ABONAMENTE VIDEO REDACȚIA
RO
EN
NOU
Numărul 150
Numărul 149 Numărul 148 Numărul 147 Numărul 146 Numărul 145 Numărul 144 Numărul 143 Numărul 142 Numărul 141 Numărul 140 Numărul 139 Numărul 138 Numărul 137 Numărul 136 Numărul 135 Numărul 134 Numărul 133 Numărul 132 Numărul 131 Numărul 130 Numărul 129 Numărul 128 Numărul 127 Numărul 126 Numărul 125 Numărul 124 Numărul 123 Numărul 122 Numărul 121 Numărul 120 Numărul 119 Numărul 118 Numărul 117 Numărul 116 Numărul 115 Numărul 114 Numărul 113 Numărul 112 Numărul 111 Numărul 110 Numărul 109 Numărul 108 Numărul 107 Numărul 106 Numărul 105 Numărul 104 Numărul 103 Numărul 102 Numărul 101 Numărul 100 Numărul 99 Numărul 98 Numărul 97 Numărul 96 Numărul 95 Numărul 94 Numărul 93 Numărul 92 Numărul 91 Numărul 90 Numărul 89 Numărul 88 Numărul 87 Numărul 86 Numărul 85 Numărul 84 Numărul 83 Numărul 82 Numărul 81 Numărul 80 Numărul 79 Numărul 78 Numărul 77 Numărul 76 Numărul 75 Numărul 74 Numărul 73 Numărul 72 Numărul 71 Numărul 70 Numărul 69 Numărul 68 Numărul 67 Numărul 66 Numărul 65 Numărul 64 Numărul 63 Numărul 62 Numărul 61 Numărul 60 Numărul 59 Numărul 58 Numărul 57 Numărul 56 Numărul 55 Numărul 54 Numărul 53 Numărul 52 Numărul 51 Numărul 50 Numărul 49 Numărul 48 Numărul 47 Numărul 46 Numărul 45 Numărul 44 Numărul 43 Numărul 42 Numărul 41 Numărul 40 Numărul 39 Numărul 38 Numărul 37 Numărul 36 Numărul 35 Numărul 34 Numărul 33 Numărul 32 Numărul 31 Numărul 30 Numărul 29 Numărul 28 Numărul 27 Numărul 26 Numărul 25 Numărul 24 Numărul 23 Numărul 22 Numărul 21 Numărul 20 Numărul 19 Numărul 18 Numărul 17 Numărul 16 Numărul 15 Numărul 14 Numărul 13 Numărul 12 Numărul 11 Numărul 10 Numărul 9 Numărul 8 Numărul 7 Numărul 6 Numărul 5 Numărul 4 Numărul 3 Numărul 2 Numărul 1
×
▼ LISTĂ EDIȚII ▼
Numărul 99
Abonament PDF

Principalele solutii de securitate in cloud oferite de platforma Microsoft Cloud Security pentru Azure si Microsoft 365

Marian Pandilică
Senior Trainer and Cloud Architect @ Dendrio a Bittnet company



PROGRAMARE

În articolul anterior discutam principiile de securitate aplicate platformelor de cloud, ce au la bază modelul Zero Trust Security. Acesta este complet diferit de ideea de a concentra tehnologiile de securitate pentru crearea unui perimetru puternic securizat, cu scopul de a ține atacatorii în afara acestuia. Aplicarea măsurilor de securitate specifice infrastructurilor enterprise, se baza pe tratarea serviciilor și resurselor poziționate în acest perimetru securizat ca fiind credibile și protejate, tot ceea ce se afla în exterior fiind privit ca potențial ostil.

Noile principii de securitate pe baza cărora sunt dezvoltate actualele tehnologii de securitate în cloud

În epoca tehnologiilor cloud și a infrastructurilor hibride, aceste principii sunt înlocuite de o nouă atitudine față de nevoile de securitate bazată pe ideea asumării breșelor de securitate și a modelului de încredere zero (Zero Trust), ce scot în evidență realitatea zilelor noastre, ce forțează organizațiile să nu mai considere că apărarea perimetrului de siguranță este exclusiv apanajul specialiștilor de securitate. Organizațiile moderne, aflate în plin proces de transformare digitală a afacerii și infrastructurilor proprii sunt obligate să ofere acces la datele și serviciile proprii utilizatorilor și angajaților aflați atât în spatele soluțiilor de securitate firewall cât și în afara acestora.

