Articoli

Azure e la protezione dei dati: strumenti e casi d’uso per la gestione dell’audit

,
modern security

In questo articolo forniamo alcuni spunti su come sia possibile utilizzare Microsoft Azure per gestire in modo efficace audit e monitoraggio degli accessi ai sistemi, un utile requisito per la conformità al GDPR.

Con l’applicazione del GDPR (General Data Protection Regulation) dal 25 Maggio 2018 nell’Unione Europea, molte organizzazioni si sono trovate a mettere in atto piani e decisioni per ottenere la conformità, migliorando la protezione dei dati personali. In questo articolo andremo a selezionare una particolare esigenza collegata all’adozione del GDPR (il controllo degli accessi), e la useremo come caso d’uso per mostrare come Microsoft Azure possa supportarci con diversi strumenti nell’ambito della Modern Security.

Il valore dei dati personali ha assunto una rilevanza sempre maggiore negli ultimi anni, con conseguente incremento dell’attività dei “cybercriminali” che espone a sempre maggiori rischi i dati degli utenti di tutto il mondo. Per far fronte a queste problematiche, nel contesto dei continui avanzamenti tecnologici e dei rischi derivanti da usi impropri dei dati personali da parte di governi e aziende, l’Unione Europea ha varato un’apposita legge per chiarire i diritti relativi ai dati dei cittadini europei e assicurandone un’adeguata protezione su tutto il territorio UE.

Stiamo parlando quindi del GDPR (General Data Protection Regulation), che da Maggio 2018 vincola tutte le organizzazioni (ovunque esse siano situate nel mondo) che trattano dati personali di cittadini residenti nel territorio UE, a rispettare un preciso regolamento, pena il pagamento di notevoli sanzioni.

Il GDPR garantisce ai cittadini UE il diritto di accedere, visualizzare, eliminare o spostare i propri dati personali nel momento in cui essi siano raccolti, salvati, usati o elaborati da un’organizzazione.

Microsoft Azure e la protezione dei dati: panoramica

La gestione dei dati in conformità al GDPR richiede alle organizzazioni uno stretto controllo su dove i dati personali vengono salvati e le relative modalità, di migliorare le proprie policies fornendo un accesso discrezionale ai soggetti previsti dalla legge, e di prevedere strumenti di data governance adatti a garantire trasparenza, mantenimento dei registri e reportistica.

Da questo punto di vista, Microsoft Azure offre una ricca serie di  servizi e strumenti per aiutare le aziende a gestire i dati personali migliorando il proprio livello di conformità al GDPR.

Microsoft ha sviluppato una metodologia articolata su 4 fasi per costruire un percorso verso la conformità al GDPR, prevedendo per ogni fase degli appositi servizi di Azure. La descrizione dei singoli servizi esula dall’obiettivo di questo articolo, ma mostreremo invece tra poco l’utilizzo di due servizi appositamente scelti per gestire un’esigenza tipica della vita reale:

  • Scoprire: ovvero identificare quali sono i dati personali presenti nella propria organizzazione e dove risiedono. Strumenti utili a questo scopo sono Azure Information Protection e Azure Data Catalog
  • Gestire: lo scopo è di mantenere un controllo su come i dati personali sono trattati e come viene effettuato l’accesso nell’organizzazione. Troviamo qui strumenti come Azure Active Directory e Azure RBAC che aiuta a definire una segregazione delle responsabilità.
  • Proteggere: obiettivo è impostare dei controlli per prevenire, rilevare e rispondere a vulnerabilità e violazioni dei dati. Abbiamo sicuramente Azure Security Center che fornisce una gestione unificata della sicurezza e della compliance e funzionalità di rilevazione minacce, e in generale tutti i servizi di crittografia dei dati, per esempio Azure Key Vault.
  • Segnalare: ovvero come gestire la reportistica. Lo scopo è mantenere la documentazione richiesta, gestire richieste relative ai dati e fornire all’occorrenza notifiche sulle violazioni dei dati. Il principale strumento a disposizione è senz’altro Azure Monitor che consente di raccogliere metriche e dati da diversi servizi e analizzare i registri delle attività con la funzionalità di Log Analytics.

