前言
最近一直在尋找一個實用又兼顧荷包的雲端原生應用程式保護平台(CNAPP),而理想的 CNAPP 應該包含以下關鍵組件:
- 雲端資安狀態管理(Cloud Security Posture Management, CSPM)
- 雲端服務網路安全(Cloud Security — Network Security, CSNS)
- 雲端工作負載保護(Cloud Workload Protection Platform, CWPP)
我的目的是希望能以最小的雲端管理成本換取最大的效益,並且能夠進行跨雲間的整合,在聽 Podcast 時,無意間發現 Microsoft 有一個可以整合多雲的有趣工具。Microsoft 似乎也越來越關注多雲支援,不僅 Azure AD 與 Google、AWS 的整合做得很好,現在還支援 AWS 的成本管理。以下將介紹 Microsoft 在 CNAPP 方面的工具 — Microsoft Defender for Cloud。如果你有以下的需求,可以參考這篇對於 Defender 功能的說明:
- 架構設計的不足
環境搭建時是否有設定錯誤?
要時常提醒或教導使用團隊正確的組態設定,但可能也沒在聽? - 來自外部的威脅
來自外部的未經授權的存取? - 配置功能的有效性
安全措施配置是否正確?
它是根據監管最佳實踐設計的嗎?是否有符合產業法規?
常人工管理跨雲整合造成煩惱? - 未知威脅和零時差攻擊因應措施
如何防範未知威脅和零時差攻擊?
Microsoft Defender for Cloud 是一個整合多功能的雲端安全解決方案,能夠有效地降低管理成本,同時提升安全效益。如果你正在尋找一個全方位的 CNAPP 平台,先從 Azure 基礎 CSPM 來體驗看看,這可能是一個不錯的選擇。
但是其他的計價就複雜了
補充:什麼是 Cloud Security Posture Management
CSPM 是指對雲端環境中的安全性進行主動、持續監控的一種方法,這種方法對於確保雲端基礎設施安全、合規並符合組織政策和行業標準是必要的。而 Defender 剛好整合了 CSPM 相關的工具。
Microsoft Defender for Cloud
Overview
Microsoft Defender for Cloud 這是一個開箱即用的工具,進入 Overview 之後即可了解你 subscription 下的資訊。
Inventory 資產管理
Defender 的 Inventory 可以協助在資產管理(可一鍵產生清單)並顯示每個資源的安全狀況,你也可以再仔細查看每一個資源最適建議或漏洞所在,作為後續改善安全的依據。
ISO27001 & ISO27017 — 資產盤點(A.8.1.1)
📙 應識別與資訊及資訊處理設施相關聯之資產,並製作及維持資產之清冊
📙 雲服務客戶和雲服務供應商應建立和維護其責任範圍內的資產清單
共分成三區:摘要、篩選條件、匯出和資產管理工具
偵測與 IaaS/PaaS 環境特有的設定及異常設定偵測
有的時候會在雲端進行一些沙盒性質實驗,安控沒有這麼到位,上營運可就不行,雲端都有其組態設定的 Best Practice 需遵循,而 Defender 將每個 IaaS/PaaS 環境的設定,透過定期掃描偵測 IaaS/PaaS 容易受攻擊的設定,我覺得重要是把錯誤配置給識別出來,建議當作一個目標,慢慢去修正原來的架構。
由於 Defender 將每個雲端及其監控/分析整合到平台之中,因此可以輕鬆獲得對雲端安全操作的完全控制,若是多雲的公司,這的確是個省力的工具。可以隨時了解每一個威脅並進行對這些 Posture 的排序管理。另外,即時獲得有關網路安全的建議,就像是雲端的 Coach 隨時隨地的指導你,提升全體人員認知。
Attack path analysis
Attach path 這邊可以查看不同面向的建議,例如 Encrypt data in transit 下面總共有四個會需要調整。
Regulatory compliance
多雲管理
滿具有亮點的是,可以保護和監控多雲(包括 AWS 和 GCP)及混合雲環境中的資源,允許使用者從一個集中位置管理多個雲環境中的安全警報和查看建議,使用下來算是對資安及管理員十分友善,更適合推出去當一個 Shift Left 的給使用者或開發團隊的自我健檢及資安指導的工具。
整合畫面如下
設定作法
- 📙 將您的 GCP 專案連接到 Microsoft Defender for Cloud
- Prerequisites:
Contributorpermission on the relevant Azure subscription, andOwnerpermission on the GCP organization or project.
認證是在 Microsoft Defender for Cloud 和 GCP 透過 federated authentication process,而 script 基本上會幫你搞定以下
- Workload identity pool and providers
- Service accounts and policy bindings
在處理 GCP 時,需要特別指定一個專案進行連接。我建議這個專案中不要放置你的工作負載(workload),也不要使用你的管理專案。最好設定一個新的專案來專門進行連接,因為此專案的資源並不會特別同步回 Defender(踩雷 ~ 印象深刻),因此,專門設置一個獨立的連接專案是更好的選擇,這樣可以避免應觀注的專案卻未被放入至 Defender 中。
👣 Step01. 建立與 GCP 的連接器
👣 Step02. 選定方案
如果之後要新增 Plan 話,就需要再同步一次
👣 Step03. Configure 權限存取
之後會先需要在 GCP 執行 Azure 這邊提供的 script 待執行完成後,才接續 Create。
👣 Step03. 建立
在 Cloud Shell 執行完後,回到 Azure 這邊點選建立
記得在作之前必須把以下的 GCP API 打開!
DevOps Security
📙 Microsoft Defender for DevOps GitHub Connector — Microsoft Defender for Cloud PoC Series
Defender for DevOps 目前支援兩個原始碼管理平台 — GitHub Enterprise Cloud 和 Azure DevOps Services。
以下示意圖就是提供 Security 建議並提醒開發團隊要去修復漏洞
在 Microsoft Defender for Cloud 中,你可以檢視 Workbook,這些 Workbook 是特定於 Defender for Cloud 的報表。Workbook 提供了你想觀注的主題,並以豐富的視覺化來呈現,製作上也提供靈活的、可自訂的畫布。
結論
目前我使用 Microsoft Defender for Cloud 提供的基礎 CSPM(免費)功能,作為 Azure 和 Google Cloud 的管理工具。並定期檢視安全性建議、安全分數以及 Microsoft 雲端安全性基準,作為整體雲端管理的動能。
在 Shift Left 思潮下,這個工具能推動雲端安全「向左移」,讓開發和運營團隊在開發初期就考慮安全性,而不是僅依賴組織內少數的架構或管理人員。由於雲端管理人才稀缺,這樣的方式能讓雲端安全管理更加高效和平衡,並且能夠集中精力處理其他重要的事情。
而為了有效地確定採用 Microsoft Defender for Cloud 的優勢,會陸續執行概念驗證(PoC),並將利害關係人分拆為
- 管理單位(主負責雲端管理部門)
- 使用單位(使用雲端的使用者)
- 資安治理單位
驗證範圍包含了多雲管理便利性、對於在 ISO27001 或 ISO27018 資產管理完整性、Microsoft Defender for Cloud 進行策略集中管理等驗證點。
Reference
- How to Set Up and Use Microsoft Defender for Cloud
- 【AZ Lezrn】連線 GCP 專案與適用於雲端的 Microsoft Defender
- 雲端安全性態勢管理 (CSPM)
- 使用資產清查來管理資源的安全性態勢
- Check Point 第三方 CNAPP 產品介紹
- AWS Posture Management with Microsoft Defender for Cloud CSPM
- Integration Azure Defender with Google Cloud and AWS and Cloud Security Posture Management systems