Přejete si vysokou míru zabezpečení? Pokud ano, tak Azure Defender je nástroj právě pro vás. Chrání veškeré vaše úlohy běžící na Azure a dokáže chránit i mnoho typů prostředků. Veškeré možnosti ochrany si ukážeme v průběhu článku.
Azure Defender najdeme v Azure Security Center. Azure Security Center je jednotný systém pro správu celé infrastruktury, který obsahuje veškeré nástroje pro správu zabezpečení na jednom místě. Velkou výhodou pro firmy je zobrazení skóre, které posuzuje zabezpečení vaší infrastruktury v mnoha ohledech, což může pomoci například malým firmám s nízkým počtem zkušených zaměstnanců. Dodává zákazníkovi zabezpečení, ať už se jedná o IaaS, PaaS nebo SaaS. Pokud byste tyto zkratky neznali: IaaS je Infrastructure as a Service, kdy se jedná například o virtuální počítače. PaaS neboli Platform as a Service slouží jako prostředí pro nasazování aplikací, což z něj činí dobré a rychlé řešení pro jejich vývoj. Příkladem takové služby může být přímo Azure, případně například Azure App Service. Jako poslední tu je SaaS neboli Software as a Service, a to jsou pouze aplikace v cloudu jako třeba Office 365. V takovém případě se staráme pouze o data aplikace.
Jak se do Azure Defenderu dostaneme.
- Krok – Otevřeme si Azure portál a přihlásíme se.
- Krok – Na domovské stránce zvolíme Security Center.
V Security Center zvolíme Azure Defender.
Tento náhled nás uvítá, když zvolíme Azure Defender.
Tak si to popíšeme…
- V levé horní části vidíme graf, který nám vyobrazuje pokrytí našich prostředků službou Azure Defender.
- Na pravé straně od grafu vidíme další podrobnosti o pokrytí jednotlivých prostředků.
- Úplně napravo vidíme doporučení, nápady, které bychom mohli realizovat.
- Pod grafem vidíme upozornění. Zde se zobrazují nedostatky v zabezpečení.
- Pod upozorněním můžeme vidět Rozšířenou ochranu, což jsou v podstatě rozšířená doporučení k vašim prostředkům.
Jak vlastně Azure Defender funguje?
Azure Defender využívá umělé inteligence k rozeznávání již známých útoků a zneužívání zero day exploitů. V případě, že narazí na nějakou hrozbu, vygeneruje výstrahu. Ve výstraze jsou veškeré podrobnosti a také zde nalezneme, jaké prostředky byly ovlivněny. Zároveň pak navrhne kroky na opravu. Celou výstrahu si můžeme importovat do SIEM ať už Azure Sentinel, nebo do externích nástrojů.
Poznámka: SIEM je Security Information and Event Management. Jedná se o nástroj, který velice usnadňuje práci z pohledu kybernetické bezpečnosti. Sbírá veškeré logy, které filtruje a v případě, že je nějaká aktivita spojená s více událostmi (eventy), tak ji zobrazí jako jeden alert, tomu se říká korelace. Takže místo toho, abychom analyzovali obrovské množství logů, tak analyzujeme jenom ty vyfiltrované a podstatné.
Poznámka: Zero day exploit je hrozba, která zatím není veřejně známá tzn. neexistují na ni patche. Většinou se jedná o nějaké chyby v softwaru, které se v obrovském počtu zneužívají. Tyto exploity jsou velice nebezpečné a někdy trvá i delší dobu, než se na tyto chyby příjde a vytvoří se na ně záplaty.
K čemu tedy Azure Defender vlastně je?
Díky XDR (extended detection and response) se staví vůči útokům jako je brute-force attack na RDP (Remode Desktop Protocol – služba běžící na portu 3389) a SQL injection (Útok na databázi). Zároveň si ho můžete připojit k vašemu SIEM, v případě Microsoftu se jedná o Azure Sentinel.
Jaké typy prostředků dokáže zabezpečit?
Azure Defender existuje pro servery, App Service, uložiště, SQL, Kubernetes, registry kontejnerů, trezory klíčů (Key Vault), Resource Managery, ACR, ARM a DNS. Azure Defender jde využít i mimo Azure, takže můžeme chránit data třeba i na AWS.
Ceník služeb (ceny jsou k červenci 2021):
Závěr
Azure Defender je nástroj integrovaný do Azure Security centra, který nám poskytuje ochranu před hrozbami pro úlohy běžících ať už na Azure, lokálně, či v jiných cloudových prostředích. Můžeme s ním monitorovat stav zabezpečení prostřednictvím jedné konzoly a dokáže se integrovat i s vašimi již využívanými postupy zabezpečení, jako třeba dříve zmiňovaný SIEM. Pokud se chcete dozvědět o Azure Defenderu a jeho funkcích více, přejděte na dokumentaci Azure Defenderu.
Pokud se chcete dozvědět více o SIEM, s kterým si můžete Azure Defender propojit, tak mohu doporučit článek o Azure Sentinel na našem blogu.
