چگونه از مایکروسافت آژور محافظت کنیم؟

کمیته رکن چهارم – مایکروسافت آژور، مجموعه‌‌ای از سرویس‌‌های متنوع مبتنی بر ابر است که قابلیت مقیاس‌‌پذیری بالایی دارند. این سرویس، امکان انجام رایانش‌های ابری را برای کاربران فراهم می‌کند. در این مطلب از فراست، نگاهی به بهترین روش‌ها و اصول امن‌سازی این سرویس مفید خواهیم داشت.

همانطور که بارها گفته ایم برای مقابله با حملات فیشینگ و سرقت اطلاعات حساب‌های کاربری باید در هر زمان و هر جایی که ممکن بود یا حداقل برای هر کاربر اکتیو دایرکتوری آژور که نقش مدیریتی داشته و امکان ایجاد و تغییر منابع را دارد، احراز هویت دومرحله‌ای فعال شود. همچنین باید سیاست‌های شفافی برای استفاده از کلمه های عبور قوی و پیچیده تعیین کنید.

این احتمال وجود دارد که به راحتی کنترل مجوزهای دسترسی نقش‌های مختلف از اختیار شما خارج شود. بنابراین بهتر است تعریف همه نقش‌ها را به خوبی بررسی کرده تا مطمئن شوید هیچ نقشی شامل دسترسی‌های مدیریتی غیرضروری نیست. همچنین باید همواره مراقب باشید هیچ حساب کاربری غیرضروری در اکتیودایرکتوری آژور ایجاد نشود. برای حساب‌های کاربری که وجودشان ضروری است، حداقل سطح دسترسی را تعریف کرده و اجازه دعوت و اضافه کردن کاربران جدید را از آنها بگیرید.

اگر برای ورود کاربران به سرویس‌های مبتنی بر اکتیو دایرکتوری آژور از ابزار “Active Directory Federation Services” استفاده می‌کنید، حتماً اکتیو دایرکتوری داخل شبکه را هم تحت نظارت داشته باشید تا بتوانید هرگونه مشکل امنیتی یا آسیب‌پذیری احتمالی آن را در اسرع وقت شناسایی و برطرف کنید.

مرکز امنیت مایکروسافت آژور

مرکز امنیت مایکروسافت آژور (Microsoft Azure Security Center) امکانات امنیتی خوبی را در اختیار کاربران قرار می دهد. مایکروسافت بخش عمده‌ای از فرایند پیاده‌سازی آن را خودکارسازی کرده است. با فعال‌سازی قابلیت “Monitoring Agent” (عامل نظارتی) می توانید جمع آوری داده‌های امنیتی ماشین مجازی را در حالت پیش فرض فعال نمایید. با فعال کردن این گزینه، همه تنظیمات توصیه شده در خط مشی امنیتی شما فعال می‌شود. این توصیه‌ها شامل ترکیبی از تنظیمات امنیتی مختلف، از جمله اینکه نصب وصله‌های امنیتی سیستم‌ عامل چه زمانی انجام شود یا رمزنگاری در چه حالتی فعال باشد، است.

حتماً به طور منظم جدول “Recommendations” در بخش Security Center را بررسی کرده تا مطمئن شوید هیچ فعالیت امنیتی برای اجرا ندارید و اینکه تمام توصیه‌ها، در نظر گرفته شده و پیاده‌سازی شده‌اند. حتماً در بخش “Security Center Policy” یک شماره تلفن در دسترس و آدرس ایمیل مناسبی را درج کنید. به این ترتیب در صورت وقوع حوادث امنیتی، شرکت مایکروسافت قادر به تماس و برقراری ارتباط با شما خواهد بود.

در نهایت نیز مطمئن شوید که سطح امنیت “Free Azure” را در حالت استاندارد قرار داده‌اید تا از گزینه‌های امنیتی پیشرفته بهره‌مند شوید. اگرچه انجام این کار، هزینه‌هایی را برای شما دارد اما امکان شناسایی تهدیدات سایبری را در پایگاه‌های داده و ماشین‌های مجازی فراهم می‌کند.