Partiremo quindi da quest’ultima fase, che rientra nelle attività comunemente definite “audit”, per una dimostrazione pratica.

Microsoft Azure e la protezione dei dati: l’audit come esempio

Partiamo dal caso di un’azienda che si trovi a gestire su Azure un tipico workload come le macchine virtuali. Dal punto di vista dell’audit, per potere garantire trasparenza e tracciabilità nell’uso dei dati e potere fronteggiare per tempo le vulnerabilità, la prima cosa da fare è abilitare la raccolta dei registri eventi delle singole macchine virtuali, che contiene anche tutte le attività di accesso ai sistemi.

Per potere gestire in modo efficiente e centralizzato questa raccolta, possiamo sfruttare la versione gratuita del servizio Azure Security Center e scegliere tra le diverse opzioni di “Eventi di sicurezza di Windows” disponibili nella sezione Raccolta Dati.

Per avere un audit completo conforme a quanto richiesto dal GDPR; è consigliabile scegliere l’opzione “Comune”. Questa ci metterà a disposizione un insieme di dati contenente la tracciatura di tutte le operazioni di accesso ai sistemi (login e logout) e la registrazione di tutte le azioni come le modifiche agli account, ai gruppi e altre operazioni che possono impattare sulle policy di sicurezza.

I dati raccolti verranno poi salvati nel servizio Log Analytics workspace per potere essere all’occorrenza interrogati tramite apposite query.

A questo punto abbiamo le funzionalità di base per gestire i registri di accesso, ma per potere fornire rapidamente informazioni su richiesta relativamente agli accessi ai sistemi e ai dati, spesso i clienti esprimono esigenze più specifiche per gestire questa base di dati. Consideriamo infatti che si troverebbero a dovere interrogare manualmente dei grandi volumi di informazioni, il che non è sempre rapido o intuitivo.

Query con Log Analytics

Servirebbe in sintesi un’adeguata reportistica e in aggiunta anche un sistema di notifiche per potere essere avvisati in modo proattivo su attività anomale collegate a eventuali vulnerabilità.

Un’esigenza tipica potrebbe essere ottenere delle notifiche personalizzate che avvisano tramite mail se determinati utenti con permessi elevati hanno effettuato accesso ai sistemi in fasce orarie considerate inusuali (ad esempio la notte).

Mostriamo quindi come possiamo ottenere questo risultato con due diverse soluzioni basate entrambe sul metodo di raccolta dati descritto, ma implementate con dei servizi di Microsoft Azure completamente diversi tra loro, con livelli di costi e funzionalità differenti.

Azure Monitor: Alert

La soluzione più semplice si basa sul servizio Monitor che, come suggerisce il nome, ci consente di monitorare diversi servizi di Azure ed è nativamente integrato con il servizio Log Analytics che abbiamo appena descritto, utile per la raccolta e analisi dei dati.

Utilizzando la sua funzionalità Alerts, possiamo creare un’apposita regola dove andiamo a eseguire una query che interroga la tabella del registro eventi presente in Log Analytics, e che vada a intercettare un evento di connessione (logon) o disconnessione (logoff) ai sistemi all’interno di una determinata fascia oraria, effettuato da determinate utenze.

La query viene eseguita a intervalli regolari (es. 5 minuti) e solo nel caso venga restituito almeno un evento, viene generato un Alert. Gli alert possono poi essere visualizzati nell’apposita schermata che ne mostra i report e facendo click su ciascuno di essi si può accedere ai dettagli e lanciare una query in Log Analytics per visualizzare tutte le info per l’utente che ha provato a collegarsi.

