În urmă cu mai bine de douăzeci de ani, în timpul pregătirii de peste șase luni pentru a obține certificarea Microsoft Certified System Engineer pentru platforma Windows Server 2000, luam contact cu viziunea pe care compania Microsoft o avea, la acel moment, asupra nevoii de implementare a mecanismelor de securitate ale platformei server și a tehnologiilor incluse în sistemul de operare sau livrate ca produse destinate securității.
Pentru un viitor specialist pe platforma Windows Server, soluția oferită de vendor era de a pune la dispoziție două cărți de peste 1000 de pagini denumite "Ghidul de implementare a securității în platformele Microsoft Server și Desktop", sub forma unui set de bune practici legate de activarea politicilor de securitate și a regulilor de firewall pentru securizarea traficului de rețea.
În anii care au urmat, Microsoft a pus la dispoziția companiilor produse destinate implementării protecției și securizării infrastructurilor bazate pe Windows Server. Dintre acestea menționez Internet Security and Acceleration Server (ISA Server) sau familia Microsoft Forefront ce oferea produse pentru diversele nevoi de securitate ale companiilor: succesorul lui ISA Server rebotezat Threat Management Gateway, produse dedicate platformei de mesagerie Microsoft Exchange și de colaborare Microsoft SharePoint, Unified Access gateway ca succesor al platformei de completare ISA Server numită Intelligent Application Gateway și lista poate fi completată de această prezentare a familiei Microsoft Forefront.
Bineînțeles că atenția vendorului a fost, întotdeauna, acordată îmbunătățirii permanente a sistemului de operare în care au fost incluse servicii axate pe securitate, politici avansate de control gestionate prin Active Directory și măsuri implicite de securizare a sistemului sub forma unor standarde de securitate integrate, în acord cu normativele globale. Odată cu activarea acestor tehnologii la nivelul platformelor Microsoft, acestea puteau fi securizate conform standardelor de securitate a informațiilor și sistemelor cum ar fi ISO/IEC 27001 și 27002, FISMA, CIS, NIST, PCI-DSS a căror listă o puteți consulta.
Simultan cu portarea platformelor software de mesagerie, colaborare și comunicare către platforma de cloud Office 365 (actuala Microsoft 365) și furnizarea de servicii cloud IaaS, PaaS și SaaS prin platforma Microsoft Azure, vechea abordare a implementării tehnologiilor de securitate a fost înlocuită și schimbată din temelii. În locul securității perimetrului ce oferea garanția protecției dispozitivelor și aplicațiilor conectate la acesta, a fost propus modelul Zero Trust Model ce asumă existența breșelor de securitate pe principiul "never trust, always verify". Astfel, fiecare cerere de accesare a platformei solicită o autentificare completă prin mecanisme multiple, un mod de autorizare adaptivă ce se mulează pe condițiile îndeplinite de dispozitivul solicitant și pe forțarea criptării și semnării digitale a informației înaintea acordării accesului.
Aceste moduri de scanare continuă a solicitantului, oferă garanția că, odată cu schimbarea condițiilor de conectare a dispozitivelor, sistemul de securitate va putea reacționa rapid, adaptându-se unor situații de expunere neprevăzute și neanticipate de istoricul de conectare. Pentru a face posibilă implementarea acestei paradigme, sunt aplicate mecanisme de micro segmentare, principiul implicit al celui mai mic privilegiu de conectare, platforma AI (inteligență artificială) ce analizează rapid volume mari de date provenite dintr-un număr ridicat de evenimente și răspunsul în timp real la anomaliile detectate.
Deși domeniul securității în cloud este unul foarte ridicat, în cele ce urmează se vor trece în revistă cele mai importante tehnologii pe care Microsoft le integrează cu platformele de cloud sau le oferă ca servicii complementare contra-cost companiilor ce vor să-și securizeze infrastructurile interne sau serviciile găzduite în platformele cloud Microsoft 365 și Azure.
În timp ce în infrastructurile On-premises ale organizațiilor, utilizatorii foloseau computere poziționate de regulă în rețeaua internă protejată, accesând aplicații și servicii stocate pe serverele din datacenterele companiei, beneficiind uneori de sisteme interne închise neexpuse conexiunilor din și către Internet, utilizatorii platformelor de cloud accesează aplicații și date din datacenterele globale ale vendorului, organizația nemaiavând controlul direct al conturilor de utilizator, al mediului de rețea și, mai ales, a multitudinii de dispozitive folosite de utilizator.
Modelul Zero Trust constă în verificarea permanentă a condițiilor de acces impuse atât utilizatorului, cât și a dispozitivului folosit (acces condițional), fără a acorda încredere acestora doar prin conectarea la perimetrul organizației.
