Introduction à Azure Security Center

Introduction

Azure Security Center est un service récent proposé par la plateforme Azure, et oui encore un, permettant d’avoir une vue, quasi temps réel, des menaces potentiels qui pèsent sur les services hébergés au niveau de votre abonnement et qui propose des solutions afin de pouvoir pallier à celles-ci. Azure Security Center permet aux équipes en charge de gérer l’infrastructure Azure au sein d’une organisation, d’avoir une vue globale de l’état de santé, en terme de sécurité, des différents services, des problèmes de sécurité pouvant exister sur chacun des composants, et des solutions permettant de résoudre  ces problèmes. En plus de cela, Azure Security Center vous permet de prendre connaissances des comportements suspects au niveau de votre infrastructure, et donc de potentielles attaques, avec une remontée d’informations basée sur l’analyse des logs de vos différents composants.

Pour cela Azure Security Center propose principalement deux choses :

  • Un service consacré à la prévention, et qui va vous remontez tous les problèmes de configuration, en terme de sécurité, des différents éléments instanciés au niveau de votre abonnement. Cela va des problèmes potentiels détectés au niveau de vos machines virtuelles, en passant par vos réseaux virtuels, vos instances de base de données SQL Azure, vos applications …. Pour chacun des problèmes remontés, des solutions vous seront proposés afin de pouvoir remédier à ceux-ci. Cette analyse de vos différents composant est effectuée par des algorithmes complexes basés, pour une partie, sur les meilleurs pratiques en terme de sécurité.
  • Un autre service consacré à l’analyse des menaces, basé en partie sur les algorithmes d’intelligence artificielle de Microsoft (Microsoft Global Threat Intelligence), permet d’avoir une vue sur les différentes attaques auxquelles ont été exposés vos composant. Afin de pouvoir mettre en place une analyse précise les algorithmes de détection vont se baser sur les logs issues de vos machines virtuelles, du réseau Azure, et des solutions tierce (partenaire Azure) que vous auriez installées dans votre environnement. Ce service est au fur et à mesure enrichit de nouveaux patterns de types d’attaque, permettant d’avoir ainsi un service efficace en terme de détections.

Après cette petite introduction, je vous propose de voir un peu comment cela se présente au niveau du portail Azure.

Si vous n’avez jamais utilisé Security Center et que vous désirez vous lancer, au niveau du portail Azure, cliquez sur Parcourir, et au niveau de la liste cherchez « Centre de sécurité » ou « Security Center » si vous êtes en anglais.

blog ai3 Azure-Security-Center-Step1 Introduction à Azure Security Center

Lorsque vous lancez la première fois le service Security Center, vous arrivez au niveau d’un écran de bienvenue.

La page principale est composée de 2 parties principales :

  • Une partie consacrée à la prévention vous fournissant des informations sur les problèmes de configuration au niveau de votre infrastructure.
  • Une autre partie dédiée à la détection des menaces qui vous fournira des informations sur des menaces pesant sur les différents éléments de votre abonnement.

 

blog ai3 Azure-Security-Center-Step2 Introduction à Azure Security Center

Si vous cliquez sur le bouton stratégie, vous allez pouvoir configurer les stratégies pour chacun des groupes de ressources liés à votre abonnement. Par défaut ceux-ci héritent des règles fixées au niveau de l’abonnement.

blog ai3 Azure-Security-Center-Step3 Introduction à Azure Security Center

Si vous sélectionnez le nœud racine, qui correspond à votre abonnement, vous allez pouvoir définir la stratégie au niveau de votre abonnement. Cette configuration sera appliquée par défaut sur tous les groupes de ressources contenus au niveau de votre abonnement. Comme dis précédemment, il vous sera possible de casser cette notion d’héritage, en redéfinissant la stratégie au niveau des différents groupes de ressources que vous désireriez configurer différemment. Cela permet par exemple de mettre en place une stratégie de sécurité minimum pour un groupe de ressources dédié à un environnement de tests et pour lequel nous aurons moins de considération et une autre stratégie, plus avancée, pour un groupe de ressources dédié à un environnement de production.

