1
Způsoby zabezpečení cloudových služeb Microsoft
Zdeněk Jiříček
National Technology Officer
Microsoft Česká republika
2
200+ cloud services
1+ million servers
$15B+ infrastructure investment
The Microsoft Trusted Cloud
1 billion customers
20 million+ organizations
140 countries worldwide
Online
3
5
Bezpečnost v cloudu dle ISO 27001:2013Další požadavky dle ISO 27018, NIST 800-53, PCI-DSS (Payment Card Industry) atd.
Bezpečnostní opatření
Řízení rizik
1. (A.05) Bezpečnostní politika
2. (A.06) Organizace bezpečnosti informací
3. (A.07) Bezpečnost lidských zdrojů
4. (A.08) Řízení aktiv
5. (A.09) Řízení přístupu
6. (A.10) Šifrování
7. (A.11) Fyzická bezpečnost a vliv přírodních rizik
8. (A.12) Řízení provozu
9. (A.13) Bezpečnost komunikací
10. (A.14) Akvizice, vývoj a údržba
11. (A.15) Řízení dodavatelů
12. (A.16) Zvládání bezpečnostních incidentů
13. (A.17) Řízení obchodní kontinuity
14. (A.18) Soulad s regulatorními požadavky
Hrozby
Zranitelnosti
Audity
Incidenty Penetrační testy
Wargaming
Aktiva
Microsoft Azure 6
24x7 globální monitorování ze SOCů
Bezpečné multi-tenantní prostředí (izolace tenantů)
Neexistuje globální přístup adminů na data zákazníků
Segmentace vnitřní sítě – přístup na email z jiného segmentu
Ochrana před DOS / DDoS (scaling, throttling, packet filtering)
Antivirus/antimalware/SPAM filtrace a garantované záplatování
Prevence a detekce možných průniků (IPS, IDS, SIEM....)
Předpoklad průniku: wargaming red / blue teams
Infrastrukturní ochrana
Cloud - ochrana dat šifrováním
Bitlocker
Šifrování AES-256
Destrukce NIST 800-88
Data v úložišti
Nástroje poskytované cloud. službou
Nástroje zákazníka
Microsoft Azure
Bitlocker (volba zákazníka)
Šifrování AES-256
Destrukce NIST 800-88
„Per-File Encryption“
Nativní služba
RMS, S/MIME – nativně
PGP atd. – manuálně
3rd Party solutions
(př. Thales Cyris)
SQL Server TDE / CLE
RMS SDK
.NET Client side encryption
3rd Party.. SafeNet, CloudLink
Protokol SSL/TLS
Nově: Perfect Forward Secrecy (PFS)
Ochrana dat při přenosu
RMS, S/MIME
Na aplikační úrovni
Azure Key Vault
Azure Disk Encryption (VM)
StorSimple
8
Content DB
A B C D
E
Key Store A
B
C
D
A
B
C
D
E
SharePoint Online;
OneDrive for Biz
(folder level)
článek MS TechNet
9
Další zabezpečení dat v Office 365
RMS - Rights Management Services• Volitelné šifrování a zabezpečení obsahu emailů a dokumentů
• Uživatel volí různé stupně (šablony) přístupových práv
• Azure AD RMS – lze jednoduše i mimo vlastní organizaci
Exchange Online Data Loss Prevention (DLP)• Vestavěná inteligence – zabraňuje uživateli odeslat emailem
citlivé informace (včetně příloh a offline režimu)
• Výchova uživatelů, „citlivé informace“lze nastavit politikami
Exchange Online Protection (EOP); nově:
Advanced Threat Protection (ATP)• Navíc k Exchange Online Protection: Safe Attachments
• ATP Safe Links – ochrana před redirekcí webů na další URL
• Zero-day ochrana: neznámé přílohy spouštěny v izol.
hypervisoru, testy Machine Learning
Bezpečnostní
rizikoZpůsob řešení
Interní únik datRMS, BitLocker,
SP File Encryption
Ztráta citlivých dat
RMS;
Exchange 2013 DLP
Policies
Ukradený/ztracený
laptopBitLocker
Ukradený/ztracený
smartphoneBitLocker
10
Key Vault
Pro zákaznické aplikaceZabezpečený přístup ke klíčům pro šifrování obsahu a pro el.
podpis. Aplikace vyvinuté Azure Storage SDK (poslední verze)
mohou šifrovat data automaticky, master key je v Key Vault.
