Центр безопасности Azure: новые функции и улучшения

Мы уже в 2021 году, а пыль еще не осела с 22 по 24 сентября прошлого года, когда мы стали свидетелями первой части конференции Microsoft Ignite как полностью цифрового мероприятия. На этом мероприятии было сделано много новостей и объявлений, и мы уже освещали новости Azure Sentinel в предыдущей статье.

Вторая часть Microsoft Ignite — 2-4 марта. Точно так же это будет цифровое мероприятие, и я ожидаю, что оно, как и его старший брат, будет наполнено последними техническими объявлениями не только от Microsoft, но и от партнеров Microsoft.

Поскольку мы ожидаем вторую часть одной из самых важных конференций Microsoft, давайте рассмотрим некоторые очень интересные улучшения в Центре безопасности Azure, представленные несколько месяцев назад на последнем мероприятии.

Одно из самых больших изменений, которое сразу же замечают пользователи Центра безопасности Azure, — это его визуальная переработка, необходимая не только для учета изменений в брендинге, но и потому, что новая функциональность также нуждалась в своем месте:

«Общие», «Облачная безопасность» и «Управление» — это три отдельные части недавно переработанных колонок меню, содержащих специализированные лезвия для управления, защиты и анализа состояния безопасности.

В колонке «Общие» отображается обновленная и лучше организованная обзорная панель мониторинга и информация, где каждая колонка меню «Безопасность в облаке» имеет собственную панель мониторинга, а также панель «Инвентаризация». Конечно, каждая панель инструментов по-прежнему активна, мгновенно открывая соответствующие страницы. Статус Secure Score рассчитывается на основе упрощенных баллов и отображается в процентах. Процентная оценка присутствует не только в Azure, но и в других продуктах и функциях, таких как соответствие требованиям и безопасность в Microsoft 365, и обеспечивает лучшее понимание состояния и позволяет администраторам легче отслеживать тенденции и сравнивать состояния.

Две другие панели мониторинга, расположенные в правой части страницы «Обзор», содержат ценную информацию: Insights and Controls с самым высоким потенциальным увеличением показателя безопасности:

На панели инструментов Insights отображаются наиболее распространенные рекомендации по ресурсам, что позволяет определить наиболее частые рекомендации и их количество, в то время как элементы управления с наибольшим потенциальным увеличением показывают основные риски безопасности и потенциальное увеличение оценки в баллах и процентах, если все рекомендации контрольной группы были исправлены.

Выпуск Azure Defender следует брендингу семейства продуктов и охватывает ряд планов, предлагающих широкий спектр защиты на уровне служб, данных и вычислений в среде Azure:

• Защитник Azure для службы приложений.
• Защитник Azure для серверов.
• Хранилище защитника Azure.
• Защитник Azure для Key Vault.
• Защитник Azure для DNS.
• Защитник Azure для диспетчера ресурсов.
• Защитник Azure для SQL.
• Защитник Azure для Kubernetes.
• Защитник Azure для реестров контейнеров.

Теперь введенные параметры безопасности доступны для всех служб в группе «Безопасность» в колонке «Безопасность»:

Службы с рекомендациями, которые отображаются в Центре безопасности Azure, имеют схожий интерфейс и содержимое, а также имеют общее цветовое кодирование для быстрой идентификации, категоризации и сортировки событий. Они присутствуют с момента создания Центра безопасности Azure. В разделе «Рекомендации», «Предупреждения безопасности» и «Выводы» вверху отображается ряд событий, а в середине — дополнительные описания рекомендаций с неизбежной и долгожданной ссылкой на колонку «Рекомендации ASC». В нижней части результатов оценки уязвимостей показаны результаты проверки безопасности и соответствующий им уровень серьезности.