Au niveau de la configuration, nous allons voir quels sont les différents paramètres que nous pourrons personnaliser au niveau de cette stratégie. Dans un premier temps il vous sera possible de choisir le compte de stockage dans lequel vous voudrez stocker toutes les données récoltées par Security Center. Il est a noté que le compte de stockage n’est configurable qu’au niveau de la définition de la stratégie au niveau abonnement.

blog ai3 Azure-Security-Center-Step4 Introduction à Azure Security Center

Vous pourrez ensuite choisir quels sont les éléments que vous désirez activer au niveau de la prévention. Ce paramétrage aurait une incidence sur les informations concernant les vulnérabilités remontées pour chacun des éléments analysés.

blog ai3 Azure-Security-Center-Step5 Introduction à Azure Security Center

Vous pourrez aussi configurer l’adresse mail qui sera utilisé pour envoyer les notifications générées par Security Center. Il vous sera aussi possible de renseigner un numéro de portable dans le but d’envoyer ces mêmes notifications par SMS. Enfin vous aurez la possibilité de  faire en sorte d’envoyer ces notifications mails au propriétaire de l’abonnement.

blog ai3 Azure-Security-Center-Step6 Introduction à Azure Security Center

La dernière partie concerne le niveau de tarification que vous désirez utiliser dans le cadre de l’utilisation de Security Center. En gros avec la version gratuite, vous avez accès à toute la partie relative à la prévention, et à une version basique des alertes de sécurité. Concernant la détection avancée, il vous faudra passer par la version standard de Azure Security Center. Pour plus d’informations concernant les différences sur les deux niveau de tarification, vous pouvez vous rendre ici.

NB : Les 15$ de la version standard sont à calculer pour chaque composant qui sera analysé (pour l’instant seul les VM sont prises en compte, mais les instances SQL et les instances de Cloud Service seront bientôt aussi pris en compte comme expliqué dans la documentation relative au prix).

Dans si vous avez un groupe de ressource avec 2 VMs, le coût sera de 30$.

blog ai3 Azure-Security-Center-Step7 Introduction à Azure Security Center

 

Après avoir vu  la configuration de la stratégie relative à la partie prévention, je vous proposes de voir quelles sont les informations remontées pour chaque type d’élément analysé par Azure Security Center.

Prévention avec Azure Security Center

Au niveau de la partie consacrée à la prévention, il faut savoir que tout les types de services proposés par Azure ne sont pas audités par le service Azure Security Center. Au moment de l’écriture de cet article les services suivants sont pris en compte par Azure Security Center :

  • Les instances de Machines Virtuelles.
  • Les réseaux Virtuels.
  • Les instances SQL Azure.
  • Les instances Cloud Service.

Les principaux points remontés concernant les réseaux virtuels, sont les suivants:

  • L’absence de définition d’un groupe de sécurité réseau associé à votre réseau virtuel. Pour rappel ce type de composant vous permet de mettre en place des règles de filtrages concernant les flux entrants et sortants.
  • La non présence d’un pare feux frontal à votre réseau virtuel. Si ce type d’erreur et remontée au niveau de votre infrastructure, il vous sera alors possible d’installer une application pré-configurée Azure basée sur la solution Check Point vSec.

blog ai3 Azure-Security-Center-Step8 Introduction à Azure Security Center

Après avoir vu les éléments concernant les réseaux virtuels, jetons un œil sur les information concernant les instances SQL.  Sur ce point, les principales vulnérabilités remontées concernent :

  • L’activation de l’audit au niveau de la base de données.
  • la gestion du chiffrage des données.

De mon point de vue, il est dommageable que le fait d’utiliser le compte créer lors de la création de la base de données, et ayant tous les droits sur celle-ci, ne soit pas remonter comme vulnérabilité au niveau des problèmes de paramétrage.

