Způsoby zabezpečení cloudových služeb Microsoft

Způsoby zabezpečení
cloudových služeb
Microsoft
Zdeněk Jiříček
National Technology Officer
Microsoft Česká republika
1
The Microsoft Trusted Cloud
200+ cloud services
1+ million servers
$15B+ infrastructure investment
Online
1 billion customers
20 million+ organizations
140 countries worldwide
2
3
Bezpečnost v cloudu dle ISO 27001:2013
Další požadavky dle ISO 27018, NIST 800-53, PCI-DSS (Payment Card Industry) atd.
Bezpečnostní
opatření
Zranitelnosti
1. (A.05) Bezpečnostní
politika
2. (A.06) Organizace
bezpečnosti informací
Aktiva
3. (A.07) Bezpečnost
lidských zdrojů
4. (A.08) Řízení aktiv
Hrozby
Řízení rizik
9. (A.13) Bezpečnost
komunikací
10. (A.14) Akvizice, vývoj a
údržba
11. (A.15) Řízení dodavatelů
5. (A.09) Řízení přístupu
12. (A.16) Zvládání
bezpečnostních incidentů
6. (A.10) Šifrování
13. (A.17) Řízení obchodní
kontinuity
7. (A.11) Fyzická bezpečnost
a vliv přírodních rizik
14. (A.18) Soulad s
regulatorními požadavky
Wargaming
Audity
Incidenty
8. (A.12) Řízení provozu
Penetrační
testy
5
Infrastrukturní ochrana
24x7 globální monitorování ze SOCů
Bezpečné multi-tenantní prostředí (izolace tenantů)
Neexistuje globální přístup adminů na data zákazníků
Segmentace vnitřní sítě – přístup na email z jiného segmentu
Ochrana před DOS / DDoS (scaling, throttling, packet filtering)
Antivirus/antimalware/SPAM filtrace a garantované záplatování
Prevence a detekce možných průniků (IPS, IDS, SIEM....)
Předpoklad průniku: wargaming red / blue teams
Microsoft Azure
6
Cloud - ochrana dat šifrováním
Microsoft Azure
Nástroje
zákazníka
Nástroje
poskytované
cloud. službou
Data v úložišti
Ochrana dat při přenosu
RMS, S/MIME – nativně
PGP atd. – manuálně
3rd Party solutions
(př. Thales Cyris)
SQL Server TDE / CLE
RMS SDK
.NET Client side encryption
3rd Party.. SafeNet, CloudLink
RMS, S/MIME
Na aplikační úrovni
„Per-File Encryption“
Nativní služba
Azure Key Vault
Azure Disk Encryption (VM)
StorSimple
Protokol SSL/TLS
Bitlocker
Šifrování AES-256
Destrukce NIST 800-88
Bitlocker (volba zákazníka)
Šifrování AES-256
Destrukce NIST 800-88
Nově: Perfect Forward
Secrecy (PFS)
SharePoint Online;
OneDrive for Biz
(folder level)
A
B
C
D
A
A
Key Store
Content DB
B
CC
E
D
D
E
článek MS TechNet
8
Další zabezpečení dat v Office 365
RMS - Rights Management Services
•
•
•
Volitelné šifrování a zabezpečení obsahu emailů a dokumentů
Uživatel volí různé stupně (šablony) přístupových práv
Azure AD RMS – lze jednoduše i mimo vlastní organizaci
Exchange Online Data Loss Prevention (DLP)
•
Vestavěná inteligence – zabraňuje uživateli odeslat emailem
citlivé informace (včetně příloh a offline režimu)
•
Výchova uživatelů, „citlivé informace“lze nastavit politikami
Exchange Online Protection (EOP); nově:
Advanced Threat Protection (ATP)
