Cloud security posture management v Azure: co to je, proč ho potřebujete a jak začít?
Cloud security posture management (CSPM) už není jen doplňkovým nástrojem, ale plní zcela zásadní roli v rámci adopce cloudu. Dokážeme díky němu prostředí hlídat a zabezpečit, což nám pomáhá být stále o krok napřed s ochranou. V tomto článku si ukážeme, jakou službu nám poskytne cloud security posture management v Azure.
Tomáš Nejtek
Svět IT (a nejen ten) se stále více obrací ke cloudu, který přináší spoustu změn v myšlení, technologiích a procesech. Poslední dva roky (a především poslední měsíce) tuto změnu ještě více akceleruje AI. Dokáže totiž přesvědčit i firmy, které by jinak do cloudu nešly, že má smysl na AI stavět své projekty.
S tím se pochopitelně pojí otázky bezpečnosti cloudu, AI, koncových zařízení, sítě a daleko větší důraz na ochranu identity, kterou nebylo třeba v minulosti tolik řešit. Potřebujeme zkrátka vhled do celého prostředí, abychom ho dokázali udržet zabezpečené.
S tím přichází na řadu nástroje na automatickou identifikaci prostředků, zhodnocení konfigurace a stavu zabezpečení, doporučení a případně rovnou nápravu nálezů.
Co je cloud security posture management
Cloud security posture management (CSPM) je technologie, která automaticky skenuje celé IT prostředí, vyhodnocuje stav jeho zabezpečení, hledá miskonfigurace a navrhuje nápravná opatření. Do češtiny se překládá např. jako správa stavu zabezpečení cloudu.
CSPM slouží organizacím k naplnění různých regulatorních požadavků (ISO 27001, DORA, NIS2). Prověřuje, co, kde a jak vlastně běží, pomáhá zabezpečit prostředí a odhaluje případné mezery dříve, než dojde ke skutečným škodám.
Jak fungují jednotlivé části řešení CSPM?
Zobrazit více…
- Discovery/Inventarizace
Základem CSPM je kontinuální automatické skenování, identifikace a sledování prostředků v daném prostředí. Nic není nutné konfigurovat, vše je možné automaticky oskenovat a vložit do inventáře – ať se jedná o storage account, virtuální stroj nebo třeba síťovou komponentu. Výrazně se tak zlepší vhled do celého prostředí, a to bez nutnosti manuální údržby seznamů co, kdy, jak a proč hlídat. - Konfigurace
Spočívá v porovnání nastavení daných prostředků s best practices i s jednotlivými benchmarky, aby byly odhaleny miskonfigurace, zranitelná nastavení či rizikové vlastnosti daných prostředků. Mezi běžné nálezy patří např.:- otevřený přístup z internetu,
- využití sdílených klíčů nebo slabých šifer,
- chybějící nastavení logování a monitoringu,
- použití zranitelných knihoven a aplikací, které jsou nainstalovány na VM nebo použity v kontejnerech.
- Doporučení
CSPM na základě identifikovaných nálezů radí, zda nedostatky řešit rekonfigurací či nějakým větším zásahem, a navrhuje konkrétní postup nebo rovnou automatizovaný fix. Zodpovědní lidé tak k danému nálezu nemusí dohledávat podrobnosti, ani zjišťovat, jak ho opravit. - Náprava
Jednou z možností jsou manuální úpravy konfigurace, které ovšem závisí na tom, zda a kdy je správce udělá. Pokročilejší možností jsou automatické opravy (často na kliknutí nebo plně automatizované), kdy se o existenci miskonfigurace ani nedozvíme. - Dodržování (compliance)
Při správě IT prostředí potřebujeme vědět, jaká jeho část je nezabezpečená, jakých typů prostředků se to týká a jak se třeba takové zabezpečení vyvíjí v čase. K tomu nám slouží compliance. Tato část také může kontrolovat prostředí oproti definovaným benchmarkům (známé CIS benchmarky) nebo vyhodnocovat, jak si prostředí stojí ve srovnání s přísnými požadavky nařízení NIS2, ISO27001, PCI-DSS aj.
Proč cloud security posture management vůbec řešit?
Prostředí v cloudu je a vždy bude jiné než v on-premise. Nejde jen o technickou stránku věci, ale hlavně o jiný mindset – tedy o způsob, jakým IT funguje, kam se vyvíjí a jak se mu naučit přizpůsobovat.
Zatímco v on-premise je vystavení webu či aplikace proces, ke kterému je nutný zásah správce, v cloudu je tento směr opačný: ve výchozím nastavení a po vytvoření prostředků je velká část z nich automaticky veřejně dostupná.