SQL ServerGenerování a správa klíčů pro SQL Server TDE, CLE, a Backup
Lze pro Azure Virtual Machines i pro SQL Server on-premises
VM„s: Azure Disk Encryption (ohlášeno)Bitlocker pro Windows Server Virtual Hard Drive (VHD)
Linux DM-Crypt pro Linux VM‘s
Master key pro CloudLink Secure VM, SafeNet V-Protect atd.
See http://azure.microsoft.com/en-us/services/key-vault/
11
• On Azure: http://azure.microsoft.com/en-us/services/key-vault/https://azure.microsoft.com/en-us/documentation/articles/key-vault-whatis/
http://azure.microsoft.com/en-us/updates/general-availability-azure-key-vault/
• Dan Plastina's blog (insight): http://blogs.technet.com/b/kv/archive/2015/01/08/azure-key-vault-making-the-cloud-safer.aspx
• Key Vault Blog (regular updates): http://blogs.technet.com/b/kv/
http://azure.microsoft.com/en-us/pricing/details/key-vault/
• Azure Key Vault Developer's Guidehttps://azure.microsoft.com/en-us/documentation/articles/key-vault-developers-guide/
• Code samples http://www.microsoft.com/en-us/download/details.aspx?id=45343
• BYOK preparation tools http://www.microsoft.com/en-us/download/details.aspx?id=45345
https://technet.microsoft.com/en-us/library/dn440580.aspx
11
12
Azure Security Center
Azure Virtual NetworkSite-to-site VPN / IPsec protocol
Izolace virtuálních sítí mezi sebou
Azure deployments v rámci subskripce - privátní IP adresy
Exchange Online Protection & DLP
Advanced Threat Protection (ATP)
Logování téměř v reálném čase, vstup do SIEM
Office 365 Management Activity API
System Center Operations Management SuiteInfo o hrozbách z Microsoft Threat Intelligence Center (MSTIC)
Microsoft Advanced Threat Analytics (ATA)Abnormality v provozu AD a chování uživatelů, pass-the-hash
Partnerská řešení bezpečnosti v clouduiProtect-DDoS; Barracuda AppFirewall;
CheckPoint VirtualGateway; RiverBed SteelApp; Cohesive...
Antimalware for Azure with real-time remediationOchrana a karanténa souborů v VM, DDoS defense
Typ „Cloud Access Security Broker “Visibility, Audit Trail, Threat Protection
13
ZKB: jak na cloudové služby v rámci ISMS
Zák. č. 181/2014 Sb. a jeho technická vyhláška č. 316/2014 Sb.