•
Navíc k Exchange Online Protection: Safe Attachments
•
•
ATP Safe Links – ochrana před redirekcí webů na další URL
Zero-day ochrana: neznámé přílohy spouštěny v izol.
hypervisoru, testy Machine Learning
Bezpečnostní
riziko
Způsob řešení
Interní únik dat
RMS, BitLocker,
SP File Encryption
Ztráta citlivých dat
RMS;
Exchange 2013 DLP
Policies
Ukradený/ztracený
laptop
BitLocker
Ukradený/ztracený
smartphone
BitLocker
9
See http://azure.microsoft.com/en-us/services/key-vault/
Pro zákaznické aplikace
Zabezpečený přístup ke klíčům pro šifrování obsahu a pro el.
podpis. Aplikace vyvinuté Azure Storage SDK (poslední verze)
mohou šifrovat data automaticky, master key je v Key Vault.
SQL Server
Generování a správa klíčů pro SQL Server TDE, CLE, a Backup
Lze pro Azure Virtual Machines i pro SQL Server on-premises
VM„s: Azure Disk Encryption (ohlášeno)
Bitlocker pro Windows Server Virtual Hard Drive (VHD)
Linux DM-Crypt pro Linux VM‘s
Master key pro CloudLink Secure VM, SafeNet V-Protect atd.
Key Vault
10
•
•
•
•
•
•
On Azure:
http://azure.microsoft.com/en-us/services/key-vault/
https://azure.microsoft.com/en-us/documentation/articles/key-vault-whatis/
http://azure.microsoft.com/en-us/updates/general-availability-azure-key-vault/
Dan Plastina's blog (insight): http://blogs.technet.com/b/kv/archive/2015/01/08/azure-key-vaultmaking-the-cloud-safer.aspx
Key Vault Blog (regular updates): http://blogs.technet.com/b/kv/
http://azure.microsoft.com/en-us/pricing/details/key-vault/
Azure Key Vault Developer's Guide
https://azure.microsoft.com/en-us/documentation/articles/key-vault-developers-guide/
Code samples
http://www.microsoft.com/en-us/download/details.aspx?id=45343
BYOK preparation tools
http://www.microsoft.com/en-us/download/details.aspx?id=45345
https://technet.microsoft.com/en-us/library/dn440580.aspx
11
11
Antimalware for Azure with real-time remediation
Ochrana a karanténa souborů v VM, DDoS defense
Exchange Online Protection & DLP
Advanced Threat Protection (ATP)
Logování téměř v reálném čase, vstup do SIEM
Office 365 Management Activity API
Typ „Cloud Access Security Broker “
Visibility, Audit Trail, Threat Protection
Microsoft Advanced Threat Analytics (ATA)
Abnormality v provozu AD a chování uživatelů, pass-the-hash
Partnerská řešení bezpečnosti v cloudu
Azure Security Center
iProtect-DDoS; Barracuda AppFirewall;
CheckPoint VirtualGateway; RiverBed SteelApp; Cohesive...
Azure Virtual Network
System Center Operations Management Suite
Info o hrozbách z Microsoft Threat Intelligence Center (MSTIC)
Site-to-site VPN / IPsec protocol
Izolace virtuálních sítí mezi sebou
Azure deployments v rámci subskripce - privátní IP adresy
12
ZKB: jak na cloudové služby v rámci ISMS
Zák. č. 181/2014 Sb. a jeho technická vyhláška č. 316/2014 Sb.

