Beskerming van Azure Virtual Machines met Azure Security Center (Defender for Cloud)

Beskerming van Azure Virtual Machines met Azure Security Center (Defender for Cloud)

01/08/2024

Hierdie tegniese en opvoedkundige artikel het ten doel om sekuriteitsontleders, IT-administrateurs en stelselingenieurs te lei in die gebruik van Microsoft Defender for Cloud (voorheen Azure Security Center) om Azure Virtual Machines (VM's) te beskerm. Defender for Cloud is 'n omvattende wolk sekuriteit postuur bestuur (CSPM) en wolk werklading beskerming (CWPP) oplossing wat sigbaarheid, sekuriteit aanbevelings, bedreiging opsporing, en beskerming vermoëns bied vir VM's, om te verseker dat hulle veilig bly en voldoen [1].

Inleiding

Virtuele masjiene is 'n fundamentele komponent van baie wolkinfrastruktuur, wat kritiese toepassings, databasisse en noodsaaklike dienste huisves. Sekuriteit van VM's in die wolk is egter 'n gedeelde verantwoordelikheid tussen die wolkverskaffer (Azure) en die kliënt. Wankonfigurasies, verouderde sagteware, bekende kwesbaarhede en ongemagtigde toegang kan VM's aan 'n wye reeks kuberbedreigings blootstel. Microsoft Defender for Cloud vereenvoudig die taak om VM's te beskerm deur 'n verenigde siening van sekuriteitsposisie te verskaf, kwesbaarhede proaktief te identifiseer en gevorderde bedreigingsbeskerming te bied, alles inheems geïntegreer in die Azure-omgewing [2].

Hierdie praktiese gids sal die integrasie van VM's met Defender for Cloud dek, die aktivering van die Defender for Servers-plan, die ontleding en implementering van sekuriteitsaanbevelings, die opstel van Just-in-Time (JIT) toegang en die opsporing van bedreigings. Stap-vir-stap instruksies, voorbeeld Azure CLI opdragte en instruksies sal verskaf word sodat die leser 'n robuuste VM beskerming strategie kan implementeer, wat die aanval oppervlak verminder en die kuberveerkragtigheid van hul Azure infrastruktuur versterk.

Waarom is Microsoft Defender for Cloud van kardinale belang vir VM's?

  • Security Posture Management (CSPM): Evalueer deurlopend VM-konfigurasie teen sekuriteit beste praktyke en regulatoriese standaarde, wat uitvoerbare aanbevelings verskaf.
  • Werkladingsbeskerming (CWPP): Bied gevorderde bedreigingsbeskerming, insluitend opsporing van wanware, toepassingbeheer, monitering van lêerintegriteit en netwerkbeskerming vir VM's.
  • Gesentraliseerde sigbaarheid: Konsolideer sekuriteitswaarskuwings en aanbevelings van verskeie bronne in 'n enkele kontroleskerm, wat sekuriteitsbestuur vereenvoudig.
  • Just-in-Time (JIT) Toegang: Verminder die aanvaloppervlak van VM's deur toegang tot bestuurpoorte te beperk slegs wanneer nodig en vir 'n beperkte tydperk.
  • Inheemse integrasie: Integreer naatloos met ander Azure-dienste en Microsoft 365 Defender-oplossings, wat 'n verenigde sekuriteitservaring bied.
  • Outomatisering: Laat jou toe om kwesbaarheidskorreksie en insidentreaksie te outomatiseer, wat sekuriteitsbedrywighede optimaliseer.

Voorvereistes

Om Azure Virtual Machines met Azure Security Center te beskerm, benodig u die volgende items:

  1. Aktiewe Azure-intekening: 'n Azure-intekening om hulpbronne te skep en te bestuur.
  2. Administratiewe toegang: 'n Rekening met die rol van Eienaar, Contributor of Sekuriteitsadministrateur in die Azure-intekening, of in die hulpbrongroep waar die VM'e geleë is.
  3. Bestaande Azure Virtual Machines: Azure VM's wat jy wil beskerm. Vir hierdie tutoriaal sal ons aanvaar dat jy reeds VM's ontplooi het.
  4. Opsioneel: Azure CLI of Azure PowerShell: Vir outomatisering en bestuur via opdragreël.