ALERT

Usando gli Action Group di Azure Monitor, è molto semplice configurare poi delle notifiche scegliendo tra diversi metodi (mail, SMS, ecc.) e specificando gli utenti da avvisare. In questo modo possiamo essere avvisati non appena viene intercettato un accesso sospetto senza doverci ricordare di consultare i report.

Il vantaggio evidente di questa soluzione è la sua semplicità d’uso (si configura tutto in pochi minuti) e la sua economicità: l’unico costo è quello degli alert che è nell’ordine di pochi euro al mese.

La limitazione sta invece nel fatto che sia gli alert che le notifiche ricevute sono poco intuitivi e non contengono direttamente al loro interno i dettagli sull’attività rilevata, quindi nel momento in cui si desideri visualizzare al volo orari di accesso e nome dell’utente con postazione da cui si è collegato, è necessario arrivare fino a Log Analytics e eseguire comunque una query.

Azure Sentinel: Analytics e Automation

Azure Sentinel è il servizio SIEM (Security Information and Event Management) di Microsoft, uno strumento di gestione della security con funzionalità più avanzate rispetto ad Azure Security Center.

Possiamo intercettare gli stessi eventi che abbiamo appena descritto, usando sempre Log Analytics come sorgente dati, e utilizzando la funzionalità Analytic Rules: anche in questo caso andiamo a definire una regola con una logica personalizzata creando una query simile a quella usata in Azure Monitor.

A differenza della precedente soluzione però, la regola va a generare degli oggetti più complessi degli alert, gli Incident.

Gli incident consentono una gestione più strutturata rispetto a quanto visto finora, in quanto mostrano tutti i dettagli relativi all’evento intercettato, le correlazioni logiche tra le varie entità coinvolte, e hanno la possibilità di essere assegnati a determinati utenti o team che possono tracciarne lo stato.

SENTINEL INCIDENTS

Per implementare anche qui delle notifiche immediate, Sentinel offre i Playbook, in pratica delle raccolte di azioni automatizzate il cui flusso può essere disegnato con un apposito editor basato sulla tecnologia di Azure Logic App.

Possiamo quindi sviluppare un Playbook che la Analytic Rule può fare scattare, definendo al suo interno un flusso che consente di raggruppare secondo la logica desiderata, gli eventi intercettati (in modo da ottimizzare il volume di mail generate), e recapitare infine un messaggio ai destinatari corretti contenente tutte le informazioni degli eventi di accesso.

SENTINEL PLAYBOOK AND MAIL

I vantaggi di questa soluzione stanno sicuramente nella maggiore flessibilità di gestione delle informazioni e azioni di risposta e nell’alto livello di personalizzazione possibile: la stessa struttura della notifica mail viene costruita su misura.

I maggiori svantaggi stanno nella complessità di realizzazione in proporzione alla semplice esigenza da gestire, in quanto sia nella definizione della regola che del playbook è necessario scrivere del codice e rispetto alla precedente soluzione ci sono molte più opzioni da impostare. Inoltre, anche i costi sono molto maggiori in quanto al costo del servizio Log Analytics che è in proporzione ai dati raccolti, dobbiamo sommare anche una quota di costo specifica per l’elaborazione dei dati nel servizio Sentinel.

Conclusioni

I due esempi che abbiamo mostrato sono solo una semplice applicazione pratica circoscritta a una semplice e specifica esigenza, e le soluzioni descritte rappresentano una piccolissima parte del più complesso tema della gestione della privacy, della modern security e della conformità agli standard internazionali come il GDPR.

Ci auguriamo in ogni caso che mostrare due applicazioni basate su tecnologie molto diverse nell’ambito della stessa esigenza possa essere di utilità per dimostrare il livello di diversificazione sempre crescente dei servizi Azure, anche nell’ambito del monitoraggio e della security, venendo quindi incontro alle necessità di aziende di varie dimensioni.