تعریف شبکه با Microsoft SQL Server

با محدود کردن دسترسی به پروتکل‌های ssh و RDP (پروتکلی است که از آن برای اتصال یک رایانه به رایانه ای دیگر از راه دور مورد استفاده قرار می‌گیرد و این امکان را برای رایانه کلاینت فراهم می کند که صفحه نمایش رایانه راه دور را مشاهده کند) در Network Security Groups احتمال اجرای حملات جستجوی فراگیر را کاهش دهید. این توصیه برای همه پلتفرم‌ها صدق می‌کند. همچنین هرگز امکان دسترسی به پورت‌های ۲۲ یا ۳۳۸۹ را از طریق اینترنت فراهم نکنید.

اگر از SQL Server استفاده می‌کنید، این سیستم یک فایروال مجزا دارد که عملکرد آن مجزا از Network Security Groups است. فایروال SQL Server را بررسی نموده تا مطمئن شوید دسترسی‌ها به خوبی محدود شده اند. همچنین توصیه می‌شود برای جلوگیری از بروز مشکل در صورت خطای پیکربندی Network Security Groups یا نقص عملکرد پلتفرم، از فایروال‌های سیستم ‌عامل در ماشین‌های مجازی استفاده کنید.

علاوه ‌بر این بهتر است زیرساخت‌های سازمانی تان را برای شناسایی هرگونه آسیب‌پذیری احتمالی پویش (اسکن) کنید. امکان انجام این کار بدون اطلاع به مایکروسافت در صورت پیروی از قوانین تعامل تست نفوذ (Rules of Engagement) وجود دارد. شما می‌توانید با کمک یک ابزار مدیریت آسیب‌پذیری همچون “Tripwire® IP360™” زیرساخت آژور خودتان را برای شناسایی آسیب‌پذیری‌های مبتنی بر شبکه یا میزبان پویش کنید.

ثبت گزارش‌ها و نگهداری مناسب از فضای ذخیره سازی آنها

مایکروسافت آژور قابلیت‌های مختلفی برای ثبت گزارش دارد و استفاده از همه آنها برای بررسی‌های امنیتی ضروری است. حتماً قابلیت ذخیره Activity Log را که برای نظارت بر رفتارهای مختلف استفاده می‌شود، فعال کنید. همچنین باید قابلیت ثبت اطلاعات، برای هر Network Security Group و قابلیت بررسی پایگاه داده برای هر پایگاه داده SQL نیز فعال باشد. فعال‌سازی این قابلیت‌ها باعث استفاده از فضای ذخیره اطلاعات می‌شود که باید این فضا را از طریق تنظیمات Storage Service Encryption و Secure Transfer Required رمزنگاری کرد.

توصیه می‌شود این گزارش‌ها را حداقل تا ۹۰ روز ذخیره کرده یا در صورت امکان آنها را به صورت طولانی مدت نگهداری کنید.

نظارت با بررسی گزارش‌های فعالیت

قابلیت Activity Log امکان نظارت بر رویدادهای مختلف و ارسال هشدار را در صورت وقوع رویدادها فراهم می‌کند. افراد مسئول با دریافت این هشدارها می توانند اقدام های امنیتی لازم را انجام دهند. توصیه می شود هشدارهای گزارش فعالیت (Activity Log Alerts) را برای رویدادهای زیر فعال کنید:

• Create Policy Assignment (انتساب قابلیت تعریف سیاست‌های امنیتی)
• Create or Update Network Security Group (ایجاد یا به‌روزرسانی گروه‌های امنیت شبکه)
• Delete Network Security Group (حذف گروه‌های امنیتی شبکه)
• Create or Update Network Security Group Rule (ایجاد یا به‌روزرسانی قوانین گروه‌های امنیت شبکه)
• Delete Network Security Group Rule (حذف قوانین گروه‌های امنیت شبکه)
• Create or Update SQL Server Firewall Rule (ایجاد یا به‌روزرسانی قوانین فایروال SQL Server)
• Delete SQL Server Firewall Rule (حذف قوانین فایروال SQL Server)
• Create or Update Security Solution (ایجاد یا به‌روزرسانی راهکارهای امنیتی)
• Delete Security Solution (حذف راهکارهای امنیتی)
• Update Security Policy (به‌روزرسانی سیاست امنیتی)

