Azure Security Center – Uma visão geral
Nível: Iniciante | Tempo de leitura: 15 minutos
Introdução
Vamos abordar nesse artigo uma visão geral inicial sobre o que é o Azure Security Center. Se você se preocupa com a postura de segurança e a proteção da sua infraestrutura e suas aplicações em seus datacenters ou em nuvens públicas, então precisamos falar dessa importante ferramenta. Como se trata de uma ferramenta super completa, vamos abordar os primeiros passos que você precisa para conhecer e começar a testar. Em breve, teremos novas publicações sobre o Security Center.
Introdução dos modelos de responsabilidade compartilhada
Quando falamos em postura e proteção em nuvens públicas, um pensamento pode logo vir à mente: “Mas se eu transferi meus workloads para a nuvem eu não preciso mais me preocupar.”
E esse é um pensamento incorreto, porque quando falamos em modelos de computação em nuvem, temos que voltar à estrutura básica inicial desse tipo de ambiente, que é o – Modelo de Responsabilidade Compartilhada – representado na figura abaixo:
Veja que na parte On-prem (seu datacenter local), você tem total responsabilidade sobre sua infraestrutura. À medida que você faz uma migração para a nuvem, algumas dessas responsabilidades são transferidas para o provedor de nuvem e outras são compartlihadas entre sua empresa e o provedor.
Vale deixar bem claro aqui que, independente do modelo acima, você será sempre responsável pelo tratamento, proteção, retenção e fluxo de vida dos seus dados.
Quem quiser revisar esse conceito, pode visitar o seguinte link: Responsabilidade compartilhada na nuvem – Microsoft Azure | Microsoft Docs.
O que é o Azure Security Center
O Azure Security Center é um sistema unificado de nuvem que fortalece a postura de segurança de seus data centers e fornece proteção avançada contra ameaças para ambientes on-premises, híbridos e multi-cloud, mesmo workloads fora do Azure, como GCP e AWS.
Existem três desafios principais que o Azure Security Center aborda, sendo:
- Cargas de trabalho que mudam rapidamente
- Ataques cada vez mais sofisticados
- Habilidades de segurança escassas hoje em dia
E para esses cenários, ele te ajuda com:
- Fortalecimento da postura de segurança
- Proteção contra ameaças
- Implementar a segurança prontamente
Arquitetura do Security Center
O Azure Security Center (ASC) é um serviço do Azure que utiliza outros serviços de nuvem do Azure como parte da solução, tornando super simples sua ativação e configuração, e você não precisa se preocupar com toda a parte de infraestrutura.
Basicamente, se eu tenho servidores no Azure ou outras nuvens, servidores on-premises (locais), Windows ou Linux, consigo ter proteção instalando o agente do Log Analytics. Os eventos são coletados por esses agentes e enviados para o portal de Segurança do Azure que irá te mostrar recomendações (tarefas de proteção) personalizadas, que você deve seguir para aumentar a postura de segurança.
Quando você habilita a Central de Segurança, há uma política de segurança interna do ASC que é refletida no Azure Policy como uma iniciativa interna, sob a categoria Central de Segurança. A iniciativa interna é atribuída automaticamente a todas as subscriptions registradas da Central de Segurança (independentemente de elas terem ou não o Azure Defender habilitado). Essa iniciativa interna contém somente políticas de Auditoria.
Saiba mais sobre essas políticas de segurança nesse link: Trabalhar com políticas de segurança | Microsoft Docs.
Visão geral da página inicial do Azure Security Center:
O que é o Azure Defender
Partindo do conceito básico, a Central de Segurança do Azure oferece dois principais módulos de forma unificada no portal do Azure, sendo eles:
- Avaliação contínua da postura de segurança (CSPM – Cloud security posture management)
- Proteção avançada contra ameaças (CWP – Cloud workload protection)
O Azure Defender compreende a parte que oferece proteção avançada e inteligente para workloads e recursos híbridos do Azure. O Azure Defender fornece alertas de segurança e proteção avançada contra ameaças para máquinas virtuais, bancos de dados SQL, contêineres, aplicativos Web, rede, e outros.
Abaixo, uma visão da tela inicial do portal de proteção do Azure Security Center:
Abaixo, temos duas opções de licenciamento para o Azure Security Center e o Azure Defender. Quando deixamos o Azure Defender desligado (off – opção da esquerda), a Central de Segurança sem o Azure Defender habilitada é oferecido gratuitamente em todas as suas subscriptions do Azure.
O modo gratuito fornece uma política de segurança, uma avaliação de segurança contínua e recomendações de segurança práticas para ajudar você a proteger seus recursos do Azure. Então comece a usar hoje!
Já quando você habilita o Azure Defender (on – opção da direita), você habilita a proteção avançada para os seguintes serviços:
- Azure Defender for servers
- Azure Defender for App Service
- Azure Defender for Storage
- Azure Defender for SQL
- Azure Defender for Kubernetes
- Azure Defender for container registries
- Azure Defender for Key Vault
- Azure Defender for Resource Manager
- Azure Defender for DNS
- Azure Defender for open-source relational databases
Além disso, você também tem a proteção para nuvem híbrida abaixo:
- Proteger seus servidores não Azure
- Proteger suas máquinas virtuais em outras nuvens (como a AWS e o GCP)
Para a proteção de máquinas virtuais e bancos de dados em outras nuvens, nós usamos o Azure Arc. O Azure Arc fornece gerenciamento simplificado e é usado nesse caso para a gestão de outras nuvens com o Azure Defender.
