Protegendo Máquinas Virtuais Azure com o Azure Security Center (Defender for Cloud)

Protegendo Máquinas Virtuais Azure com o Azure Security Center (Defender for Cloud)

01/08/2024

Este artigo técnico e educativo tem como objetivo guiar analistas de segurança, administradores de TI e engenheiros de sistemas na utilização do Microsoft Defender for Cloud (anteriormente Azure Security Center) para proteger Máquinas Virtuais (VMs) Azure. O Defender for Cloud é uma solução abrangente de gerenciamento de postura de segurança na nuvem (CSPM) e proteção de cargas de trabalho na nuvem (CWPP) que oferece visibilidade, recomendações de segurança, detecção de ameaças e recursos de proteção para VMs, garantindo que elas permaneçam seguras e em conformidade [1].

Introdução

As Máquinas Virtuais são um componente fundamental de muitas infraestruturas de nuvem, hospedando aplicações críticas, bancos de dados e serviços essenciais. No entanto, a segurança das VMs na nuvem é uma responsabilidade compartilhada entre o provedor de nuvem (Azure) e o cliente. Configurações incorretas, software desatualizado, vulnerabilidades conhecidas e acesso não autorizado podem expor as VMs a uma ampla gama de ameaças cibernéticas. O Microsoft Defender for Cloud simplifica a tarefa de proteger VMs, fornecendo uma visão unificada da postura de segurança, identificando proativamente vulnerabilidades e oferecendo proteção avançada contra ameaças, tudo isso integrado nativamente ao ambiente Azure [2].

Este guia prático abordará a integração de VMs com o Defender for Cloud, a ativação do plano Defender for Servers, a análise e implementação de recomendações de segurança, a configuração de acesso Just-in-Time (JIT) e a detecção de ameaças. Serão fornecidas instruções passo a passo, exemplos de comandos Azure CLI e para que o leitor possa implementar uma estratégia robusta de proteção de VMs, reduzindo a superfície de ataque e fortalecendo a resiliência cibernética de sua infraestrutura Azure.

Por que o Microsoft Defender for Cloud é crucial para VMs?

  • Gerenciamento de Postura de Segurança (CSPM): Avalia continuamente a configuração das VMs em relação às melhores práticas de segurança e padrões regulatórios, fornecendo recomendações acionáveis.
  • Proteção de Cargas de Trabalho (CWPP): Oferece proteção avançada contra ameaças, incluindo detecção de malware, controle de aplicativos, monitoramento de integridade de arquivos e proteção de rede para VMs.
  • Visibilidade Centralizada: Consolida alertas de segurança e recomendações de várias fontes em um único painel, simplificando o gerenciamento de segurança.
  • Acesso Just-in-Time (JIT): Reduz a superfície de ataque de VMs, limitando o acesso a portas de gerenciamento apenas quando necessário e por um período limitado.
  • Integração Nativa: Integra-se perfeitamente com outros serviços Azure e soluções Microsoft 365 Defender, proporcionando uma experiência de segurança unificada.
  • Automação: Permite automatizar a correção de vulnerabilidades e a resposta a incidentes, otimizando as operações de segurança.

Pré-requisitos

Para proteger Máquinas Virtuais Azure com o Microsoft Defender for Cloud, você precisará dos seguintes itens:

  1. Assinatura Azure Ativa: Uma assinatura Azure para criar e gerenciar recursos.
  2. Acesso Administrativo: Uma conta com a função de Proprietário, Colaborador ou Administrador de Segurança na assinatura Azure, ou no grupo de recursos onde as VMs estão localizadas.
  3. Máquinas Virtuais Azure Existentes: VMs Azure que você deseja proteger. Para este tutorial, assumiremos que você já possui VMs implantadas.
  4. Opcional: Azure CLI ou Azure PowerShell: Para automação e gerenciamento via linha de comando.

Passo a Passo: Protegendo VMs com o Defender for Cloud

Vamos configurar o Defender for Cloud para proteger suas VMs Azure.

1. Habilitando o Microsoft Defender for Cloud na sua Assinatura

O Defender for Cloud é habilitado por assinatura. Se ainda não estiver habilitado, siga estes passos:

  1. Abra seu navegador e navegue até o portal do Azure: https://portal.azure.com.
  2. Faça login com uma conta que tenha as permissões necessárias.
  3. No campo de pesquisa superior, digite Defender for Cloud e selecione-o nos resultados.
  4. No painel do Defender for Cloud, selecione Configurações de ambiente no painel de navegação esquerdo.
  5. Selecione a assinatura Azure que contém suas VMs.
  6. Na página de planos do Defender, certifique-se de que o plano Defender for Servers esteja Ativado. Se não estiver, clique em Ativar e siga as instruções para habilitá-lo. Este plano é essencial para a proteção avançada de VMs [4].

