Kategori arşivi: Azure Security

Microsoft shared responsibility model

Microsoft, güvenlik ve operasyonel sorumluluklarını tanımlamak için Azure hizmetlerinde paylaşılan bir sorumluluk modelini kullanmaktadır. Yani her bir bulut servisi için belirli sorumluluk alanlarını aslında Müşteri ile paylaşmaktadır. Örneğin aşağıda bu konuyu güzel bir şekilde özetleyen bir görsel bulabilirsiniz.

Örneğin On-Prem bir sistemde bulut oyuncusunun hiç bir sorumluluğu yokken SaaS örneğin Office 365 gibi bir platform için Application Level Control noktasına kadar tüm sorumluluk Microsoft veya bulut oyuncusunda iken üst katmanlarda ise sorumluluk shared mantığı ile yani paylaşımlı olarak gösterilmektedir. Bir nevi ne tüm sorumluluk müşteride ne de üreticide olmaktadır. Karşılıklı olarak her iki tarafında yerine getirmesi gereken sorumlulukları vardır.

Güvenlik Zafiyet Uyarısı – Permissions Flaw Found on Azure AD Connect

Merhaba arkadaşlar, öncelikle hepinize güzel bir hafta diliyorum. Malum sürekli güvenlik açıkları ile ilgili bilgiler veriyoruz, bu sefer bulut müşterileri için bir bilgilendirme yapmak istiyorum. Microsoft Azure AD Connect yazılımını “express settings” olarak yapılandıran müşteriler için bir güvenlik açığı duyuruldu. Şu anda bir fix yok ama hızlıca bir PS ile eğer bu şekilde bir kurulum yaptıysanız önlem alabilirsiniz.

https://gallery.technet.microsoft.com/prepare-active-directory-ef20d978

Daha fazla bilgi için

https://blog.preempt.com/advisory-flaw-in-azure-ad-connect

suspicion of identity theft based on abnormal behavior

Microsoft ATA üzerinde alabileceğiniz güvenlik uyarılarından birisidir. Bu uyarı temel olarak bir kullanıcının anormal davranışlar sergilediğini gösterir. Örneğin hiç oturum açmadığı bir bilgisayardan oturum açması, hiç erişmediği bir kaynağa erişmesi ve benzeri. Tabiki bu uyarı için ATA ürününün en az ortamda 3 hafta tüm Domain controller makinelerden sağlıklı bir şekilde bilgi toplaması gereklidir. Bu süreden önce bu hatayı alıyorsanız ATA için 1.6 sürümü için bir yama yayınlandı;

https://support.microsoft.com/en-us/help/3172500/description-of-update-1-for-microsoft-advanced-threat-analytics-v1-6

Diğer sürümlerde böyle bir sorun görülmemektedir.

Burada önemli olan bu hatanın altındaki abnormal resources kısmıdır, yani burayı inceleyip gerçekten kullanıcının bu bilgisayarlara veya kaynaklara erişip erişmediğini kontrol edebilirsiniz.

Azure Security Center Platform Migration

Azure Security Center, Azure kaynaklarınızın güvenliğini artırmak ve bu kaynakları kontrol altına almak için tehditleri önlemeye, algılamaya ve bunlara yanıt vermenize yardımcı olur. Azure aboneliklerinizde entegre güvenlik izleme ve politika yönetimi sağlayarak fark edilmeyebilecek tehditleri tespit etmenize yardımcı olur.

Haziran 2017 ile beraber Azure Security Center, veri toplama ve saklama yöntemlerinde değişiklik olmuştur. Bu değişiklik sayesinde yeni özellikler gelmiştir. Özellikle kolay arama ve diğer Azure yönetim, izleme servisleri ile daha uyumlu çalışmaktadır.

Pekin ne değiştir?

Azure Security Center, Azure Monitoring Agent ile sanal makinelerinizden güvenlik verilerini toplamaktaydı. Bu güvenlik verileri temel olarak güvenlik açıklarını tanımlamak için kullanılan güvenlik yapılandırmalarını ve tehditleri tespit etmek için kullanılan güvenlik olayları hakkında bilgi içermektedir. Toplanan bu veriler, Azure üzerindeki sizin depolama hesabınız içerisinde saklanmaktaydı.

Şimdi ise Azure Security Center, Operations Management Suite and Log Analytics servisinin kullandığı agent olan “Microsoft Monitoring Agent”’ ı kullanmaktadır. Veriler bu agent üzerinden toplanır.

Bu Agent ile toplanan veriler, Azure aboneliğinizle ilişkili mevcut bir Log Analytics çalışma alanına veya loglarını topladığınız sanal makinenin ya da kaynağın coğrafi konumunu dikkate alarak yeni bir çalışma alanına depolanır.

