Azure Security Center (Azure Defender) là gì?

by | Microsoft Kiến Thức, Security

Azure Security Center (hay Azure Defender) là một hệ thống quản lý bảo mật cơ sở hạ tầng hợp nhất giúp tăng cường vị thế bảo mật của các trung tâm dữ liệu(data center) và cung cấp khả năng bảo vệ khỏi mối đe dọa nâng cao trên toàn bộ khối lượng công việc (workloads) trên hybrid cloud cho dù là trên Azure hay on-premises.

Bối cảnh

Giữ an toàn cho tài nguyên là nỗ lực chung giữa nhà cung cấp dịch vụ đám mây, Azure, doanh nghiệp & các khách hàng. Bạn phải đảm bảo khối lượng công việc của mình được bảo mật khi bạn chuyển sang đám mây và đồng thời, khi bạn chuyển sang IaaS (cơ sở hạ tầng như một dịch vụ) sẽ có nhiều trách nhiệm với khách hàng hơn so với trong PaaS (nền tảng như một dịch vụ), và SaaS (phần mềm như một dịch vụ). Azure Security Center cung cấp các công cụ cần thiết để tăng cường mạng, bảo mật các dịch vụ và đảm bảo doanh nghiệp của bạn luôn ở vị trí cao nhất về bảo mật & an toàn thông tin.

Azure Security Center giải quyết ba thách thức bảo mật cấp bách nhất:

  • Khối lượng công việc thay đổi nhanh chóng – Đó vừa là thế mạnh vừa là thách thức của đám mây. Một mặt, người dùng cuối được trao quyền để làm nhiều việc hơn. Mặt khác, làm cách nào để doanh nghiệp đảm bảo rằng các dịch vụ luôn thay đổi mà mọi người đang sử dụng và tạo ra đều đáp ứng các tiêu chuẩn bảo mật của doanh nghiệp và tuân theo các phương pháp bảo mật tốt nhất.
  • Các cuộc tấn công ngày càng tinh vi – Bất cứ nơi nào khởi chạy khối lượng công việc, nơi đó là mục tiêu của các cuộc tấn công ngày càng tinh vi hơn. Doanh nghiệp phải bảo vệ khối lượng công việc trên public cloud của mình, thực tế là khi Internet ngày càng phát triển thì doanh nghiệp cũng phải đối mặt với nhiều cuộc tấn công hơn nếu không tuân theo các phương pháp bảo mật tốt nhất.
  • Các kỹ năng bảo mật đang thiếu hụt – Số lượng cảnh báo bảo mật và hệ thống cảnh báo vượt xa số lượng quản trị viên có nền tảng và kinh nghiệm cần thiết để đảm bảo môi trường của doanh nghiệp được bảo vệ. Luôn cập nhật các cuộc tấn công mới nhất là một thách thức không ngừng, khiến bảo mật không thể giữ nguyên vị trí trong khi thế giới an ninh mạng là một mặt trận luôn thay đổi.

Để giúp doanh nghiệp tự bảo vệ mình trước những thách thức này, Azure Security Center cung cấp công cụ để:

  • Tăng cường tư thế bảo mật: Azure Security Center đánh giá môi trường của doanh nghiệp và cho phép đội bảo mật hiểu trạng thái tài nguyên và liệu có an toàn hay không.
  • Bảo vệ khỏi các mối đe dọa: Azure Security Center đánh giá khối lượng công việc và đưa ra các khuyến nghị ngăn chặn mối đe dọa và cảnh báo bảo mật.
  • Bảo mật nhanh hơn: Trong Azure Security Center, mọi thứ được thực hiện với tốc độ đám mây vì được tích hợp nguyên bản nên việc triển khai Azure Security Center rất dễ dàng, cung cấp khả năng tự động và bảo vệ với các dịch vụ Azure.

Kiến trúc của Azure Security Center

Vì Azure Security Center là một nguyên bản thuộc Azure, các dịch vụ PaaS trong Azure – bao gồm Service Fabric, SQL Database, SQL Managed Instance và tài khoản lưu trữ được Azure Security Center giám sát và bảo vệ mà không cần triển khai.

Ngoài ra, Azure Security Center bảo vệ các máy chủ không thuộc Azure & các máy ảo trong đám mây hoặc on-premises, cho cả máy chủ Windows và Linux thông qua cài đặt Log Analytics agent. Máy ảo Azure được cấp phép tự động trong Security Center.

Các sự kiện (event) được thu thập từ các agent và từ Azure có tương quan trong security analytics engine để cung cấp các đề xuất phù hợp (các nhiệm vụ tăng cường bảo mật) mà doanh nghiệp nên tuân theo để đảm bảo khối lượng công việc của mình được an toàn và nhận các cảnh báo bảo mật. Đội bảo mật của doanh nghiệp nên điều tra các cảnh báo càng sớm càng tốt để đảm bảo rằng các cuộc tấn công độc hại không diễn ra trên khối lượng công việc.

Khi bạn bật Security Center, chính sách bảo mật sẽ được phản ánh trong Azure Policy dưới dạng một đề xuất ban đầu ​​được xây dựng trong Security Center category. Các đề xuất ban đầu được tích hợp này sẽ tự động gán cho tất cả các registered subscription của Security Center (bất kể có bật Azure Defender hay không). Để tìm hiểu thêm thông tin, vui lòng truy cập Working with security policies.