Počítá se tedy s tím, že někdo musí přístup z internetu explicitně zakázat. To samozřejmě dříve či později vede k tomu, že nejde uhlídat, které prostředky budou veřejně dostupné. K jejich tvorbě je tedy potřeba přistupovat jinak.
Z velké části nám může pomoci tvorba pomocí kódu (IaC), kdy se dá lépe hlídat, jak budou prostředky vytvářeny. Druhým pomocníkem je CSPM řešení, které vytvoření zranitelného prostředku rovnou zablokuje nebo ihned hlásí.
Když CSPM chybí
Ukažme si to na jednoduchém příkladu od našeho zákazníka:
„V našem Azure prostředí máme aplikaci pro automatické zpracování faktur, která využívá jako jednu z komponent i storage account. Ten je ovšem nenakonfigurovaný, povoluje přístup z internetu, a navíc ještě umožňuje ověření pomocí SAS klíčů.
Pokud dojde k úniku dat od některého ze správců, který měl klíč uložený, může klíč využít útočník. A protože je storage account veřejně dostupný, tak se k němu přihlásí a data si stáhne.
V takovém případě už má útočník v rukách velkou část účetnictví, aniž by to kdokoliv věděl.“
Uvedený problém má dvě hlavní roviny. Tou první je, že vůbec bylo možné takto nezabezpečený storage account vytvořit. Druhou rovinou je chybějící monitoring i logování nebo neexistující analýza přístupů, kvůli čemuž se o případném zneužití nemusí nikdo dozvědět.
Cloud security posture management od Azure
Microsoft v rámci svého cloudu Azure nabízí základní bezplatné CSPM i placenou verzi s pokročilými funkcemi.
V rámci základní verze dostaneme inventář našich prostředků, které jsou v Azure nebo v napojeném prostředí (AWS, GCP, částečně i on-premise), a to společně s nálezy a doporučeními na jejich mitigaci. Na základě vytvořeného secure score získáváme představu, v jakém stavu se naše prostředí nachází.
Základní verze se opírá o Microsoft Cloud Security Benchmark, zatímco v placené verzi dostaneme možnost využít i další baseline (DORA, PCI-DSS apod.). Díky tomu získáme přehled o našem prostředí, jak je nastavené a zabezpečené.
Součástí cloud security posture managementu v Azure je také nástroj Azure Policy. Nejenže hlídá IT prostředí, jestli splňuje dané podmínky, ale také blokuje vytváření nevhodných nebo špatně nakonfigurovaných prostředků. Remediace poté umožňuje automaticky některé prostředky dokonfigurovat nebo upravit.
Politiky existují na většinu běžných zdrojů a stále se rozšiřují. Přestože je každá společnost unikátní, dá se jako dobrý základ použít Microsoft Cloud Security Benchmark set politik, který pokrývá většinu běžných prostředků.
Politiky CSPM v Azure
Zobrazit více…
- Agentless scanning
Platí jak pro VM, tak pro kontejnery. CSPM kontinuálně skenuje dané objekty a hledá zranitelnosti a miskonfigurace – bez nutnosti instalace agenta nebo jiného zásahu dovnitř OS nebo kontejneru. - Attack paths
Vizualizuje cesty, kudy je možné se dostat dovnitř a jak velký dopad může nějaká zranitelnost mít. Na rozdíl od informace „máme zranitelné VM“ je zde přidána celá cesta, co může taková zranitelnost způsobit (kam se dá z daného VM připojit a jaké další prostředky mohou být v ohrožení). - EASM (External attack surface management)
Funkce se netýká pouze cloudového prostředí, ale všech veřejně dostupných prostředků, které služba díky námi zadaným parametrům najde – tedy certifikáty, domény, IP adresy a další. U nich nám dává informace, že něco expirovalo, že je někde použité slabé šifrování nebo tam běží služba, která není zabezpečená. - DevOps
Zaměřuje se i na dnes stále více a více populární IaC. CSPM skenuje kód, vyhledává miskonfigurace, využití secretů v rámci kódu, použití zranitelných komponent nebo např. deployment prostředků, které jsou v rozporu s pravidly organizace. Tím nám pomáhá předejít tvorbě zranitelných prostředků. - Regulatory compliance
Konkrétní benchmarky a politiky nám pomáhají udržovat prostředí v souladu se směrnicemi NIS2, ISO27001 aj. Ukazují nám, kde zrovna „compliant“ jsme, kde ne a čím bychom mohli stav vylepšit. - AI security posture management
AI si vysloužilo vlastní security posture management. Tedy místo, kde vidíme vytvořené AI prostředky, jejich zabezpečení, doporučení pro jejich konfiguraci a nalezené zranitelnosti v knihovnách, které se v rámci AI běžně používají (LangChain, PyTorch). To celé se poté doplňuje Defender for AI.
