Post on 13-Sep-2019
© Microsoft Corporation
On-premises
Bezpieczeństwo
A.D. 2018
Złożoność problemu
Nowe zagrożenia
Rosnące koszty
Brak umiejętności
Cloud
Bezpieczeństwo w chmurze
Model
Wspólnej
odpowiedzialności
Dostarcza mechanizmów bezpieczeństwa i ochronę w centrach danych i w ramach infrastruktury
Odpowiada za dane i dostęp (tożsamość) i ochronę tych
zasobów
Administracja
Aplikacje
Dane
Środowisko
Platforma
System
operacyjny
Maszyny
fizyczne
Fizyczna sieć
Centrum
danych
Zarządzane przez klienta
Zarządzane przezMicrosoft
IaaSOn Prem PaaS SaaS
Zarządzanie danymi i uprawnieniami
Bezpieczeństwo systemu
Zarządzanie kontami i dostępem
Tożsamość i usługi uwierzytelnienia
Aplikacja
Ochrona sieci
System operacyjny
Bezpieczeństwo hosta
Bezpieczeństwo fizyczne sieci
Bezpieczeństwo data center
PaaSIaaS SaaSOn-
prem
Built-in Partner
Controls
Unique Intelligence
Security Intelligence
Ochrona przed zagrożeniami
Microsoft Antimalwarefor Azure
Zarządzanie bezpieczeństwem
Azure Log Analytics
Azure Security Center
Ochrona sieci
VNET, VPN, NSG
Application Gateway(WAF), Azure Firewall
DDoS ProtectionStandard
ExpressRoute
Ochrona danych
Encryption (Disks, Storage, SQL)
Azure Key Vault
Confidential Computing
Zarządzanie tożsamością i dostępem
Azure Active Directory
Multi-Factor Authentication
Role Based Access Control
Azure Active Directory(Identity Protection)
Przedefiniujmy bezpieczeństwo sieci
Azure
Public cloud
Azure Active Directory
Windows Server
Active Directory
Organizacje
Sieci Społecznościowe
Partnerzy
Klienci
Azure AD
Connect
Wbudowane mechanizmy ochrony | Tożsamość
Dostęp i single sign-on pomiędzy
środowiskiem on-premises i chmurą• Azure Active Directory Connect
• Mechanizmy uwierzytelnienia Hello for Business
Zarządzanie i kontrola dostępu• Azure Role Based Access Control
• AAD Conditional Access policy
Dodatkowe środki ochrony• Multi-factor authentication
• Fizyczne urządzenia i passwordless authntication
• Zarządzanie kontami uprzywilejowanymi - Azure AD PIM
• Dodatkowo ochrona tożsamości - Azure AD Identity
Protection
Wbudowane mechanizmy ochrony | Tożsamość
Windows 10• Windows Defender ATP
• Mechanizmy uwierzytelnienia Hello for Business
Wbudowane mechanizmy ochrony | Tożsamość
Azure AD• Mechanizmy uwierzytelnienia
• Conditional Access
• Information protection (klasyfikacja)
InTune• Zarządzanie stanem urządzenia
• Mechanizmy uwierzytelnienia Hello for Business
Integracja z usługami Azure• Azure ATP / ATA
• Cloud App Security
• Identity protection
• Security Center
Aplikacje SaaS• Zintegrowane przez OpenID Connect lub SAML
• Pełne SSO do aplikacji i kontrola dostępu
Własne aplikacje organizacji• SSO do aplikacji bez konieczności dostępu do sieci
on-premises
• Uniezależnienie kontroli dostępu od lokalnego AD
Kontrola dostępu • Standardowa: uprawnienia do aplikacji
• Kontrkstowa: oparta o Conditional Access z Azure
AD
Aplikacje w chmurze | SaaS
Ochrona zasobów on-premises
Publikacja usług w oparciu o Azure AD• Nie wymaga zmiany w aplikacjach
• Mały narzut na infrastrukturę
Benefity dla aplikacje on-premises• Pełne SSO do zasobów i aplikacji
• Możliwość kontroli dostępu z użyciem Conditional
Access
© Microsoft Corporation
CorporateNetwork
Geo-location
MacOS
Android
iOS
Windows
WindowsDefender ATP
Client apps
Browser apps
Google ID
MSA
Azure AD
ADFS
Employee & PartnerUsers and Roles
Trusted &Compliant Devices
Location