§29: Povinná osoba může splnit certifikací ISO/IEC 27001, pokud tato pokrývá
celý rozsah ISMS
§4: Vzít v úvahu min. výčet hrozeb a zranitelností a úroveň řízení rizik
§7: Požadavky na dodavatele (viz dále)
Příloha 1. – Hodnocení / kategorie aktiv („C-I-A”)
Příloha 2. – Vzorová metodika řízení rizik (dle ISO 27005)
Příloha 4. – Poskytnout podklady k dokumentaci nebo certifikaci povinné osoby
14
Zavedení pravidel pro dodavatele
pro potřeby řízení bezpečnosti
informací
Dokumentace smlouvou, jejíž
součástí je ustanovení o bezpečnosti
informací
Microsoft splňuje „Podmínkami pro
služby online - OST“:
oddíl „Podmínky ochrany osobních
údajů a zabezpečení“ – součást
písemné smlouvy
Pozn. OST = Online Services Terms
„VIS“ – pouze odst. (1)
Smlouva zahrnuje způsoby a úrovně
bezp. opatření a vztah odpovědnosti za
jejich zavedení a kontrolu
Microsoft: „OST“ obsahuje seznam
opatření a závazek cert. ISO 27001
Microsoft dá k dispozici povinné osobě:
1. Svoji „Bezpečnostní politiku“
2. ISO 27001 certifikát (online výpis)
3. ISO 27001 prohlášení o
aplikovatelnosti (výčet opatření)
4. ISO 27001 auditní zprávu, a na
vyžádání SOC 1 & 2 audit. zprávy
Povinná osoba zapracuje do svojí
bezpečnostní politiky
„KII“ – dále odst (2) b
Pravidelné hodnocení rizik služeb (příp. i
před uzavřením smlouvy); Kontroly
zavedených bezp. opatření
Zhodnocení řízení rizik nezávislým
auditorem, podklady dle Přílohy 2):
1. Metodika hodnocení rizik, funkce,
definice proměnných a jejich úrovní
2. Min. seznam hrozeb a zranitelností (§4)
3. Pravidelnost hodnocení rizik, způsoby
schvalování přijatelných rizik
4. Závazek včasného řešení vyšších úrovní
výsledných rizik
Kontrola účinnosti zavedených bezp.
opatření auditními zprávami ISO 27001 a
SOC 1 & 2 Type 2
„KII“ – dále odst. (2) a, c
15
Ověření řízení rizik Office 365 a Azure vůči vyhl. č. 316/2014 Sb.• Vychází z § 7 – Bezp. požadavky na dodavatele
• Zohledňuje povinnosti z § 4 Řízení rizik (obecně)
• Srovnává metodiku Microsoftu se vzorovou metodikou v Příloze č. 2 vyhlášky
PwC - podrobné přezkoumání podkladů• Podrobná dokumentace k ISO 27001, Risk Standard Operating Procedures
Předmět reportu zejména:• Celkový přístup k řízení rizik v cloudu
• Metodika hodnocení rizik, funkce, definice proměnných a jejich úrovní
• Min. seznam hrozeb a zranitelností (§4)
• Pravidelnost hodnocení rizik, způsoby schvalování přijatelných rizik
• Závazek včasného řešení vyšších úrovní výsledných rizik
16
• Certifikace ISO 27001, 27018, SOC reporty 1&2,
a dostatek dokumentace pro požadavky ZKB a další regulace
• Kyber-obrana v cloudu: technologické novinky, Big Data a Azure
Machine Learning
• Využití cloudu dle hodnocení Vašich informačních aktiv –
bohaté nástroje pro ochranu dat v cloudu
• Máme objektivní důvody věřit více ochraně dat
ve „svém datacentru“?
Shrnutí
17
© 2014 Microsoft Corporation. All rights reserved. The information herein is for informational purposes only and represents the current view of Microsoft
Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a
commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Zdeněk JiříčekNational Technology Officer
Děkuji za pozornost!
18
Celý report: http://www.microsoft.com/about/corporatecitizenship/en-us/reporting/transparency/
19
Managed by:
Úroveň: Důvěrnost Integrita Dostupnost
Střední Řízení přístupu
>>Standardní nástroje
Office 365, Azure
Standardní nástroje. Omezení práv
zápisu atd. >>Standardní nástroje
Office 365, Azure
Běžné metody zálohování a
obnovy. >>Standardní nástroje
Office 365, Azure
Vysoká Řízení přístupu + logy.
Vnější přenosy jsou šifrovány.
>>Standardní nástroje
Office 365, Azure; dále:
RMS, TDE/CLE1) nebo S/MIME na
úrovni aktiva
Záznam historie změn +osoba.