Modelul încrederii zero (ZTM) a fost introdus de firma de analiză Forrester Research. După cum aminteam în prima parte a acestui articol, acesta introducea conceptul validării continue a securității în locul asumării directe a acesteia în funcție de poziționarea resurselor și a consumatorilor acestora. Totodată, pleacă de la ideea că, odată ce utilizatorii și dispozitivele acestora primesc acces la resursele organizației, nu va mai fi implicit asumat nivelul de securitate doar prin poziționarea consumatorilor în perimetrul organizației, acesta fiind continuu validat.

Implementarea tradițională a tehnologiilor de securitate este strâns legată de tipologia resurselor ce trebuie protejate și este realizată la nivelul organizației. Scenariile în care sunt implicate resurse ale mai multor organizații folosite în parteneriat din locații multiple, complică destul de mult modul de implementare și control al securității și ridică problema responsabilității partenerilor față de eventualele breșe de securitate și atacuri derulate asupra resurselor. Monitorizarea istorică a evenimentelor ce au loc în fiecare organizație va trebui corelată astfel încât să fie surprinse și aspectele legate de comportamentul utilizatorilor organizațiilor partenere. Acest lucru impune folosirea unor platforme de monitorizare și analiză poziționate în afara infrastructurilor auditate.

Poziționarea resurselor organizaționale în cloud pune la dispoziția utilizatorilor un număr mare de componente de infrastructură plasate la nivel global, simplificând modul în care organizațiile pot colabora pentru schimbul reciproc de date. Totodată împarte responsabilitatea implementării măsurilor de securitate între vendor (care furnizează infrastructura contra cost) și organizația ce deține și plătește subscripția cloud, acest model fiind numit model de responsabilitate partajată (Shared Responsability Model). Acest nivel de responsabilitate este strâns legat de tipul resurselor din cloud, cele de tip Infrastructure as a Service (IaaS) având o responsabilitate mai ridicată a organizației iar cel de tip Software as a Service (SaaS) pentru vendor, cum poate fi ușor identificat în imaginea 1.

Imaginea 1 - Shared Responsability Model, sursa Microsoft Docs

Pentru a înțelege cum se aplică acest principiu de partajare a responsabilității, să luăm spre exemplificare o mașină virtuală (VM) în Azure (resursă cloud IaaS) pe care organizația va ține o aplicație proprietară. În timp ce vendorul Microsoft este responsabil pentru securitatea mediilor de rețea fizice, a mediilor de stocare fizice și a platformei de virtualizare inclusiv update-urile serverelor fizice, organizația ce va utiliza această mașină virtuală are responsabilitatea de a securiza punctele de acces publice și interne către VM, update-urile periodice ale sistemului de operare al acesteia și securizarea aplicațiilor ce vor fi instalate în aceasta.

În cazul în care organizația decide ca în locul mașinii virtuale să folosească servicii Platform as a Service (PaaS), vendorul va proviziona și gestiona instanțele ce vor pune la dispoziția organizației serviciile necesare, garantând securitatea acestora, update-urile periodice ale sistemelor de operare si a platformei software, precum și monitorizarea, scalabilitatea și reziliența. Există însă o zonă de responsabilitate comună pentru serviciul de autentificare și autorizare , platforma de aplicație accesată (spre exemplu Web services sau SQL database) și controlul securității în rețea (expunerea endpointurilor, activarea serviciilor de firewall, DDoS sau VPN, deschiderea porturilor necesare, alocarea de adrese IP publice).

La o soluție Software as a Service, ca Microsoft 365, responsabilitatea vendorului Microsoft include și platforma de aplicație și controlul mediului de rețea (endpointurile sunt predefinite), responsabilitatea comună fiind doar pe zona platformei de identity. Indiferent însă de model, organizația va fi întotdeauna responsabilă pentru definirea conturilor de acces, a parolelor, protecția datelor personale și implementarea mecanismelor de governance, gestionarea accesului și activarea licențelor asociate utilizatorilor.

