Azure Security Center概況說明

By 2021-07-14技術文章

作者:精誠軟體服務 雲端解決方案顧問 葛明淞Gary

在雲端平台中須正式上線的服務、須開發測試的應用系統,雖然都中規中矩運行著,但卻無從得知現行身處的狀態環境是安全還是風險?是漏洞百出還是安全合格?

是否需要重金禮聘資安專家運用過去專業經驗檢核環境,但也可能在複製過去成功經驗的同時,忽略了因應現代化變異極快的資安趨勢呢?

隨著企業任務在雲端平台上持續擴大應用,持續跟進變化極快的世界趨勢潮流,已然無法有效面對這樣的態勢。故一個雲端原生的資訊安全中心,強化了 Azure平台資源的安全狀態、評估系統、資料庫、容器、儲存等服務,給予威脅預防建議和安全警示。

原本從Azure自家服務也開始照應到其他雲端平台及企業內伺服器的混合環境,以提供更為全面的進階威脅防護,保障其合規性規範,就像背後所雇用的資安AⅠ機器人一樣隨時隨地,把關企業的安全健康。

Azure Security Center基礎架構

圖說: Azure Security Center 基礎架構示意

上圖左側, Azure以外只要屬於伺服器類型,無論是Windows/Linux ,仍可透過安裝Log分析代理程式,讓資訊安全中心來做監視管理的保護任務,正因如此,除了企業內部,仍可支援其他的雲端平台上的虛擬機器來做保護,像是GCP、AWS、OCI等均可實踐。

上圖中間,其他雲端平台或企業內因應政策規範,不可直接對外的伺服器仍舊需要被保護,故透過DMZ區域的網路代理,統一對資訊安全中心做通訊溝通、紀錄收集的動作。

當收集到的事件會透過資安中心的分析引擎,相互學習比對後進行關聯,確保受保護服務本身的安全狀態及建議,視條件觸發安全警示來提醒管理者。

上圖右側, Azure Sentinel則是雲端原生SIEM ,透過對資訊安全中心的整 ,從刌峏事件收集,中間日誌管理與後端更智慧化安全事件關聯分析,進而幫助客戶偵搜、預防與回應企業威脅對策。

資訊安全中心方案核心流程
  1. 授予安全性角色和權限存取的人員配置。
  2. 定義安全範圍,包含收集標的、管理原則、警示通知及所需匡列的成本。
  3. 除了Azure原生支援服務外,非Azure其他雲端或企業內監視部署。
  4. 收集來源主機資訊至記錄分析工作區。
  5. 持續性安全資源儀表監視,並針對系統羅列出的建議做評估改善。
  6. 最後一哩路,無預期性的突發資安情事威脅時,而能做出的處理回應。

圖說:企業資訊安全角色全責概觀

專有名詞說明
專有名詞 說明
CSPM
(Cloud Security Posture Management )
為雲端安全狀態管理, Azure用戶免費偵測所支援的Azure服務安全性狀態清查等行為並評定分數, 進而加強混合式雲端態勢與追蹤內建原則合規性。
CWPP
(Cloud Workload Protection Platform)
為雲端工作負載保護平台,主動為雲端和企業內混合工作負載做更多深入的智慧威脅防護。也可以開始自訂原則計畫、新增法規標準、檔案存取完整性等。
FIM
(File Integrity Monitoring)
為檔案完整性監視,檢查OS、應用程式等防護檔案或機碼被惡意竄改。透過版本比對狀態是否有異。
AAC
(Adaptive Application Control)
為自適性應用程式控制, Al自動指定學習主機所允許的安全應用清單,非清單內則無法執行。
ANH
(Adaptive Network Hardening)
為自適性網路強化,強化NSG規則,透過實際流量,已知信任、威脅情報或其他惡意指標等因素拉進機器學習演算法後,進而提供更佳的智慧建議。