Client apps &Auth Method
Conditions
MicrosoftCloud App Security
Forcepasswordreset
RequireMFA
Allow/blockaccess
Terms of Use
******
Limitedaccess
Controls
Machinelearning
Policies
Real timeEvaluationEngine
SessionRisk
3
40TB
Effectivepolicy
Nowe możliwości
Wyeliminowanie słabych protokołów• Kontrola dostępu na podstawie zachowania klienta
• Odcięcie klientów POP, SMTP, IMAP (ochrona haseł
i dostępu)
Kontrola dostępu na poziomie aplikacji• Współpraca z konfiguracją konkretnych aplikacji
• Kontrola na poziomie sesji z Cloud App Security
Dostęp i kontrola sesji z Conditional Access
Microsoft AzureActive Directory
Analiza ryzyka sesjiStan urządzenia z Intune LokalizacjaZachowanie użytkownika
Organizacja użytkownika
Wymuszenie polityk z uwzględnieniem warunków Conditional Access
Automatyczna ochrona ściąganych
plików z AIP
Monitorowanie i powiadomienie o podejrzanych zachowaniach
Dostęp w trybie read-only do aplikacji dla
partnerów (B2B)
Wymaganie MFA i organiczenie długości
sesji
BOX.US.CAS.MS
Cloud App Security zintegrowane z:
• Azure Active Directory
• Azure Information Protection
• Microsoft Intune
MICROSOFT CLOUD APP SECURITY
Brakujący element w obecnych rozwiązaniach• Zarządzanie tożsamościami zewnętrznymi
(B2B, guests)
• Zarządzanie dostępem od strony przeglądu i ryzyka
• Jednolita informacja o uprawnieniach nadanych
użytkownikom
• Możliwość definiowania polityk dostępu
Proces zarządzania tożsamościami i dostępem
Identity & access management
Oparte na politykach
mechanizmy kontroli
dostępu, audytu i
raportowania
© Microsoft Corporation
Developers
Operations
Administrator chmury
Zespół odpowiedzialny za środowisko chmury
Proces zarządzania tożsamościami i dostępem
© Microsoft Corporation
Speed and Control
Developers
Polityki i zarządzanie środowiskiem chmury
Operations
Zespół odpowiedzialny za środowisko chmury
Zastosowanie wbudowanych mechanizmów w celu zarządzania zasobami chmury
Blueprints
Wdrożenia i
uaktualnienia środowisk
w oparciu powtarzalne
mechanizmy i
komponenty
Resource Graph
Dostęp do informacji
o zasobach z
poziomy interfejsów
API
Management Group
Definicja hierarchii w
organizacji
Cost
Monitorowanie
kosztów i ich kontrola
Policy
Wymuszenie
zgodności z regułami
i konfiguracji na
platformie
NEW NEW
Kontrola WidocznośćŚrodowiska KonsumpcjaHierarchia
Management Group i subskrypcje
App APre-Prod
App BPre-Prod
Shared services
(Pre-Prod)
App CPre-Prod
App A Prod
App B Prod
Shared services (Prod)
App D Prod
Prod RBAC + Policy Pre-Prod RBAC + Policy
Org Management Group
KorektaZgodność i wymuszenie konfiguracji
Zastosowanie w organizacji
Wbudowane zestawy polityk z możliwością budowy własnych
Ewaluacja polityk i ich wymuszenie w czasie rzeczywistym
Weryfikacja zgodności okresowo lub na żądanie
Polityki aplikowane na poziomie Management groups zapewniają spójność na poziomie organizacji
Możliwe wdrożenie wielu polityk ze spójnym efektem wynikowym
Nałożenie wyników polityk w czasie rzeczywistym
Korekty na istniejących zasobach
(NEW)
Możliwość wyłączenia zasobów z zakresu polityk
Polityki dla OS w VM (In-Guest Policy (NEW))
Policy Assignment
Compliance
Policy Assignment
Compliance
Authentication and Identity ManagementAuthentication and Identity Management
Azure platform
Grundfos ownedSaaSPaaS
IoT Hub
Event HubCloudGateway
Stream Analytics
Device \ Profile APIs
Storage
AppLogic
Service Bus
Data warehouse
DynamicsCRM