Microsoft také nabízí řadu produktů Defender for Cloud k ochraně konkrétních typů prostředků (Defender for AI, Defender for Database…). S jejich pomocí dokážeme pokrýt celý cloudový svět a získat ještě větší úroveň ochrany.
Proč cloud security posture management od Tenable
Kromě Microsoft řešení existují samozřejmě i alternativy v podání produktů třetích stran. Jednou z nich je Tenable se svou cloud security sadou produktů včetně CSPM.
CSPM od Tenable není pouze o skenování a doporučení, co a jak opravovat. Přináší řadu dalších zajímavých funkcí v oblastech identity a práva, bezpečnosti dat a AI nebo integrace na DevSecOps, což je v dnešní době obecně žhavé téma. Zaujmou také automatické politiky a možnosti remediace – tedy i možnost rovnou aplikovat změny a řešit zranitelnosti přímo z Tenable portálu.
Motivací, proč používat jiné řešení než to od Microsoftu, může být více. Pro některé zákazníky je důležité využívat k analýze a ochraně našeho IT prostředí jiného nezávislého vendora.
Pro někoho můžou být důvodem lepší licenční podmínky nebo zajímavější složení funkcí v daném plánu. Týká se to třeba zákazníků s Tenable One, kteří jsou schopni v rámci licence začlenit pouze část cloud security, přičemž někteří ani nemusí vědět, že mají nárok na používání cloudové ochrany.
Pro jiného zákazníka může být přidaná hodnota v tom, že už Tenable využívá. Nemusí tedy integrovat další produkt, jen rozšíří portfolio služeb, které pomocí Tenable chrání. Nedá obecně říct, které řešení je lepší. Vždy záleží na daném zákazníkovi, prostředí a na konkrétních požadavcích. Je ale určitě vhodné se při výběru svého CSPM podívat i na další alternativy.
Praktické tipy pro implementaci cloud security posture management v Azure
Na co bychom si měli dát pozor, čemu se máme raději vyhnout a co je lehce skryté, ale přesto to za to stojí?
- Nespoléhejme se pouze a jen na CSPM.
Můžeme ho brát jako všestranného a velice schopného pomocníka. Ale i přesto musíme počítat s tím, že je někdy potřeba přidat výjimky, nastavit jednotlivé remediace nebo upravit, co a jak skenuje. - Nepoužívejme pro různé cloudy různé produkty
Na začátku se to možná jeví jako dobrý nápad, časem se z něj však stává noční můra – víc konzolí znamená víc reportů a různé chování. Pokud to tedy alespoň trochu jde, jeden produkt pro všechny cloudy nám ušetří dost starostí. - Bezpečnost již v IaC
Neřešme bezpečnost na základě doporučení až poté, co IT prostředí stojí. Mysleme na ni od začátku, již ve fázi návrhu a implementace. - Začněte v malém
Není rozumné pustit se bezhlavě do implementace CSPM v plném rozsahu. Často bývá lepší začít s cloud security posture managementem v malém rozsahu, kde nastavení a chování odladíme. - Vlastníci jednotlivých oblastí
Určete, kdo bude za dané nálezy a výjimky v určitém prostředí odpovědný. Stanovte také, kdo se bude starat o samotný nástroj CSPM – kdo ho bude rozvíjet, udržovat, vytvářet a upravovat procesy kolem něj tak, aby byl stále užitečný. - Nepodceňte vzdělávání a školení
Jako každý nový systém i CSPM je potřeba si nedříve osahat a naučit se s ním pracovat. Není nic horšího než nasazený systém, do kterého nikdo nekouká a nikdo se v něm nevyzná.
Zajišťování bezpečnosti v cloudu je kontinuální, nikdy nekončící proces. Je důležité nespoléhat se během něj pouze na poskytovatele cloudu, který se stará pouze o některé části prostředí. Abyste neriskovali finanční či reputační újmu, je rozumnější vzít na pomoc někoho, kdo má s provozem a zabezpečením IT prostředí zkušenosti. Naši experti se opírají o certifikace, kontinuální vzdělávání a stovky projektů po celé Evropě. Pokud tedy zvažujete, zda cloud security posture management v Azure nasadit, kontaktujte nás – rádi pomůžeme.