§29: Povinná osoba může splnit certifikací ISO/IEC 27001, pokud tato pokrývá
celý rozsah ISMS

§4: Vzít v úvahu min. výčet hrozeb a zranitelností a úroveň řízení rizik

§7: Požadavky na dodavatele (viz dále)

Příloha 1. – Hodnocení / kategorie aktiv („C-I-A”)

Příloha 2. – Vzorová metodika řízení rizik (dle ISO 27005)

Příloha 4. – Poskytnout podklady k dokumentaci nebo certifikaci povinné osoby
13
„VIS“ – pouze odst. (1)
„KII“ – dále odst (2) b
„KII“ – dále odst. (2) a, c
Zavedení pravidel pro dodavatele
pro potřeby řízení bezpečnosti
informací
Smlouva zahrnuje způsoby a úrovně
bezp. opatření a vztah odpovědnosti za
jejich zavedení a kontrolu
Pravidelné hodnocení rizik služeb (příp. i
před uzavřením smlouvy); Kontroly
zavedených bezp. opatření
Dokumentace smlouvou, jejíž
součástí je ustanovení o bezpečnosti
informací
Microsoft: „OST“ obsahuje seznam
opatření a závazek cert. ISO 27001
Zhodnocení řízení rizik nezávislým
auditorem, podklady dle Přílohy 2):
Microsoft splňuje „Podmínkami pro
služby online - OST“:
oddíl „Podmínky ochrany osobních
údajů a zabezpečení“ – součást
písemné smlouvy
Microsoft dá k dispozici povinné osobě:
1. Svoji „Bezpečnostní politiku“
1. Metodika hodnocení rizik, funkce,
definice proměnných a jejich úrovní
Pozn. OST = Online Services Terms
2. ISO 27001 certifikát (online výpis)
3. ISO 27001 prohlášení o
aplikovatelnosti (výčet opatření)
4. ISO 27001 auditní zprávu, a na
vyžádání SOC 1 & 2 audit. zprávy
Povinná osoba zapracuje do svojí
bezpečnostní politiky
2. Min. seznam hrozeb a zranitelností (§4)
3. Pravidelnost hodnocení rizik, způsoby
schvalování přijatelných rizik
4. Závazek včasného řešení vyšších úrovní
výsledných rizik
Kontrola účinnosti zavedených bezp.
opatření auditními zprávami ISO 27001 a
SOC 1 & 2 Type 2
14
Ověření řízení rizik Office 365 a Azure vůči vyhl. č. 316/2014 Sb.
•
•
•
Vychází z § 7 – Bezp. požadavky na dodavatele
Zohledňuje povinnosti z § 4 Řízení rizik (obecně)
Srovnává metodiku Microsoftu se vzorovou metodikou v Příloze č. 2 vyhlášky
PwC - podrobné přezkoumání podkladů
•
Podrobná dokumentace k ISO 27001, Risk Standard Operating Procedures
Předmět reportu zejména:
•
•
•
•
•
Celkový přístup k řízení rizik v cloudu
Metodika hodnocení rizik, funkce, definice proměnných a jejich úrovní
Min. seznam hrozeb a zranitelností (§4)
Pravidelnost hodnocení rizik, způsoby schvalování přijatelných rizik
Závazek včasného řešení vyšších úrovní výsledných rizik
15
Shrnutí
•
Certifikace ISO 27001, 27018, SOC reporty 1&2,
a dostatek dokumentace pro požadavky ZKB a další regulace
•
Kyber-obrana v cloudu: technologické novinky, Big Data a Azure
Machine Learning
•
Využití cloudu dle hodnocení Vašich informačních aktiv –
bohaté nástroje pro ochranu dat v cloudu
•
Máme objektivní důvody věřit více ochraně dat
ve „svém datacentru“?
16
Děkuji za pozornost!
Zdeněk Jiříček
National Technology Officer
[email protected]
© 2014 Microsoft Corporation. All rights reserved. The information herein is for informational purposes only and represents the current view of Microsoft
Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a
commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
17
Celý report: http://www.microsoft.com/about/corporatecitizenship/en-us/reporting/transparency/
18
Managed by:
19
Úroveň:
Důvěrnost
Integrita
Dostupnost
Střední
Řízení přístupu
>>Standardní nástroje
Office 365, Azure
Standardní nástroje. Omezení práv
zápisu atd. >>Standardní nástroje
Office 365, Azure
Vysoká
Řízení přístupu + logy.
Vnější přenosy jsou šifrovány.
>>Standardní nástroje