Stap vir stap: Beskerm VM's met sekuriteitsentrum

Kom ons stel sekuriteitsentrum op om u Azure VM's te beskerm.

1. Aktiveer Microsoft Defender vir Wolk in jou intekening

Defender for Cloud is intekening-geaktiveer. As dit nie reeds geaktiveer is nie, volg hierdie stappe:

  1. Maak jou blaaier oop en navigeer na die Azure-portaal: https://portal.azure.com.
  2. Meld aan met 'n rekening wat die nodige toestemmings het.
  3. In die boonste soekveld, tik Defender for Cloud en kies dit uit die resultate.
  4. In die Defender for Cloud-kontroleskerm, kies Omgewinginstellings in die linkernavigasiepaneel.
  5. Kies die Azure-intekening wat jou VM's bevat.
  6. Op die Defender-planne-bladsy, maak seker dat die Defender for Servers-plan Ageaktiveer. As dit nie is nie, klik Aktiveer en volg die instruksies om dit te aktiveer. Hierdie plan is noodsaaklik vir gevorderde VM-beskerming [4].

2. Virtuele masjien aanboord

Voordat Sekuriteitsentrum jou VM's kan monitor en beskerm, moet die Log Analytics-agent (ook bekend as Microsoft Monitoring Agent - MMA) geïnstalleer word. Vir Azure VM's word dit tipies outomaties gedoen wanneer die Defender for Servers-plan geaktiveer word. Vir nie-Azure VM's, sal jy hulle via Azure Arc moet aanboord.

  1. Nadat Defender for Servers geaktiveer is, sal Defender for Cloud probeer om die Log Analytics-agent outomaties op alle Azure VM's in die intekening te voorsien.
  2. Jy kan die agentstatus nagaan in Batevoorraad in Sekuriteitsentrum. Filtreer volgens Hulpbrontipe = Virtuele masjiene.
  3. Klik 'n VM om sy gesondheidstatus te sien en of die agent geïnstalleer is.

3. Hersiening van sekuriteitsaanbevelings

Sekuriteitsentrum assesseer voortdurend jou VM'e en verskaf aanbevelings om jou sekuriteitsposisie te verbeter.

  1. In die Defender for Cloud-kontroleskerm, kies Aanbevelings in die linkernavigasiepaneel.
  2. Filtreer aanbevelings volgens Hulpbrontipe = Virtuele masjiene.

  3. Jy sal 'n lys aanbevelings sien soos Kwesbaarhede in jou virtuele masjiene moet reggemaak word, JIT-toegang tot die bestuurpoort moet op jou virtuele masjiene aangepas word of MFA moet geaktiveer word op rekeninge met leestoestemmings op jou intekeninge.

  4. Klik 'n aanbeveling (bv. Kwesbaarhede in jou virtuele masjiene moet reggemaak word) om besonderhede te sien.

    • Jy sal 'n beskrywing van die kwesbaarheid, die potensiële impak en 'n lys van geaffekteerde VM's sien.
    • Defender for Cloud integreer met Microsoft Defender Vulnerability Management om 'n omvattende kwesbaarheidsbeoordeling vir jou VM's te verskaf.

4. Implementering van Just-in-Time (JIT) Toegang vir VM'e

JIT-toegang verminder die aanvaloppervlak van jou VM's deur te verseker dat bestuurpoorte (bv. RDP 3389, SSH 22) slegs oop is wanneer nodig en vir 'n beperkte tydperk.