Zero Trust Model - sursa site-ul oficial Microsoft
Componentele direct implicate în determinarea nivelului de încredere sunt următoarele:
Identity Provider - stabilește identitatea utilizatorului și informațiile asociate acestei identități;
Device Directory - validează integritatea dispozitivului și nivelul acestuia de protecție;
Policy Evaluation Service - determină dacă utilizatorul sau dispozitivul sunt conforme cu politicile de securitate;
Pentru a înțelege în profunzime acest concept, să analizăm împreună următorul studiu de caz:
Compania X pune utilizatorilor proprii o platforma de aplicație custom găzduită în datacenterul propriu pe serverele companiei. Utilizatorii interni accesează computerele companiei, conectate la rețeaua internă și sunt înrolate în platforma de identitate Microsoft Active Directory și controlate prin politicile de grup gestionate la nivel de domeniu. Accesul pe aplicație este permis dacă dispozitivele fac parte din domeniul AD și controlat pe baza politicilor implementate de utilizator și computer. În acest caz, mecanismele de securitate și auditare implementate la nivelul organizației acționează permanent asupra acestei infrastructuri, iar în eventualitatea scoaterii unui dispozitiv fizic în afara conexiunii, accesul la infrastructură este securizat prin implementarea unui canal VPN sau Direct Access și folosirea unui Web Application Proxy cu rol de analiză și control a cererii de conectare la resursele interne.
Acest model este înlocuit însă de organizație odată cu migrarea aplicațiilor interne către platformele cloud Microsoft Azure și Microsoft 365, utilizatorii accesând în prezent aplicațiile de pe o multitudine de dispozitive: laptop, tabletă, telefon, din spații publice expuse amenințărilor, prin intermediul unor conexiune gestionate de Internet Service Provideri diferiți. Adăugând și neomogenitatea sistemelor de operare ca Windows, Android, IOS, Linux, dar și nevoia de flexibilitate în fața modului de utilizare al dispozitivelor deținute atât pentru accesarea mediului enterprise, cât și pentru uz personal, iese clar în evidență de ce nu mai putem trata securitatea sistemului de informații pe modelul descris anterior.
Spre exemplu, utilizatorul poate accesa rapid de pe același dispozitiv resurse aflate în puncte geografice diferite la perioade mici de timp, lucru neîntâlnit în mediile on-premises, unde același utilizator nu putea fi simultan în doua locuri diferite fizic. Totodată, folosirea în scop personal a dispozitivelor trebuie să izoleze de facto datele companiei de datele personale și să le protejeze pe cele din urmă în cazul furtului dispozitivului prin wipping sau factory reset.
Pentru a implementa conceptul Zero Trust Security sunt necesare semnale pe baza cărora se vor lua deciziile și vor fi impuse constrângeri ce implementează aceste decizii. De exemplu, dacă utilizatorul se conectează din rețeaua internă este încadrat la un nivel de risc scăzut, ce se va transforma automat în nivel ridicat dacă dispozitivul folosește o rețea publică. La acest mod de stabilire a nivelului de risc pot însă contribui semnale diverse: locul dispozitivului, apartenența utilizatorului la grupuri stabilite pe criterii organizaționale, tipul aplicației accesate, tipul de validare al identității sau nivelul de îndeplinire al unor condiții impuse dispozitivului folosit: update-uri la zi, antivirus activ, versiunea sistemului de operare etc.
Implementarea Modelului Zero Trust - Sursa: site-ul oficial Microsoft
La baza acestor concepte se află următoarea afirmație: "Identity as a Service = the new control plane" ce înlocuiește vechiul principiu al controlului prin asocierea cu mediul de conectare ce avea la bază o structură bazată pe echipamente fizice, mecanisme de rutare și decizii de trimitere a pachetelor (Routing Information Base - RIB și Forwarding & Data Plane).
Un rol foarte important îl îndeplinește în acest model Azure Active Directory și On-premises Active Directory ce oferă de sine stătător sau hibrid serviciile de autentificare, identitate și managementul rolurilor precum și mecanismele de control: politicile de grup sau regulile de acces condițional, sprijinite de mecanisme suplimentare centrate pe nevoile de securizare și interconectate prin Microsoft graph Security API.
Microsoft Graph Security API - sursa: site-ul Microsoft docs
Prin Microsoft Graph Security se simplifică modul de interconectare a diferitelor soluții de securitate Microsoft sau oferite de parteneri, ceea ce face posibilă obținerea unei platforme ce valorifică la maximum experiența și funcționalitatea platformelor conectate. Fructificarea acestor platforme se realizează prin standardizarea și unificarea serviciilor de urmărire a alertelor, prin corelarea alertelor de securitate generate de surse multiple. De asemenea, selectarea mecanismelor cele mai eficiente de răspuns cu scopul protecției împotriva amenințărilor, simplificarea modului de derulare a investigațiilor pe baza datelor corelate, antrenarea permanentă a soluțiilor de securitate cu aportul tehnologiilor AI integrate și o atitudine proactivă în fața riscurilor de securitate semnalate completează seria de demersuri care dau măsura valorii acestor platforme.