2. Onboarding de Máquinas Virtuais

Para que o Defender for Cloud possa monitorar e proteger suas VMs, elas precisam ter o agente do Log Analytics (também conhecido como Microsoft Monitoring Agent - MMA) instalado. Para VMs Azure, isso geralmente é feito automaticamente quando o plano Defender for Servers é ativado. Para VMs não-Azure, você precisará integrá-las via Azure Arc.

  1. Após ativar o Defender for Servers, o Defender for Cloud tentará provisionar automaticamente o agente do Log Analytics em todas as VMs Azure na assinatura.
  2. Você pode verificar o status do agente em Inventário de ativos no Defender for Cloud. Filtre por Tipo de recurso = Máquinas virtuais.
  3. Clique em uma VM para ver seu estado de saúde e se o agente está instalado.

3. Revisando Recomendações de Segurança

O Defender for Cloud avalia continuamente suas VMs e fornece recomendações para melhorar sua postura de segurança.

  1. No painel do Defender for Cloud, selecione Recomendações no painel de navegação esquerdo.
  2. Filtre as recomendações por Tipo de recurso = Máquinas virtuais.

  3. Você verá uma lista de recomendações, como As vulnerabilidades em suas máquinas virtuais devem ser corrigidas, O acesso JIT à porta de gerenciamento deve ser adaptado em suas máquinas virtuais ou O MFA deve ser habilitado em contas com permissões de leitura em suas assinaturas.

  4. Clique em uma recomendação (ex: As vulnerabilidades em suas máquinas virtuais devem ser corrigidas) para ver os detalhes.

    • Você verá uma descrição da vulnerabilidade, o impacto potencial e uma lista das VMs afetadas.
    • O Defender for Cloud se integra com o Microsoft Defender Vulnerability Management para fornecer uma avaliação de vulnerabilidades abrangente para suas VMs.

4. Implementando Acesso Just-in-Time (JIT) para VMs

O acesso JIT reduz a superfície de ataque de suas VMs, garantindo que as portas de gerenciamento (ex: RDP 3389, SSH 22) estejam abertas apenas quando necessário e por um período limitado.

  1. No painel do Defender for Cloud, selecione Proteção de carga de trabalho > Acesso à VM Just-in-Time.

  2. Você verá uma lista de VMs elegíveis para JIT. Selecione uma VM e clique em Habilitar JIT na VM.

  3. Configure as portas que devem ser protegidas por JIT (ex: 3389 para RDP, 22 para SSH).

  4. Defina o Tempo máximo de solicitação (ex: 3 horas) e os Protocolos permitidos.
  5. Defina os Endereços IP de origem aprovados (opcional, para restringir ainda mais o acesso).
  6. Clique em Salvar.

Solicitando Acesso JIT

Quando um usuário precisa acessar a VM:

  1. No painel do Defender for Cloud, selecione Proteção de carga de trabalho > Acesso à VM Just-in-Time.
  2. Selecione a VM que você deseja acessar e clique em Solicitar acesso.
  3. Especifique a porta, o tempo de acesso e o endereço IP de origem.
  4. Clique em Abrir portas.

5. Detecção de Ameaças e Alertas de Segurança

O Defender for Cloud monitora continuamente suas VMs em busca de atividades suspeitas e ameaças.

  1. No painel do Defender for Cloud, selecione Alertas de segurança no painel de navegação esquerdo.

  2. Você verá uma lista de alertas gerados para suas VMs, categorizados por severidade (ex: Tentativa de força bruta em VM, Atividade suspeita de PowerShell).

  3. Clique em um alerta para ver os detalhes, incluindo:

    • Descrição: Explica a natureza da ameaça.
    • Recursos afetados: A VM envolvida.
    • Ações recomendadas: Passos para investigar e remediar o alerta.
    • Linha do tempo do ataque: Uma representação visual da sequência de eventos.

Validação e Teste

Validar a proteção de VMs com o Defender for Cloud envolve verificar se as recomendações são geradas, as proteções são aplicadas e os alertas são detectados.

1. Verificando Recomendações de Segurança

  1. Crie uma nova VM Azure sem aplicar todas as configurações de segurança recomendadas (ex: sem criptografia de disco, sem atualizações de segurança).
  2. Aguarde algumas horas para que o Defender for Cloud avalie a VM.
  3. Verifique o painel de Recomendações do Defender for Cloud para ver se as recomendações de segurança para a nova VM foram geradas.