Office 365, Azure; dále:
RMS, TDE/CLE1) nebo S/MIME na
úrovni aktiva
Záznam historie změn +osoba.
Záložní systémy + manuální
Ochrana integrity kryptografií na
obnova. >>Standardní nástroje
vnější síti. >>Standardní nástroje
Office 365, Azure
Office 365-Verzování dokumentů,
revize. Azure – zajistit v aplikaci.
Kritická
Logy přístupu s evidencí osob
Ochrana dat před zneužitím
administrátory.
Všechny přenosy šifrovány.
>> S/MIME, PGP, Bitlocker;
Šifrovací klíče v HSM modulu;
Office 365 Per-file encryption;
trackování činnosti administrátorů
Navíc jednoznačná identifikace
osoby provádějící změnu (např. el.
podpis).
>> El. podpis emailu, dokumentu,
časové razítko nebo důvěryhodný
archiv (dodatečné nástroje)
1) RMS
Běžné metody zálohování a
obnovy. >>Standardní nástroje
Office 365, Azure
Záložní systémy s rychlou a
automatizovanou obnovou.
>> Výhoda cloudu:
geo-redundantní replikace,
redundance uložení + automatiz.
obnova
= Rights Management Services; TDE = Transparent Database Encryption; CLE = Column Level Encryption
Microsoft Advanced Threat Analytics (ATA)... link (Aug. 2015)
• Cíl: zachytit abnormality na základě analýzy AD traffic a SIEM záznamů
• Profiluje normální chování uživatelů min. 3 týdny, vytváří šablony
• Pak porovnává AD traffic a vyhodnocuje:
o Neautorizované změny konfigurací prostředků
o Útoky „Pass The Hash“, „Pass The Ticket“, lateral movement
o Abnormální chování uživatelů
• Neviditelný pro útočníky
System Center Operations Management Suite – MSTIC info
• Ověřuje jestli on-premise PC‘s nebo servery se připojují k nakaženým IP adresám (web serverům)
• Informace z Microsoft Threat Intelligence Center (MSTIC) a od třetích stran
• Předáváme hodinové updaty špatných IP adres do on-premise SCOM
• Centralizovaný pohled na statistiku pokusů připojit se na špatné IP adresy
21
Blog „Announcing new O365 mgmt API“ z 21/4/15
Office 365 Management Activity API
•
•
•
•
> 150 typů událostí, a stále se rozšiřuje
Týká se SharePoint online, Exchange online, Azure AD... rozšiřuje se
Non-owner mailbox access report (zahrnuje i MS admin access)
Konsistentní atributy pro všechny typy událostí
Partnerská řešení, vhodné pro SIEM
•
•
RESTful API with OAuth v2
Řada zavedených řešení podporuje toto API: AlertLogic,
CloudLock, Cogmotive, Rapid7, SumoLogic...
22
Monitorování provozu VM‘s
Auditní logy
Diagnostika – system health
Monitorování, notifikace aplikací
Web server, Apps logging
Vlastní nastavení alertů a metrik
23
Akvizice Adallom (IL – startup) – 09/2015
Gartner: „Cloud Access Security Broker“ – CASB; Office 365 and Azure
Visibility and Context
•
•
•
Users, data, activities, devices, data sharing patterns
File sharing patterns – monitoring Box, Google Drive, OneDrive etc. sharing
Application dashboard – monitoring user connections and privileges
Governance
•
Adallom for Custom Apps (Azure)
•
Poskytuje auditní stopu, abnormality v chování uživatelů
•
Access control policies, vynucení šifrování dat/souborů, DLP controls, alerts
Threat Protection
•
SmartEngine heuristics (Adallom Labs IP) >74 variables defining normal usage, alerts
•
Alerts per user, high-risk users – file sharing, zombie users, large downloads
•
Potential security incidents: connecting to blacklisted IP address, multiple failed log-ins
24
link
Prevence, detekce a reakce na hrozby díky lepšímu vhledu a správě prostředků v cloudu
Alerty – např. malware,
brute force attack, DDoS
Prevence – přehled
bezpeč. politik
Monitoring prostředků
vůči bezpeč. politikám
Detekce exploitů pomocí
Azure Machine Learning
Upozornění –
chybějící
záplaty
25