  1. In die Sekuriteitsentrum-kontroleskerm, kies Werkladingsbeskerming > Net-betyds VM-toegang.

  2. Jy sal 'n lys van JIT-geskikte VM'e sien. Kies 'n VM en klik Enable JIT on VM.

  3. Stel die poorte op wat deur JIT beskerm moet word (bv: 3389 vir RDP, 22 vir SSH).

  4. Definieer die Maksimum versoek tyd (bv: 3 uur) en die toegelate Protokolle.
  5. Stel die Goedgekeurde Bron IP-adresse (opsioneel, om toegang verder te beperk).
  6. Klik Stoor.

Versoek JIT-toegang

Wanneer 'n gebruiker toegang tot die VM moet kry:

  1. In die Sekuriteitsentrum-kontroleskerm, kies Werkladingsbeskerming > Net-betyds VM-toegang.
  2. Kies die VM waartoe jy toegang wil hê en klik Versoek toegang.
  3. Spesifiseer die poort, toegangstyd en bron-IP-adres.
  4. Klik Open Ports.

5. Bedreigingopsporing en sekuriteitwaarskuwings

Defender for Cloud monitor jou VM's voortdurend vir verdagte aktiwiteite en bedreigings.

  1. In die Defender for Cloud-kontroleskerm, kies Sekuriteitwaarskuwings in die linkernavigasiepaneel.

  2. Jy sal 'n lys van waarskuwings sien wat vir jou VM's gegenereer is, gekategoriseer volgens erns (bv. VM Brute Force Attempt, Verdagte PowerShell-aktiwiteit).

  3. Klik 'n waarskuwing om besonderhede te sien, insluitend:

    • Beskrywing: Verduidelik die aard van die bedreiging.
    • Hulpbronne geraak: Die betrokke VM.
    • Aanbevole aksies: Stappe om die waarskuwing te ondersoek en reg te stel.
    • Aanval Tydlyn: 'n Visuele voorstelling van die volgorde van gebeure.

Bekragtiging en toetsing

Om die beskerming van VM's met Sekuriteitsentrum te valideer, behels die verifiëring dat aanbevelings gegenereer word, beskerming toegepas word en waarskuwings bespeur word.

1. Kontroleer sekuriteitsaanbevelings

  1. Skep 'n nuwe Azure VM sonder om alle aanbevole sekuriteitsinstellings toe te pas (bv. geen skyfkodering, geen sekuriteitsopdaterings nie).
  2. Wag 'n paar uur vir Sekuriteitsentrum om die VM te evalueer.
  3. Gaan die Sekuriteitsentrum Aanbevelings-kontroleskerm na om te sien of sekuriteitsaanbevelings vir die nuwe VM gegenereer is.

2. Toets JIT Toegang

  1. Probeer om toegang te verkry tot 'n JIT-beskermde poort (bv. RDP) aan'n VM sonder om JIT-toegang te versoek.
    • Verwagte resultaat: Die verbinding moet geweier word.
  2. Versoek JIT-toegang vir die verlangde VM en poort.
  3. Probeer weer toegang tot die poort binne die toegelate tydperk.
    • Verwagte resultaat: Die verbinding behoort suksesvol te wees.

3. Simuleer 'n sekuriteitswaarskuwing

  1. Op 'n toets-VM wat deur Sekuriteitsentrum beskerm word, probeer om 'n aktiwiteit uit te voer wat 'n waarskuwing kan genereer (bv. probeer om verskeie kere aan te meld met verkeerde geloofsbriewe via RDP om brute force te simuleer).
  2. Wag 'n paar minute.
  3. Gaan die Defender for Cloud Sekuriteitwaarskuwings-kontroleskerm na om te sien of 'n waarskuwing vir die VM gegenereer is.