Quando o Azure Defender detecta uma ameaça ele gera um alerta de segurança. Esses alertas descrevem os detalhes dos recursos que foram impactados, as etapas de correção sugeridas e, em alguns casos, uma opção para disparar uma resposta usando o Logic Apps.
No caso do conector nativo para AWS, ele lida de forma transparente com a implantação do Azure Arc para você.
Isso pode ser visto no portal do ASC, na parte de gerenciamento:
Postura de Segurança e Secure Score
O Secure Score na Central de Segurança do Azure pode ajudá-lo a entender como melhorar a postura de segurança de seus serviços IaaS e PaaS do Microsoft Azure (e até mesmo híbridos e várias nuvens).
Na parte de fortalecimento de segurança, o ASC te ajuda a identificar e executar as tarefas de proteção recomendadas como melhores práticas de segurança e implementá-las em seus aplicativos, serviços de dados e computadores.
A classificação de segurança é mostrada nas páginas do portal do Azure como um valor percentual, mas os valores subjacentes também são claramente apresentados:
A avaliação da postura de segurança é feita de forma contínua, ou seja, o ASC descobre novos recursos que estão sendo implantados em seus workloads e avalia se estão configurados de acordo com as melhoras práticas de segurança, oferecendo uma lista priorizada de recomendações caso tenha pontos de melhoria no ambiente.
A lista de recomendações é habilitada e compatível com o Azure Security Benchmark, o conjunto específico de diretrizes do Azure, criado pela Microsoft, para as melhores práticas de segurança e conformidade baseadas em frameworks de mercado, como CIS (Center for Internet Security) e do NIST (National Institute of Standards and Technology).
A contribuição de cada controle de segurança para a pontuação segura geral é mostrada claramente na página de recomendações.
Exemplo de pontuação segurança:
Nesse exemplo temos o seguinte:
- Controle de segurança Corrigir vulnerabilidades
- Pontuação máxima
- Número de recursos
- Pontuação atual
- Possível aumento de pontuação
Para melhorar sua pontuação é fácil, basta trabalhar nas correções das recomendações de segurança da sua lista. Você pode corrigir cada recomendação manualmente para cada recurso ou usando a opção Corrigir (quando disponível) para resolver um problema em vários recursos rapidamente.
Também é possível resgatar sua pontuação por meio de API usando REST API, possibilitando que você possa construir seu próprio mecanismo de relatório de suas pontuações seguras ao longo do tempo. Outra forma de acessar a pontuação é usando o Azure Resource Graph e também usando o Power BI Pro dashboards.
Proteção contra ameaças
A proteção contra ameaças da Central de Segurança permite que você detecte e evite ameaças na camada de IaaS (infraestrutura como serviço), servidores não Azure, bem como para PaaS (Plataforma como Serviço) no Azure.
Veja que, assim como o Azure Sentinel e o Microsoft Defender for Endpoint, também usamos o MITRE ATT&CK Framework para avaliar as fases de ataque e te ajudar na resposta contra ameaças em tempo real.
Abaixo, o que vemos no painel de proteção contra ameaças do Azure Defender:
- Cobertura do Azure defender
- Alertas de segurança
- Proteção avançada
- Informações
Integração com o Azure Sentinel
Quando o Azure Defender detecta / dispara alertas, você pode enviar esses alertas para sua própria solução de SIEM. Fazendo isso, você pode visualizar o que precisa de sua atenção em uma interface de gerenciamento e tomar as medidas adequadas.
Você pode usar o Azure Sentinel e transmitir alertas do Azure Defender para o Azure Sentinel, a primeira etapa é configurar essa integração adicionando o conector da Central de Segurança do Azure.
Conectar dados do Azure Defender ao Azure Sentinel | Microsoft Docs
Guia de início rápido
Quer saber como usar o guia de início rápido que irá te orientar em todas as etapas recomendadas para habilitar a Central de Segurança do Azure e o Azure Defender? Acesse o link abaixo:
Atualizar para o Azure Defender – Central de Segurança do Azure | Microsoft Docs
Conclusão
Nesse artigo, mostramos uma visão geral inicial de todo o poder que o Azure Security Center e o Azure Defender podem oferecer. Em próximos artigos, vamos abordar partes dessas configurações com maiores detalhes.
Quer conhecer mais sobre os recursos e aprender sobre Azure Security Center, veja os links abaixo:
Azure Security Center Ninja Training
SC-200 parte 3: Atenuar ameaças usando o Azure Defender – Learn | Microsoft Docs
O que é a Central de Segurança do Azure? | Microsoft Docs
Visão geral do Azure Defender e os planos disponíveis | Microsoft Docs
Obrigado!