Ochrana integrity kryptografií na
vnější síti. >>Standardní nástroje
Office 365-Verzování dokumentů,
revize. Azure – zajistit v aplikaci.
Záložní systémy + manuální
obnova. >>Standardní nástroje
Office 365, Azure
Kritická Logy přístupu s evidencí osob
Ochrana dat před zneužitím
administrátory.
Všechny přenosy šifrovány.
>> S/MIME, PGP, Bitlocker;
Šifrovací klíče v HSM modulu;
Office 365 Per-file encryption;
trackování činnosti administrátorů
Navíc jednoznačná identifikace
osoby provádějící změnu (např. el.
podpis).
>> El. podpis emailu, dokumentu,
časové razítko nebo důvěryhodný
archiv (dodatečné nástroje)
Záložní systémy s rychlou a
automatizovanou obnovou.
>> Výhoda cloudu:
geo-redundantní replikace,
redundance uložení + automatiz.
obnova
1) RMS = Rights Management Services; TDE = Transparent Database Encryption; CLE = Column Level Encryption
21
Microsoft Advanced Threat Analytics (ATA)... link (Aug. 2015)• Cíl: zachytit abnormality na základě analýzy AD traffic a SIEM záznamů
• Profiluje normální chování uživatelů min. 3 týdny, vytváří šablony
• Pak porovnává AD traffic a vyhodnocuje:
o Neautorizované změny konfigurací prostředků
o Útoky „Pass The Hash“, „Pass The Ticket“, lateral movement
o Abnormální chování uživatelů
• Neviditelný pro útočníky
System Center Operations Management Suite – MSTIC info• Ověřuje jestli on-premise PC‘s nebo servery se připojují k nakaženým IP adresám (web serverům)
• Informace z Microsoft Threat Intelligence Center (MSTIC) a od třetích stran
• Předáváme hodinové updaty špatných IP adres do on-premise SCOM
• Centralizovaný pohled na statistiku pokusů připojit se na špatné IP adresy
22
Office 365 Management Activity API• > 150 typů událostí, a stále se rozšiřuje
• Týká se SharePoint online, Exchange online, Azure AD... rozšiřuje se
• Non-owner mailbox access report (zahrnuje i MS admin access)
• Konsistentní atributy pro všechny typy událostí
Partnerská řešení, vhodné pro SIEM• RESTful API with OAuth v2
• Řada zavedených řešení podporuje toto API: AlertLogic, CloudLock, Cogmotive, Rapid7, SumoLogic...
Blog „Announcing new O365 mgmt API“ z 21/4/15
23
Monitorování provozu VM‘s
Auditní logy
Diagnostika – system health
Monitorování, notifikace aplikací
Web server, Apps logging
Vlastní nastavení alertů a metrik
24
Akvizice Adallom (IL – startup) – 09/2015
Gartner: „Cloud Access Security Broker“ – CASB; Office 365 and Azure
Visibility and Context• Users, data, activities, devices, data sharing patterns
• File sharing patterns – monitoring Box, Google Drive, OneDrive etc. sharing
• Application dashboard – monitoring user connections and privileges
Governance• Adallom for Custom Apps (Azure)
• Poskytuje auditní stopu, abnormality v chování uživatelů
• Access control policies, vynucení šifrování dat/souborů, DLP controls, alerts
Threat Protection• SmartEngine heuristics (Adallom Labs IP) >74 variables defining normal usage, alerts
• Alerts per user, high-risk users – file sharing, zombie users, large downloads
• Potential security incidents: connecting to blacklisted IP address, multiple failed log-ins
25
linkPrevence, detekce a reakce na hrozby díky lepšímu vhledu a správě prostředků v cloudu
Prevence – přehled bezpeč. politik
Monitoring prostředků vůči bezpeč. politikám
Ale
rty –
nap
ř. m
alw
are
, b
rute
fo
rce a
ttack
, D
Do
S
Detekce exploitů pomocí Azure Machine Learning
Upozornění –chybějící záplaty