В разделе «Рекомендации» для упрощения идентификации и оценки элемента у вас есть возможность сгруппировать рекомендации по элементам управления (включено на первом снимке экрана ниже) или оставить их разгруппированными, показывая наиболее важные исправления вверху (выключено на втором снимке экрана ниже):

Одной из запрошенных функций в Центре безопасности Azure была возможность создать исключение из рекомендаций и оценки безопасности для определенного ресурса. В особой ситуации, когда у вас есть ресурс, который не должен быть указан как неработоспособный, и для предотвращения негативного влияния на оценку, теперь мы можем исключить такой ресурс из наблюдения:

Теперь функция «Создать исключение» все еще находится на этапе предварительного просмотра, и в будущем ее отсутствие может измениться. Вы можете установить дату истечения срока действия и выбрать одну из двух категорий освобождения, решение и освобождение, через третье лицо или принять на себя риск исключения рекомендации:

В любом случае убедитесь, что, исключив ресурс из списка рекомендаций ASC, вы не понизите или иным образом негативно повлияете на уровень безопасности вашей среды Azure.

Усовершенствования Центра безопасности Azure включают управление положением безопасности в нескольких облаках с помощью Azure Arc, а после подключения Центр безопасности Azure также может отображать рекомендации из облаков Amazon Web Services (AWS) и Google Cloud Platform (GCP).

Подключить учетную запись AWS к Azure Security Center не сложнее, чем создать простую виртуальную машину в Azure. Вот общие шаги для подключения учетной записи Amazon Web Services:

1. В консоли AWS нажмите «Сервисы» и в разделе «Безопасность, идентификация и соответствие» выберите IAM.
2. В разделе «Роль» создайте другую учетную запись AWS и введите идентификатор учетной записи Microsoft (158177204117). Установите флажок Требовать внешний идентификатор и введите Внешний идентификатор, значение идентификатора, уникальное для вас (т. е. ваш идентификатор подписки Azure). Щелкните Далее: Разрешения.
3. Добавьте разрешения для роли:
   • БезопасностьАудит
   • AmazonSSMАвтоматизацияРоль
   • AWSSecurityHubReadOnlyAccess
4. При желании добавьте теги и выполните задание. На странице «Сводка» скопируйте роль ARN (имя ресурса Amazon), так как она понадобится вам в мастере ASC.

5. В Центре безопасности Azure в группе Управление щелкните Облачные соединители (предварительная версия), а затем щелкните Добавить учетную запись AWS.
6. Выполните «Основы» и выберите «Принять метод проверки подлинности роли». (Другой способ аутентификации ASC в AWS — создать пользователя в AWS и ввести его учетные данные (идентификатор ключа доступа и секретный ключ доступа, полученные на странице «Сводка» в консоли AWS). В поле ARN роли AWS вставьте роль ARN. Нажмите «Далее».
7. Создайте субъект-службу с помощью предоставленного сценария PowerShell или вручную. Введите идентификатор и секрет клиента субъекта-службы и нажмите кнопку Далее.
8. На странице Проверка и создание завершите работу мастера.

После завершения процедуры подключения учетной записи AWS не удивляйтесь, если записей AWS не будет — может пройти несколько часов, прежде чем вы сможете увидеть рекомендации AWS в Центре безопасности Azure. Аналогичные действия необходимы для подключения учетной записи GCP — после этого вы можете работать с рекомендациями AWS и GCP точно так же, как и с «домашними», то есть с рекомендациями Azure:

Другие примечательные объявления включают возможность непрерывно экспортировать рекомендации и оповещения в режиме реального времени в Azure Event Hubs, Azure Monitor и Log Analytics Workspaces, обеспечивая возможность интеграции с Azure Sentinel, Power BI и другими решениями.

Центр безопасности Azure может отправлять уведомления по электронной почте об оповещениях для всех уровней серьезности. Рекомендации теперь включают индикатор серьезности и интервал обновления, а рекомендации предварительного просмотра больше не включаются в оценку безопасности.

Запланированные изменения в Центре безопасности Azure включают в себя улучшения рекомендаций по классификации данных SQL и новые рекомендации по расширению охвата эталонного теста безопасности Azure.

Всего за месяц до второй части конференции Microsoft Ignite мы ожидаем новых объявлений, представлений и улучшений функций и, возможно, некоторых новых интересных продуктов.