Architectura de referință definită de Cloud Security Alliance

Conform principiilor de proiectare aplicate infrastructurilor cloud si a arhitecturii de referință definite de Cloud Security Alliance, orice mediu va fi alcătuit din următoarele componente:

Sursa: Cloud Security Alliance

Prin urmare, implementarea mecanismelor de securitate trebuie să țină cont de această organizare, tehnologiile implicate fiind asociate și specializate pentru fiecare subcomponentă astfel:

Pentru o imagine completă a acestor componente va invit să studiați pagina oficiala Cloud Security Alliance și portalul CSA, unde sunt disponibile și principiile fundamentale de securitate ce ghidează vendorii de servicii cloud să asiste clienții serviciilor furnizate în gestionarea și analiza riscurilor de securitate prin unelte ca Cloud Security Alliance Cloud Controls Matrix (CCM) .

Microsoft Cybersecurity Reference Architecture

Cybersecurity Reference Architecture - sursa site-ul oficial Microsoft

Plecând de la modelul descris de CSA, Microsoft a definit și integrat în oferta de servicii cloud, principiile securității mediilor enterprise hibride cu titulatura Cybersecurity Reference Architecture:

Investiția anuală anunțată oficial de către Microsoft CEO Satya Nadella, de peste un miliard USD destinați cercetării și dezvoltării soluțiilor de securitate integrate în infrastructurile cloud services, a făcut posibilă dezvoltarea unor soluții inovative reprezentate de imaginea de mai sus și pe care le vom descrie în continuare. Microsoft investește și în start-up-uri ce dezvoltă soluții și produse avansate de securitate cum este compania israeliană Team8 și extinde permanent capabilitățile platformelor Windows și Office ce integrează Windows Defender și Windows Defender Security Center.

Principalele argumente ale vendorului Microsoft pentru alegerea ca principalul partener al clienților și pentru cybersecurity sunt:

Relația vendorului Microsoft cu clienții soluțiilor de cloud services

Clienții soluțiilor cloud Microsoft iau contact cu o imagine de ansamblu cuprinzătoare asupra produselor și serviciilor de securitate cibernetică dezvoltate și aliniate pe baza principiilor protejează, detectează și răspunde, se întâlnesc față în față cu experți și lideri din domeniul securității primind informații referitoare la amenințări, servicii de securitate cibernetică, gestionarea riscurilor și învață cum să-și îmbunătățească nivelul de securitate cibernetică, având în Microsoft un consilier și un partener de încredere.Microsoft contribuie permanent la protejarea utilizatorilor împotriva amenințărilor informatice prin folosirea automatizării și a inteligenței artificiale încorporate în tehnologiile dedicate acestora, atât pentru utilizatorii enterprise cât și pentru cei home-use sau din mediile educaționale.

Pentru aceștia din urmă, principalele recomandări sunt menținerea sistemului de operare Windows actualizat la zi, folosirea facilităților Microsoft Family Safety pentru utilizatorii Windows PC, Android și Xbox, păstrarea fișierelor proprii în siguranță și permanent disponibile prin Onedrive, navigarea în siguranță pe Internet folosind Microsoft Edge și Microsoft Defender SmartScreen, crearea și gestionarea unor parole sigure de minim 12 caractere și evitarea reutilizării acestora și nu în ultimul rând folosirea platformei Microsoft Teams pentru educație.

Soluțiile de securitate dedicate mediilor enterprise se bazează pe integrarea capabilităților native de securitate ale platformelor folosite, pe simplitate și vizibilitate, principii enunțate de următoarea afirmație:

"Dacă faceți ca securitatea să fie dificilă, oamenii o vor ocoli. Cu Microsoft, primim capacități native, vizibilitate în mediul nostru operațional și simplitate pentru toți angajații."

 

NUMĂRUL 149 - Development with AI

Sponsori

  • Accenture
  • BT Code Crafters
  • Accesa
  • Bosch
  • Betfair
  • MHP
  • BoatyardX
  • .msg systems
  • P3 group
  • Ing Hubs
  • Cognizant Softvision
  • Colors in projects