早在2015年底,微軟宣示提升企業資安防護之際,而推出新的軟體系統與雲端服務,例如,強化行動裝置管理的Enterprise Mobility Suite(後來改名為Enterprise Mobility + Security),可偵測端點異常活動與建議安全組態的Advanced Threat Analytics,當然,同年稍早推出的個人端電腦作業系統Windows 10也是重點之一,當中內建了生物辨識相關機制——Microsoft Passport與Windows Hello,可防範惡意程式碼擅自執行與安裝的DeviceGuard,媲美商業防毒軟體的Windows Defender,防護企業電子郵件受到進階威脅攻擊的Office 365 Advanced Threat Protection Service,以及可結合眾家資安廠商之力,提供即時偵測威脅能力的Azure Security Center。

這些解決方案當中,我們過去幾年都已陸續介紹,唯獨Azure Security Center一直沒機會深入了解,可能是因為微軟當初發布時,這套雲端服務仍處於封閉測試階段,而等到正式推出已經是半年後(2016年7月),微軟也在此時宣布採用的企業案例,像是法國的Chronodrive超市、美國的電子商務網站Jet.com、英國Metro Bank。

在Azure Security Center最初發表時,最令人關注的部份,是與多家資安廠商的合作,以趨勢科技為例,他們的Trend Micro Deep Security,就在Azure Security Center稍後進入Beta測試階段之際,宣布與其整合,另外,還有Barracuda、Checkpoint、Cisco、CloudFlare、F5 Networks、Imperva等公司的產品,都已陸續整合Azure Security Center。

而這套雲端服務在近期發布的重大更新,主要是在2017年9月,微軟公布了多項新增功能。例如,Azure Security Center現在能夠監控的系統範圍,可涵蓋到企業內部網路與其他雲端服務,用戶只需在伺服器或電腦上,安裝Microsoft Monitoring Agent的程式即可,而在這樣的機制之下,也使得Azure Security Center能夠管控到整個混合雲環境。

對於資安政策的施行,用戶可以透過管理群組(Management Groups),將Azure Security Center的安全性原則,運用到租賃的多個雲端服務上,確保這些安全措施持續落實,保護用戶在Azure及內部環境、其他雲端服務執行的工作負載。

針對進階威脅的偵測,Azure Security Center也將整合微軟本身發展的端點偵防系統,也就是Windows Defender Advanced Threat Protection(WDATP),使得這套雲端服務分析這類威脅的能力,能夠延伸到Windows伺服器。至於使用Linux作業系統的虛擬機器,微軟也在Azure Security Center當中,提供偵測進階威脅的功能,它將透過分析系統的通用稽核框架,也就是auditd的記錄,來找出潛藏其中的惡意行為。

對於應用系統執行的安全性,也是Azure Security Center改良的重點,微軟預計提供自動調適的應用程式控管,主要是以正面表列的規則(白名單),來阻止電腦或伺服器執行惡意軟體、非法應用程式,以及其他具有潛在安全性弱點的應用系統,而這裡所用的白名單內容是動態調整而來的,將根據用戶本身指定的應用系統,以及機器學習的分析結果而定。

Azure Security Center在這項機制運作的方式上,首先會分析用戶在Azure VM裡面執行的應用程式,接著自動產生應用程式名白名單、進行套用,而且,這些控管規則,是依附在特定一臺或一群虛擬機器,如此一來,應用程式控管政策的施行目標較為精準,同時,也降低管理複雜度。

對於警示通知與突發事件的查看,Azure Security Center增加了互動式操作體驗,管理者可以看到快速分類的警報事項、對於破壞規模的評估,以及根本原因的判定,同時,這裡也會列出明顯的連結,讓管理者能夠追查與攻擊行動相關的警報、電腦、使用者,並且透過預先定義或隨機(Ad Hoc)的查詢,深入檢驗安全與維運事件的脈絡。

除了監控系統的使用狀態與連線活動,Azure Security Center也提供了自動化與調度指揮的機制,之所以能如此,是因為微軟在這裡整合了Azure Logic Apps,管理者可以運用Security Center connector,建立新的Logic Apps工作流程,然後,從Security Center發出的警報,來觸動對於突發事件的反應機制。

而微軟所提供的部份,主要是基於警報裡面的細節而執行的條件反應動作,同時,管理者也能根據警報類型或其他因素,來修改工作流程。對於自動化工作流程的部份,用戶可以運用的作法也不少,像是調整路由、派發警報到工單系統、在調查時收集額外資料,以及採取矯正威脅的動作。

產品資訊

Microsoft Azure Security Center
●原廠:微軟(02)3725-3888
●建議售價:免費版僅限Azure資源,標準版支援混合部署與Azure資源,每月每節點是450.82元(分析資料500MB以內)
●監控項目:虛擬機器(Windows、Linux)、Azure Virtual Networks、Azure SQL Database、Azure Storage帳號、Azure Web Apps、Azure訂閱服務整合解決方案
●安全性原則類型:系統更新、安全組態、端點防護、硬碟加密、網路安全群組、網站應用程式防火牆、次世代防火牆、SQL稽核與威脅偵測、SQL加密、弱點評估、儲存加密、Just-In-Time 網路存取

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商】


Advertisement

更多 iThome相關內容