים כגון HTTPS או VPN.

עבור ארגונים הזקוקים לאבטחת גישה מתחנות עבודה מרובות הממוקמות ב on-premises ל- Azure, השתמש ב- VPN מסוג site to site.

עבור ארגונים הזקוקים לאבטחת גישה מתחנת עבודה אחת הממוקמת ב on-premises ל- Azure, השתמש ב- VPN מסוג Point-to-site.

ערכות נתונים גדולות יותר ניתן להעביר מעל ExpressRoute ייעודי במהירות גבוהה. אם תבחר להשתמש ב- ExpressRoute, תוכל גם להצפין את הנתונים ברמת היישום באמצעות SSL / TLS או פרוטוקולים אחרים להגנה נוספת.

ארגונים שאינם מצליחים להגן על נתונים במעבר רגישים יותר להתקפות של man in the middle, ציתות וsession hijacking . התקפות אלה יכולות להיות הצעד הראשון בקבלת גישה לנתונים חסויים.

 

 

לאכוף הצפנת נתונים ברמת הקובץ

שכבה נוספת של הגנה שיכולה להגביר את רמת האבטחה של הנתונים שלך היא להצפין את הקובץ עצמו, ללא תלות במיקום הקובץ.

Azure RMS משתמש במדיניות הצפנה זהה ואישור זהה כדי לסייע באבטחת קבצים ודוא"ל. Azure RMS פועל במספר מכשירים – טלפונים, טאבלטים ומחשבים אישיים על-ידי הגנה על הארגון שלך ומחוץ לארגון שלך. יכולת זו מתאפשרת מכיוון ש- Azure RMS מוסיף רמת הגנה שנשארת עם הנתונים, גם כאשר היא עוזבת את גבולות הארגון.

כאשר אתה משתמש ב- Azure RMS כדי להגן על הקבצים שלך, אתה משתמש בקריפטוגרפיה סטנדרטית בתעשייה עם תמיכה מלאה של FIPS 140-2. בעת מינוף Azure RMS להגנת נתונים, יש לך את ההבטחה שההגנה תישאר עם הקובץ, גם אם הוא מועתק לאחסון שאינו בשליטת ה- IT, כגון שירות אחסון בענן. הדבר קורה גם עבור קבצים משותפים באמצעות דואר אלקטרוני, הקובץ מוגן כקובץ מצורף להודעת דואר אלקטרוני, עם הוראות כיצד לפתוח את הקובץ המצורף המוגן.

בעת תכנון של RMS Azure אני ממליץ על הפעולות הבאות:

  • התקן את אפליקציית שיתוף ה- RMS. יישום זה משתלב ביישומי Office על-ידי התקנת התוספת של Office כך שמשתמשים יוכלו להגן בקלות על קבצים ישירות.
  • קביעת תצורה של יישומים ושירותים לתמיכה ב- Azure RMS.
  • צור תבניות מותאמות אישית המשקפות את הדרישות העסקיות שלך. לדוגמה: תבנית של נתונים סודיים ביותר שיש להחיל בכל הודעות האימייל הקשורות בסוד.

 

 

TomA@2017

 

Leave a Reply

האימייל לא יוצג באתר. שדות החובה מסומנים *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>