Azure Security Center tarafından açılan workspace’ i aşağıdaki standartlara göre bulabilirsiniz;

Workspace: DefaultWorkspace-[subscription-ID]-[geo]

Resource Group: DefaultResouceGroup-[geo]

Bendeki durum aşağıdaki gibi;

Bu yeni oluşturulan workspace için veri saklama periyodu 30 gündür. Ancak sizin hesabınızda hali hazırda bir workspace vardı ve Azure Security Center bunu kullandı ise bu durumda log saklama periyodu mevcut workspace için fiyatlandırma tipine göre değişiklik gösterir.

Ek olarak OMS kullanmıyorsanız, Azure Security Center kullanımı ile beraber OMS Security çözümü yüklenir. Fakat sadece Azure sanal makineler için çalışır.

Bu geçiş ile beraber tabi ki bir takım ek özellikler, iyileştirmeler de yapılmıştır, yani tek iyileştirme sadece data platformu için değildir.

Ek işletim sistemi desteği gelmiştir;

https://docs.microsoft.com/en-us/azure/security-center/security-center-faq#virtual-machines

OS Zayıflıklarının listesi genişletildi;

https://gallery.technet.microsoft.com/Azure-Security-Center-a789e335

Fiyatlandırma eski modelde günlük iken yeni modelde saatlik olmuştur.

Standart tier müşterileri için veri toplama özelliği varsayılan olarak aktif edilmektedir. Çünkü bu model için veri toplama özelliğinin açık olması şarttır. Free modelde isterseniz veri toplama özelliğini kapatabiliyorsunuz.

Microsoft dışındaki Antimalware üreticilerinin de ürünleri keşif sırasında tespit edilebilecek. Yani Sistemlerinizde örneğin X bir AV var ise bunu sistem fark edemediği için uyarı veriyordu, ilk olarak Symantec EndPoint protection için Windows Server 2016 üzerinde bu destek gelmektedir.

Microsoft Security Response Center (MSRC) ve Azure Security Center Uyarıları Arasındaki Fark Nedir?

Microsoft Güvenlik Yanıt Merkezi (MSRC), Azure ağını ve altyapısını güvenlik özelinde izler ve tehdit istihbaratını alır. MSRC, müşteri verisinin yasalara aykırı veya yetkisiz bir tarafça erişildiğinin farkına vardığında veya müşterinin Azure’u kullanması kabul edilebilir kullanım koşullarına uymadığının farkına vardığında bir güvenlik olay yöneticisi müşteriye bilgi verir. Bildirim genelde Azure Güvenlik Merkezinde veya Azure abonelik sahibinde belirtilen kişiye bir e-posta göndererek gerçekleşir.

Azure Security Center ise, müşterinin Azure ortamını sürekli olarak izleyen ve çeşitli olası kötü amaçlı etkinlikleri otomatik olarak algılamak için sunulan bir Azure hizmetidir. Bu algılamalar, Güvenlik Merkezi kontrol panelindeki güvenlik uyarıları olarak ortaya çıkar. Bu uyarılar yine ilgili güvenlik yöneticisine mail olarak iletilmektedir.

 

Microsoft Cloud Red Team ve Azure Güvenliği

Azure güvenliği hakkında yazılacak çok fazla başlık var ancak özellikle Azure ne kadar güvenli? Evet pek çok sertifikası var ama bunun güncelliği nasıl denetleniyor veya sağlanıyor gibi pek çok soru soruluyor. Aslında bu sorunların temelinde bir ayrım yapmak gerekiyor. Sizin Iaas veya Paas yada kullandığınız diğer servisler için eğer kodlarınızda veya altyapınızda bir açık var ise buradan gol yemeniz çok normal bir durum olup bu aslında platform bağımsız bir durumdur. Yani alt yapı ama amazon, ama google yada yerel bir ISP de olsa benzer sorun yaşamanız normaldir.

Aslında daha önemli konu size sunulan bu alt yapının ne kadar güvenli olduğu. Burada sizinle ilginç bir bilgi paylaşmak istiyorum. Microsoft kendi içerisinde ethical hacker grubundan oluşan bir takım ile ( Microsoft Cloud Red Team ) aslında kendi sistemlerini 7/24 izliyor ve açık arıyor. Daha güzeli bir de savunma yapan Blue Team var.

Tabiki Red Team işini yaparken tabi ki müşterilere sunulan SLA sürelerini veya anlaşmalarını etkileyecek herhangi bir kesintiye neden olamazlar yada herhangi bir şekilde müşteri verisine erişim veya değiştirme söz konusu olamaz. Aslında temel olarak Microsoft’ un sunmuş olduğu bu alt yapı için düzenli olarak penetration testing yapan bir ekibin olduğunu bilmek güzel bir şey.

Red team hakkında daha fazla bilgi için aşağıdaki linki inceleyebilirsiniz

https://gallery.technet.microsoft.com/Cloud-Red-Teaming-b837392e