Sekuriteitswenke en beste praktyke

  • Aktiveer Defender for Servers: Maak seker dat die Defender for Servers-plan vir alle intekeninge en VM's geaktiveer is vir die mees omvattende beskerming.
  • Volg aanbevelings: Monitor en implementeer gereeld sekuriteitsaanbevelings wat deur Defender for Cloud verskaf word om 'n robuuste sekuriteitsposisie te handhaaf.
  • JIT-toegang vir bestuurpoorte: Gebruik altyd JIT-toegang vir VM-bestuurpoorte om die aanvaloppervlak te minimaliseer en teen brute force-aanvalle en poortskanderings te beskerm.
  • Integrasie met Azure-beleid: Gebruik Azure-beleid om sekuriteitstandaarde af te dwing en te verseker dat VM's van die begin af met veilige konfigurasies ontplooi word.
  • Patch Management: Hou die bedryfstelsel en toepassings op jou VM's op datum met die nuutste sekuriteitsreëlings.
  • Beginsel van die minste voorreg: Gee slegs die nodige toestemmings aan gebruikers en dienste wat met jou VM'e interaksie het.
  • Logboekmonitering: Integreer VM-sekuriteitlogboeke met Azure Monitor en Microsoft Sentinel vir gesentraliseerde analise en gevorderde bedreigingsopsporing.

Algemene probleemoplossing

  • VM's verskyn nie in Defender for Cloud: Kontroleer dat die intekening aan boord is en dat die Defender for Servers-plan aktief is. Maak seker dat die Log Analytics-agent geïnstalleer is en op die VM loop. Kontroleer die VM se netwerkverbinding met die Log Analytics-eindpunte.
  • Geen aanbevelings vir VM'e gegenereer nie: Dit kan Sekuriteitsentrum 'n geruime tyd neem om VM'e te evalueer na aan boord. Maak seker die agent stuur data. Kyk vir gekonfigureerde uitsluitings wat assessering moontlik verhinder.
  • JIT-toegang werk nie: Verifieer dat JIT vir die VM en vir die korrekte poorte geaktiveer is. Maak seker dat die bron-IP-adres in die JIT-toegangsversoek ooreenstem met jou publieke IP-adres. Gaan Azure-aktiwiteitlogboeke na vir JIT-verwante foute.
  • Ontbrekende sekuriteitswaarskuwings: Verifieer dat die Defender for Servers-plan aktief is. Maak seker dat die Log Analytics-agent sekuriteitsdata stuur. Kyk of jy waarskuwingsuitsluitings opgestel het.
  • Agentprestasiekwessies: As die Log Analytics-agent prestasieprobleme op jou VM veroorsaak, gaan jou hulpbronvereistes na en oorweeg dit om jou data-insamelinginstellings aan te pas.

Gevolgtrekking

Microsoft Defender for Cloud is 'n onontbeerlike hulpmiddel vir die beskerming van Azure Virtual Machines, wat 'n geïntegreerde benadering tot sekuriteitshoudingbestuur en gevorderde bedreigingsbeskerming bied. Deur die Defender for Servers-plan te aktiveer, sekuriteitsaanbevelings te implementeer, Just-in-Time toegang op te stel en waarskuwings te monitor, kan organisasies die risiko's wat met hul wolk-VM's geassosieer word aansienlik verminder. Doeltreffende gebruik van Sekuriteitsentrum, gekombineer met beste sekuriteitspraktyke en integrasie met ander Azure-dienste, verseker dat VM's 'n veilige en veerkragtige bate in jou wolkinfrastruktuur is. Met hierdie praktiese gids sal sekuriteitspersoneel goed toegerus wees om hul Azure Virtual Machines te beskerm terwyl hulle 'n veilige en voldoenende omgewing handhaaf.

Verwysings:

[1] Microsoft Learn. Wat is Microsoft Defender for Cloud?. Beskikbaar by: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/defender-for-cloud-introduction [2] Microsoft Learn. Beskerm jou bedieners met Defender for Servers. Beskikbaar by: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/tutorial-enable-servers-plan [3] Microsoft Learn. Just-in-Time (JIT) toegang tot die VM. Beskikbaar by: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/just-in-time-access-usage [4] Microsoft Learn. Ondersteuningsmatriks vir virtuele masjiene. Beskikbaar by: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/support-matrix-compute