Sunt astfel vizate trei tipuri de beneficii: Managed Security Service providers, solutiile SIEM și IT Risk management și nu în ultimul rând aplicațiile protejate (threat intelligence, mobile, cloud, IoT, fraud detection, identity & access, risk & compliance, firewall).
Conectarea la aceste platforme se face în trei moduri: direct, folosind opțiunile de integrare suportate de vendor, prin integrare nativă și conectori către parteneri sau prin conectori specializați oferiți de Microsoft pentru a targeta diferite tipuri de API-uri și soluții de securitate.
Perioada pe care o traversăm, influențată direct de pandemia COVID19, obligă companiile să-și repoziționeze forța de muncă, păstrând însă productivitatea, comunicarea și securitatea accesului la resursele organizaționale. Mai mult ca oricând, se evidențiază nevoia trecerii rapide de la soluțiile on-premises la cele de cloud, forțând adoptarea de către companii, instituții guvernamentale și organizații a digitalizării prin transformarea digitală.
Unul dintre efectele neașteptate ale pandemiei este faptul că organizațiile au realizat rapid beneficiile transformării digitale. În perioada în care se vorbește de conviețuirea pe termen mediu lung și adaptarea activităților derulate cu unele restricții, companiile sunt mai înclinate să își analizeze procesele și procedurile și să-și regândească operațiunile, astfel încât lucrul de la distanță să devină noul mod eficient de operare. Pentru o implementare cu succes a unei transformări digitale, trebuie aliniate toate componentele unei organizații, facilitând lucrul eficient și productiv de acasă al forței de muncă:
Capabilitățile IT și gradul de tehnologizare ale companiei;
Cultura organizațională și abilitățile personalului:
Identificare ineficiențelor în proceselor operaționale;
Tehnologiile care stau la baza implementării securității mediilor de cloud sprijină în mod direct adaptarea și adoptarea rapidă de către companii a capabilităților IT, crescând cu costuri minime gradul de tehnologizare al companiei. Prin urmare, mai mult ca oricând, companiile trebuie să devină din ce în ce mai interesate de migrarea resurselor către platformele cloud, ceea ce va avea impact direct și imediat asupra modului în care datele companiei vor fi protejate și accesate, respectând principiile de securitate adaptate la domeniul de activitate al acestora.
Vă propun ca în articolul viitor să parcurgem și să descoperim împreună tehnologiile de securitate furnizate de platformele cloud Microsoft ce fac parte din viziunea Securității inteligente (Intelligent Security) ce se bazează pe următorii piloni:
integrarea mecanismelor de comunicare între platforme pentru ca oricine le accesează să poată lucra în siguranță de oriunde și de pe orice platformă;
utilizarea inteligenței artificiale (Artificial Intelligence) pentru analiza continuă a datelor acumulate istoric, detectarea cyber-amenințărilor (cyberthreats) și răspunsul automat adecvat prin automatizare;
Microsoft Cloud Security înseamnă mai mult ca oricând Identity and Access + Threat protection + Information Protection, oferind soluții de protecție cross-cloud. Investițiile de peste un miliard de dolari anual făcute de Microsoft în activitățile de cercetare și dezvoltare a tehnologiilor și produselor de securitate sunt garanția succesului transformării digitale a oricărei companii din epoca actuală și deschid în viitorul acestora noi oportunități ajutându-le să devină mai suple, mai eficiente și mai productive.
Modelul propus de Microsoft privind responsabilitatea implementării, controlului și administrării soluțiilor de securitate este unul partajat între vendor și client, numit Shared Responsibility Model și reprezentat mai jos:
Sursa: Microsoft Docs
Vă invit ca la final, să treceți în revistă suita de produse și tehnologii de securitate oferite de Microsoft în platforma Microsoft Azure și Microsoft 365 cu promisiunea că în articolul următor vom detalia rolul și funcționalitatea fiecăreia din tehnologiile reprezentate mai jos:
Sursa: portalul oficial Microsoft Azure
Totodată vom identifica împreună principalele roluri în cadrul organizației asociate gestionării securității platformelor implementate și vă invit să studiați structura cursurilor oficiale Microsoft pe portalul oficial Microsoft Training and Certification și pe portalul Bittnet Training.
de Ovidiu Mățan
de Adi Popa
de Ovidiu Mățan