امنیت حساب‌های کاربری ذخیره اطلاعات در بستر ابری

پیش از این هم اشاره شد که گزارش‌ها باید در مکان هایی ذخیره شوند که قابلیت رمزنگاری کل هارد درایو و پروتکل SSL برای آنها فعال باشد. بایستی هر زمان که ممکن بود، رسانه‌های ذخیره ساز اطلاعات را به‌ گونه‌ای تنظیم کنید که از رمزنگاری Blob، رمزنگاری فایل و انتقال امن داده‌ها پشتیبانی کنند.

کلیدهای Storage Account باید به صورت دوره‌ای تولید شوند تا خطر هک کلیدهای دسترسی به حداقل برسد. امضاهای دسترسی مشترک (Shared Access Signatures) فقط باید با قابلیت‌های انتقال امن، استفاده شده و زمان انقضایی در حد ۸ ساعت یا کمتر داشته باشند تا امکان دسترسی نامحدود وجود نداشته باشد.

هرگونه دسترسی عمومی به مخازن فایل یا Blob باید با دقت بررسی شده و از آنها فقط در مواردی مثل وب سایت‌های عمومی استفاده شود. برای بررسی دسترسی‌های عمومی به مخازن ذخیره اطلاعات و حتی پیاده‌سازی خودکار تنظیمات حریم خصوصی می توان از ابزار “Tripwire Configuration Manager” استفاده کرد.

داده‌های امنیتی ماشین مجازی

یکی از ویژگی های خاص و منحصر به فرد امنیت ماشین مجازی آژور، کارگزار ماشین مجازی آن است که داده‌های امنیتی گفته شده را جمع آوری می‌کند. فعال نگهداشتن این کارگزار باعث می‌شود که همیشه امکان مرور و بررسی جامع دارایی‌های تان را داشته باشید.

بهتر است به این نکته توجه داشته باشید که امن‌سازی ماشین‌های مجازی موجود در بسترهای ابر، شباهت زیادی به روش امن‌سازی آنها در محیط سازمان دارد. حتماً همیشه جدیدترین سیستم‌ عامل ها و وصله‌های امنیتی را بر روی آنها نصب کرده و استفاده از سازوکارهای حفاظتی مثل رمزنگاری هارد درایو را فراموش نکنید.

ادغام با Microsoft SQL Server

یکی از مهمترین ویژگی‌ها و امکانات تبلیغ شده برای آژور، قابلیت ادغام آن با Microsoft SQL Server است. باید فایروال SQL Server را با سختگیرانه‌ترین تنظیمات امنیتی ممکن فعال کرده و قابلیت نظارت بر گزارش‌ها جهت کسب اطلاعات درباره رخنه‌های احتمالی را بر روی آن فعال نمایید.

قابلیت تشخیص تهدیدات SQL Server در آژور، امکان تشخیص حملات تزریق SQL، آسیب‌پذیری‌های تزریق SQL و سایر ناهنجاری‌ها را فراهم می‌کند. هر چند این قابلیت رایگان نیست ولی به منظور دفاع در عمق باید آن را فعال کنید. حتماً در صورت فعال کردن قابلیت تشخیص تهدیدات سایبری، هشدارهای ایجاد شده را به یک کارشناس امنیت سایبری ارسال کنید.

بهترین روش برای اجرای توصیه های امنیتی در مایکروسافت آژور، تعریف یک خط مبنا است که امکان اعمال آن به همه پروژه‌های پیاده‌سازی شده در آژور وجود داشته و می‌توان آن را متناسب با شرایط نیز توسعه داد. در نهایت هم اینکه با مراجعه به “Foundations Benchmark” مرکز امنیت اینترنت مایکروسافت آژور و اجرای توصیه‌های امنیتی گفته شده در آن، از سیستم‌های تان محافظت کنید.

منبع: tripwire