Fonti e approfondimenti:

New capabilities to enable robust GDPR compliance | Blog e aggiornamenti di Azure | Microsoft Azure

https://azure.microsoft.com/en-us/services/security-center/

Azure Monitor overview – Azure Monitor | Microsoft Docs

Automate threat response with playbooks in Azure Sentinel | Microsoft Docs

Accelerate Your GDPR compliance with Microsoft Cloud | Developer Support

 

Microsoft Azure è una piattaforma di Cloud Computing accessibile tramite un portale online che consente di accedere e gestire i servizi e le risorse cloud forniti da Microsoft

Scopri Azure,
il Cloud di Microsoft

 

Massimo Caronia

Azure Engineer

 

/da

Gestione della sicurezza con Azure Sentinel e Azure Security Center

,
Gestione-sicurezza-Azure

Utilizziamo Azure Security Center come origine dati per Azure Sentinel, per espanderne le potenzialità nei contesti cloud e ibridi

Due soluzioni di security cloud dal mondo Microsoft Azure a confronto: Azure Security Center e Azure Sentinel.

Azure Security Center è un servizio nativo di Azure che offre gestione della security e protezione dalle minacce per infrastrutture Azure e on premise.

Lo troviamo già integrato nei servizi PaaS di Azure, ma possiamo anche distribuirlo rapidamente su Virtual Machine in cloud (Azure e non) e su server on premise, ottenendo quindi una gestione completa di un’infrastruttura ibrida. Possiamo anche usarlo per monitorare il sempre più complesso mondo IoT.

Azure Sentinel è invece una soluzione di security cloud che mette a disposizione funzionalità di tipo SOAR (Security – Orchestration – Automation – Response) e SIEM (Security – Information – Events management), con la possibilità di integrare dati da fonti molto eterogenee, di cui Azure Security Center è solo una delle tante disponibili.

In questo articolo ci focalizziamo proprio sull’opzione della scelta di Azure Security Center come origine dati e mostriamo come i due prodotti possono essere utilizzati insieme per costruire una soluzione completa “nativa Microsoft” per avere sotto controllo lo stato della security di un’architettura ibrida, migliorando la risposta alle potenziali minacce, in continua evoluzione e sempre più sofisticate.

Comparazione features delle due soluzioni

Iniziamo a descrivere le principali features offerte dai due prodotti in modo da evidenziarne i punti in comune e gli aspetti dove invece risultano complementari.

Azure Security Center

Le principali funzionalità offerte da Azure Security Center sono:

  1. Raccomandazioni su come mettere in sicurezza il proprio ambiente
  2. Report per la regulatory compliance, che possono essere usati in caso di audit
  3. Diversi strumenti per la threat protection, che si estendono su tutte le tipologie di servizi Azure: IaaS, PaaS, servers, VMs
  4. Protezione per infrastrutture ibride: Azure Security Center consente anche la gestione di server on premise installando l’agent del Monitoring Agent

 Azure Sentinel

Per quanto riguarda invece Sentinel, abbiamo 4 ruoli principali (Collect – Detect – Investigate – Respond) che raggruppano a loro volta diverse funzionalità, classificate con la seguente terminologia:

  1. Collect fornisce la Visibility, ovvero la connessione alle security source mediante i numerosi connector disponibili. I dati vengono mostrati in una dashboard personalizzabile con la possibilità di aggiungere ulteriori report
  2. Detect offre: Analytics, ovvero la generazione in automatico di «Incidents» generati collegando tra loro gli alerts e gli eventi rilevati in base a un set di regole e Hunting, cioè la possibilità di intercettare in modo proattivo le potenziali minacce all’interno dei data source collegati, prima ancora di ricevere un alert
  3. Investigate fornisce la gestione degli incidents: è possibile qui gestirli, tracciarne lo status e assegnarli a utenti. E’ disponibile anche l’integrazione con sistemi di ticketing esistenti
  4. Respond fornisce Automation e Orchestration: permette di progettare dei workflow che fanno scattare azioni in base agli eventi intercettati, grazie alla tecnologia Azure Logic Apps.