2. Testando o Acesso JIT

  1. Tente acessar uma porta protegida por JIT (ex: RDP) em uma VM sem solicitar acesso JIT.
    • Resultado Esperado: A conexão deve ser recusada.
  2. Solicite acesso JIT para a VM e a porta desejada.
  3. Tente acessar a porta novamente dentro do período de tempo concedido.
    • Resultado Esperado: A conexão deve ser bem-sucedida.

3. Simulando um Alerta de Segurança

  1. Em uma VM de teste protegida pelo Defender for Cloud, tente realizar uma atividade que possa gerar um alerta (ex: tentar várias vezes fazer login com credenciais incorretas via RDP para simular uma força bruta).
  2. Aguarde alguns minutos.
  3. Verifique o painel de Alertas de segurança do Defender for Cloud para ver se um alerta foi gerado para a VM.

Dicas de Segurança e Melhores Práticas

  • Habilite o Defender for Servers: Garanta que o plano Defender for Servers esteja ativado para todas as assinaturas e VMs para obter a proteção mais abrangente.
  • Acompanhe as Recomendações: Monitore e implemente regularmente as recomendações de segurança fornecidas pelo Defender for Cloud para manter uma postura de segurança robusta.
  • Acesso JIT para Portas de Gerenciamento: Sempre utilize o acesso JIT para portas de gerenciamento de VMs para minimizar a superfície de ataque e proteger contra ataques de força bruta e varreduras de porta.
  • Integração com Azure Policy: Use o Azure Policy para impor padrões de segurança e garantir que as VMs sejam implantadas com configurações seguras desde o início.
  • Gerenciamento de Patches: Mantenha o sistema operacional e as aplicações em suas VMs atualizadas com os patches de segurança mais recentes.
  • Princípio do Privilégio Mínimo: Conceda apenas as permissões necessárias para usuários e serviços que interagem com suas VMs.
  • Monitoramento de Logs: Integre os logs de segurança das VMs com o Azure Monitor e o Microsoft Sentinel para análise centralizada e detecção avançada de ameaças.

Troubleshooting Comum

  • VMs não aparecem no Defender for Cloud: Verifique se a assinatura está onboarded e se o plano Defender for Servers está ativo. Certifique-se de que o agente do Log Analytics está instalado e funcionando na VM. Verifique a conectividade de rede da VM para os endpoints do Log Analytics.
  • Nenhuma recomendação gerada para VMs: Pode levar algum tempo para o Defender for Cloud avaliar as VMs após o onboarding. Certifique-se de que o agente está enviando dados. Verifique se há exclusões configuradas que podem estar impedindo a avaliação.
  • Acesso JIT não funciona: Verifique se o JIT está habilitado para a VM e para as portas corretas. Certifique-se de que o endereço IP de origem na solicitação de acesso JIT corresponde ao seu endereço IP público. Verifique os logs de atividades do Azure para erros relacionados ao JIT.
  • Alertas de segurança ausentes: Verifique se o plano Defender for Servers está ativo. Certifique-se de que o agente do Log Analytics está enviando dados de segurança. Verifique se há exclusões de alertas configuradas.
  • Problemas de desempenho do agente: Se o agente do Log Analytics estiver causando problemas de desempenho na VM, verifique os requisitos de recursos e considere ajustar as configurações de coleta de dados.

Conclusão

O Microsoft Defender for Cloud é uma ferramenta indispensável para proteger Máquinas Virtuais Azure, oferecendo uma abordagem integrada para gerenciamento de postura de segurança e proteção avançada contra ameaças. Ao habilitar o plano Defender for Servers, implementar recomendações de segurança, configurar o acesso Just-in-Time e monitorar alertas, as organizações podem reduzir significativamente os riscos associados às suas VMs na nuvem. A utilização eficaz do Defender for Cloud, combinada com as melhores práticas de segurança e a integração com outros serviços Azure, garante que as VMs sejam um ativo seguro e resiliente na sua infraestrutura de nuvem. Com este guia prático, os profissionais de segurança estarão bem equipados para proteger suas Máquinas Virtuais Azure, mantendo um ambiente seguro e em conformidade.

Referências:

[1] Microsoft Learn. O que é o Microsoft Defender for Cloud?. Disponível em: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/defender-for-cloud-introduction [2] Microsoft Learn. Proteger seus servidores com o Defender for Servers. Disponível em: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/tutorial-enable-servers-plan [3] Microsoft Learn. Acesso Just-in-Time (JIT) à VM. Disponível em: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/just-in-time-access-usage [4] Microsoft Learn. Matriz de suporte para máquinas virtuais. Disponível em: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/support-matrix-compute