PowerBI Front end portal(s)
PlatformPlatform ExternalExternal
AuthorizationAuthorization
PlatformPlatform ExternalExternal
Ap
plicatio
n level secu
rityA
pp
lication
level security
Co
mm
un
ication
encryp
tion
Co
mm
un
ication
encryp
tion
Communication encryptionCommunication encryption
Data encryptionData encryption
Logging and auditingLogging and auditing
MonitoringMonitoring
Zestaw usług ich możliwości
Podejście do bezpieczeństwa zależne od typu wdrożenia
• Bezpieczeństwo infrastruktury (IaaS)
• Bezpieczeństwo aplikacji (PaaS)
• Aplikacje SaaS (Zero Trust)
Wspólne elementy adresowane przez platformę i jej usługi
• Uwierzytelnienie i autoryzacja
• Model programistyczny dla aplikacji i API
• Szyfrowanie danych on-rest i w trakcie przesyłania (zależne od
usługi)
• Monitorowanie usług
• Logowanie i analityka zdarzeń
Poszczególne elementy muszą być skonfigurowane – Azure Security
Architecture
Klucze i certyfikatyAzure Key Vault
Maszyny wirtualne Aplikacje Storage i bazy danych
Wbudowane możliwości | Ochrona danych
Włącz wbudowane mechanizmy szyfrowania danych
• Azure Storage Service Encryption
• Azure Disk Encryption
• SQL TDE/Always Encrypted
Szyfrowanie danych w trakcie ich procesowania
• Azure confidential computing
Zarządzanie dostępem do danych (Azure Storage)
• Shared Access Signature z wymuszonymi parametrami
• Dostęp tylko z użyciem SSL
Przechowywanie danych
• Dane wrażliwe przechowywane w HSM (KeyVault)
• Proces usuwania danych wrażliwych z aplikacji / GitHub
NSG i UDR: kontrola ruchu• Kontrola dostęp na poziomie sieci - Network Security Groups
• User Defined Routes pozwalają na zarządzanie ruchem
Dodatkowa ochorna – Virtual Appliances• Dodatkowe możliwości filtrowania i inspekcji ruchu
• Web Application Firewall lub dodatkowy network firewall (3’rd
party)
• Dedykowana usługa ochrony przed DDoS
Konfiguracja reguł dostępu na poziomie usług• Większość z usług pozwala na dodatkową kontrolę dostępu
• Reguły specyficzne dla maszyn wirtualnych lub usług
• Service endpoints, dostęp do usług PaaS z dedykowanych
sieci
• Monitorowanie ustawień bezpieczeństwa sieci z poziomu
Azure Security Center
Wbudowane możliwości | Ochrona sieci
Application
WAF, Azure Firewall
NSG, VPN
DDoS
Azure Security Center
Maszynywirtualne Aplikacje
Bazy danychi storage Sieć
Wbudowane możliwości | Ochrona zasobów
Monitorowanie i ograniczenie zagrożeń
• Weryfikacja uaktualnień po stronie maszyn wirtualnych
• Włączony wbudowany lub 3’rd party AV
Ograniczenie powierzchin ataku
• Just-in-Time dostęp do portów sieciowych (z RBAC)
• Appliction whitelisting dla hostów
Automatyzacja odpowiedzi na incydenty
• Pojedyncza usługa generująca powiadomienia i
monitorująca incydenty
• Przygotowane szablony (playbook) odpowiedzi na
zdarzenia
Wbudowane mechanizmy | Zarządzanie
Jeden widok na konfigurację i stan środowiska
pomiędzy chmurą i on-premises
• Monitrowanie hostów i usług
Zgodność z politykami i szablonami
• Zarządzanie poprzez polityki I szablony konfiguracji
• Jeden dashboard z wszystkimi wskaźnikami
Logowanie i audyt
• Ustawienia logowania i audytu na poziomie poszczególnych
usług
• Log Analytics jako usługa do zbierania i analizy logów
• Azure Monitro – alerty ad-hoc, monitorowanie
poszczególnych zdarzeń
• Integracja z zewnętrznymi SIEM
Azure Security Center Unified visibility and control
Virtual machines Applications
Storage & databases Network