Notiamo quindi che entrambe le soluzioni forniscono molte funzionalità, simili tra loro, sugli aspetti della rilevazione e gestione di minacce e per il monitoraggio delle infrastrutture ibride: abbiamo una relativa sovrapposizione dei due prodotti sulle prime due features di Sentinel (Collect e Detect).

Le principali differenze stanno nel fatto che Sentinel dispone di funzionalità avanzate di Intelligenza Artificiale (AI) e Machine Learning (ML) basate su strumenti già collaudati del mondo Microsoft, che consentono maggiore enfasi sulla gestione proattiva e sull’automazione e orchestrazione della risposta alle minacce, estendendo quindi enormemente le potenzialità di Azure Security Center e rendendo più rapida la gestione degli incident.

Presentiamo adesso alcune delle feature più interessanti dei due prodotti mostrando come possano lavorare assieme in modo efficace: Azure Security Center diventa una sorgente di diagnostiche, raccomandazioni e alert su cui si possono basare le funzionalità più avanzate di Sentinel.

Deploy e Integrazione di Azure Security Center e Sentinel

Entrambe le soluzioni necessitano di un workspace di Log Analytics per salvare i dati raccolti.

Nel caso di Azure Security Center, la sua versione Free (gratuita e con un set limitato di funzioni di base) è già abilitata di default all’interno di ogni sottoscrizione Azure, e per abilitarne tutte le funzionalità basta scegliere “Upgrade” dalla schermata principale.

Per Azure Sentinel invece creiamo da zero la relativa nuova risorsa dalla gallery di Azure e connettiamo un workspace Log Analytics (per il nostro scenario teniamo presente che per Sentinel NON è possibile riutilizzare lo stesso workspace dove eventualmente si è già effettuato il deploy di Azure Security Center).

A questo punto nella schermata principale di Sentinel iniziamo ad aggiungere il primo connector sotto Configuration\Data Connectors, scegliendo “Azure Security Center”

Azure Security Center: Recommendations

Nella schermata principale di Azure Security Center che mostriamo sotto, i clienti possono visualizzare una panoramica immediata della propria “security posture”, ovvero lo stato della sicurezza delle proprie risorse:

Panoramica Security Posture Azure Security Center

Questo grazie alla dashboard Policy and compliance, che attribuisce un punteggio globale (“Secure Score”) allo stato della sicurezza sulla base della conformità o meno a una serie di best practice e alle “recommendation” proposte, evidenziate in base alla priorità.

E’ possibile cosi avere un feedback continuo sul proprio stato di sicurezza visualizzando come il Secure Score aumenta mano a mano che vengono implementate le misure correttive suggerite.

Azure Security Center: Threat Protection

In questa dashboard vediamo le minacce rilevate, ordinate in base a un punteggio di severity.

Le varie notifiche vengono raggruppate nella sezione “Security alerts

Azure Security Center Threat Protection

In questa schermata vediamo ad esempio una serie di alert tutti relativi allo stesso attacco: un tentativo di brute force verso una virtual machine con SQL, con vari eventi correlati come tentativi di logon inusuali e traffico anomalo proveniente da IP sospetti.

Essendo stata rilevata una correlazione, i principali eventi vengono raggruppati in un “security incident”.

A questo punto passiamo direttamente a vedere su Azure Sentinel come possiamo approfondire la gestione e rilevazione delle minacce con ulteriori strumenti.