 

blog ai3 Azure-Security-Center-Step9 Introduction à Azure Security Center

L’analyse concernant les machines virtuelles et la plus riche et c’est elle qui offre le plus vaste éventail d’informations concernant les vulnérabilités. Parmi celles-ci, vous pourrez trouver les éléments suivants :

  • L’absence d’un antimalware sur votre machine.
  • Une version d’OS plus supportée et nécessitant une montée de version.
  • Des mise à jours manquantes.
  • La non configuration du cryptage des disques de votre machine virtuelle.

blog ai3 Azure-Security-Center-Step10 Introduction à Azure Security Center

 

La partie applicative concerne les machines virtuelles de votre abonnement pour lesquelles les ports 80 ou 443 sont ouverts vers l’extérieur. Concernant ces applications, les seules alertes que j’ai pu voir remontées durant mes tests concerne l’absence d’un pare feux applicatif, comme vous pouvez le voir au niveau de l’image ci-dessous.

blog ai3 Azure-Security-Center-Step11 Introduction à Azure Security Center

 

Pour certains des points remontés au niveau de la console, vous pourrez avoir en plus des informations concernant la vulnérabilité rencontrée, l’opportunité de pouvoir installer une solution intégrée Azure, proposée par un partenaire, afin de pallier au problème. Vous pouvez voir par exemple à l’image ci-dessous, que pour un problème relatif à la non présence d’un pare feux applicatif, il vous ait proposé de pouvoir installé un des produits proposé sous forme de solution intégrée Azure.

Bien sur rien ne vous oblige à passer par l’une de ses propositions. Pour l’exemple exposé précédemment, vous pouvez passer par l’installation d’une  VM Linux avec une instance Apache contenant le module mod_security. Attention cependant de bien prendre en compte le fait qu’en installant une solution ne faisant pas partie d’une solution intégrée Azure, les logs en provenance de votre solution ne seront pas prise en compte pas les services d’analyse. De ce fait tout trafic « anormal » remontant des logs de votre composant ne seront pas analysé, et il sera de votre responsabilité de mettre en place une solution permettant l’analyse de ces logs.

blog ai3 Azure-Security-Center-Step12 Introduction à Azure Security Center

 

Analyse des menaces

Comme je l’ai dit lors de l’introduction le service Azure Security Center en plus de son service de prévention propose un service d’analyse des menaces qui est je pense la partie apportant le plus de plus valu, en permettant une analyse poussée et une remontée d’informations pertinentes concernant toute activité suspecte au niveau de votre infrastructure. Afin de mener à bien cette analyse, le service Azure Security Center s’appuie sur 3 principaux axes qui sont les suivants :

  • Une recherche de comportement anormal basé sur les informations des bases de données de sécurité Microsoft et externes permettant par exemple de détecter un trafic sortant depuis l’une de vos VM, vers une machine (IP) connue pour faire partie d’un botnet où du darkweb, annonçant ainsi la compromission de votre VM.
  • Une analyse comportemental basée sur des algorithmes complexes et des études menées par des experts permettant via l’analyse de vos logs de pouvoir déterminer un comportement suspect. Parmi les problèmes pouvant être remontés on peut avoir, l’exécution de script Power Shell par un attaquant, la détection de l’exécution de processus de façon anormal, ou encore un trafic anormalement élevé depuis vos VMs .
  • Une dernière partie concerne la remontée des anomalies. Pour se faire des algorithmes de machine learning analyse l’activité au niveau des différents composants de votre abonnement, et à partir de cette base remonte toute activité inhabituelle sortant de la normale.

C’est à partir de ces trois principaux axes que la gestion des menaces est effectuées. Hélas, Au vu de la complexité de mise en œuvre de menaces fictives me permettant de pouvoir agrémenter mon article, il m’est dans l’impossibilité d’entrer plus dans les détails de l’aspect analyse des menaces. Cependant, si vous désirez approfondir cette partie, je vous conseille cette liste  d’articles :

Je vous conseille enfin un dernier article sur la façon d’utiliser Azure Security Center afin de sécuriser votre infrastructure Cloud : https://azure.microsoft.com/en-us/documentation/articles/security-center-planning-and-operations-guide/

Voilà cette petite introduction de Azure Security Center touche à sa fin. Pour ceux désirant approfondir le sujet,  je vous recommandes vivement de jeter un œil aux différents liens référencés précédemment qui vous permettront de vous faire une idée plus précise des capacités du produit et des possibilités de mise en oeuvre.

 

David Moïsa.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.