Azure Sentinel: Threat Management (Investigate)

Incidents
Avendo collegato Azure Security Center come origine dati per Sentinel, possiamo quindi visualizzare anche qui gli eventi relativi alla minaccia “SQL Brute Force attempt”:

Azure Sentinel Incidents

Proprio come in Azure Security Center, gli incidents sono un gruppo di alert correlati tra loro che evidenziano un incidente che si può investigare e risolvere.
Con la funzione “Investigate” possiamo fare un drill-down andando a visualizzare un grafo interattivo che mostra tutte le interconnessioni tra le attività dell’attacco in questione e le entità coinvolte (IP sorgente, virtual machine attaccata, account usato, ecc.).

Tutti gli eventi correlati vengono visualizzati in ordine logico in una timeline, ed è inoltre possibile specificare un Owner per l’assegnazione e la gestione del caso, consentendo una gestione più strutturata all’interno dell’organizzazione del cliente.

Azure Sentinel: Detect

Analytics
Nella sezione Analytics è possibile generare delle «detections» basate sulle data source che abbiamo connesso, e utilizzarle per investigare le minacce. Come punto di partenza abbiamo dei template di regole basati sulle data source disponibili, già sviluppati dai ricercatori di MS.

Hunting
E’ un’altra nuova feature introdotta in Sentinel che consente di andare oltre i limiti di Security Center: con essa è possibile iniziare delle indagini alla ricerca di eventuali vulnerabilità o minacce ancora prima di ricevere degli eventuali alert. Si basa su un set di query preimpostate, con la possibilità di definirne anche di nuove usando il linguaggio Kusto.
Nella schermata vediamo alcune query da usare per potenziali indagini su eventi di sicurezza abbastanza comuni:

Azure Sentinel - Hunting

E’ anche possibile salvare i dati e le attività interessanti rilevati durante queste ricerche per poterli riutilizzare e creare anche delle indagini automatizzate, collegando quindi questa feature con quella di investigation appena vista.

Azure Sentinel: Orchestration e Automation

Playbooks
Per automatizzare le risposte agli attacchi, Sentinel mette a disposizione degli Automation Playbook dove possiamo costruire un workflow usando la tecnologia Logic Apps: ad esempio quando viene intercettato un determinato evento di security posso fare scattare delle azioni.

Progettando il Playbook nella schermata con l’apposito editor di Logic Apps, abbiamo impostato l’invio di una mail quando un alert di Azure Security Center viene rilevato.

Anche questa funzionalità è integrabile con la gestione Incidents: dentro i Full Details di un incident selezionato troviamo “View Playbooks”, che ci fornisce quindi la possibilità di lanciare un playbook on demand.

Conclusioni

Lo scenario che abbiamo mostrato può essere interessante per quei clienti che abbiano già iniziato a spostare i propri workload su Azure proteggendoli con Azure Security Center, e volessero poi integrare in un unico strumento di monitoraggio la gestione di queste risorse cloud con quella di altre risorse rimaste on premise o di altre piattaforme cloud che stanno adottando.

Azure Sentinel consente infatti anche la connessione a molti firewall e altri device fisici presenti sul mercato e allo stesso tempo anche a piattaforme Microsoft come Office 365, Azure Active Directory e Microsoft 365 Security Center o non-Microsoft come Amazon Web Services.

Combinando le raccomandazioni proposte da Azure Security Center con le funzionalità avanzate di investigation presenti in Sentinel, è possibile quindi ottenere un supporto alla gestione della security davvero completo.

Di seguito alcuni link di riferimento:

https://azure.microsoft.com/it-it/blog/securing-the-hybrid-cloud-with-azure-security-center-and-azure-sentinel/

https://medium.com/the-cloud-builders-guild/what-is-the-difference-between-azure-security-center-and-azure-sentinel-9d91eb801cd2

https://msexperttalk.com/azure-sentinel-and-azure-security-center/

 

Microsoft Azure è una piattaforma di Cloud Computing accessibile tramite un portale online che consente di accedere e gestire i servizi e le risorse cloud forniti da Microsoft

Scopri Azure,
il Cloud di Microsoft

 

Massimo Caronia

Azure Engineer

 

/da