Tăng cường tư thế bảo mật

Azure Security Center cho phép doanh nghiệp củng cố vị thế bảo mật của mình. Điều này có nghĩa là Azure Security Center giúp đội bảo mật xác định và thực hiện các tác vụ khó được đề xuất như các phương pháp bảo mật tốt nhất và triển khai các phương pháp này trên các máy, dịch vụ dữ liệu và ứng dụng. Điều này bao gồm việc quản lý và thực thi các chính sách bảo mật và đảm bảo rằng các máy ảo Azure, máy chủ không thuộc Azure và các dịch vụ Azure PaaS của doanh nghiệp đều tuân thủ. Azure Security Center cung cấp cho đội bảo mật của doanh nghiệp các công cụ cần để có cái nhìn toàn cảnh về khối lượng công việc của mình, với khả năng hiển thị tập trung vào vùng an ninh mạng của doanh nghiệp.

Quản lý chính sách bảo mật và tuân thủ của doanh nghiệp

Đây là điều cơ bản về bảo mật cần biết và đảm bảo khối lượng công việc được an toàn và bắt đầu bằng việc áp dụng các chính sách bảo mật phù hợp. Bởi vì tất cả các chính sách trong Security Center đều được xây dựng dựa trên Azure Policy. Đội bảo mật sẽ nhận được toàn bộ phạm vi và tính linh hoạt của giải pháp tuân thủ chính sách hàng đầu thế giới. Trong Azure Security Center, doanh nghiệp có thể đặt các chính sách của mình để chạy trên các nhóm quản lý, trên các gói đăng ký/subscription và thậm chí cho toàn bộ tenant.

Azure Security Center (Azure Defender) là gì?

Security Center giúp xác định các đăng ký/subscription chưa rõ ràng. Bằng cách nhìn vào các đăng ký được gắn nhãn (label) không được đề cập trong trang tổng quan của đội bảo mật và có thể biết ngay lập tức khi có các đăng ký/subscription mới được tạo và đảm bảo rằng tất cả được bảo vệ bởi các chính sách (policies) của doanh nghiệp và bởi Azure Security Center.

Đánh giá liên tục

Security Center liên tục phát hiện ra các tài nguyên mới đang được triển khai trên toàn bộ khối lượng công việc của doanh nghiệp và đánh giá xem chúng có được định cấu hình theo các phương pháp bảo mật tốt nhất hay không, nếu không, các khối lượng công việc này sẽ được gắn cờ (flag) và đội bảo mật sẽ nhận được danh sách ưu tiên các đề xuất cho những gì cần thay đổi để tốt hơn cho bảo mật. Danh sách các đề xuất này được kích hoạt và hỗ trợ bởi Azure Security Benchmark.

Để giúp bạn hiểu mức độ quan trọng của mỗi đề xuất đối với tình trạng bảo mật tổng thể, Azure Security Center sẽ nhóm các đề xuất thành các biện pháp kiểm soát bảo mật và thêm giá trị điểm an toàn (secure score) cho mỗi biện pháp kiểm soát (control). Điều này rất quan trọng trong việc cho phép đội bảo mật ưu tiên công việc bảo mật.

Azure Security Center (Azure Defender) là gì?

Network map

Một trong những công cụ mạnh mẽ nhất mà Azure Security Center cung cấp để theo dõi liên tục tình trạng bảo mật trên mạng của doanh nghiệp là là Network map. Network map cho phép xem cấu trúc liên kết của khối lượng công việc, vì vậy đội bảo mật có thể xem liệu mỗi nút (node) có được định cấu hình đúng hay không.

Bạn có thể xem các nút (node) của mình được kết nối như thế nào, điều này giúp chặn các kết nối không mong muốn có khả năng khiến kẻ tấn công dễ dàng hơn trong tấn công mạng.

Azure Security Center (Azure Defender) là gì?

Tối ưu hóa và cải thiện bảo mật bằng cách định cấu hình các kiểm soát được đề xuất

Giá trị cốt lõi của Azure Security Center nằm ở các khuyến nghị (recommendation) của nó. Các đề xuất được điều chỉnh cho phù hợp với các mối quan tâm cụ thể về bảo mật được tìm thấy trên khối lượng công việc và Security Center thực hiện công việc quản trị bảo mật cho bạn, bằng cách không chỉ tìm ra lỗ hổng bảo mật mà còn cung cấp các hướng dẫn cụ thể về cách loại bỏ các mối nguy hại.

Bằng cách này, Security Center không chỉ thiết lập các chính sách bảo mật mà còn áp dụng các tiêu chuẩn cấu hình an toàn trên các tài nguyên.

Các đề xuất giúp giảm thiểu bề mặt tấn công trên từng tài nguyên của doanh nghiệp bao gồm các máy ảo Azure, máy chủ không thuộc Azure và các dịch vụ Azure PaaS như tài khoản SQL và Storage, v.v. – nơi mỗi loại tài nguyên được đánh giá khác nhau và có tiêu chuẩn riêng.

Azure Security Center (Azure Defender) là gì?

Bảo vệ khỏi các mối đe dọa

Khả năng bảo vệ khỏi mối đe dọa của Azure Security Center cho phép bạn phát hiện và ngăn chặn các mối đe dọa ở lớp Cơ sở hạ tầng dưới dạng Dịch vụ (IaaS), các máy chủ không thuộc Azure cũng như cho Nền tảng dưới dạng Dịch vụ (PaaS) trong Azure.

Tính năng bảo vệ mối đe dọa cũng bao gồm phân tích chuỗi tiêu diệt (kill-chan) tổng hợp, tự động tương quan các cảnh báo trong môi trường dựa trên phân tích chuỗi tiêu diệt mạng, để giúp bạn hiểu rõ hơn toàn bộ câu chuyện về một chiến dịch tấn công, nơi bắt đầu và loại tác động đối với tài nguyên.

Azure Security Center (Azure Defender) là gì?

Tích hợp với Microsoft Defender for Endpoint

Azure Defender cho máy chủ bao gồm tích hợp tự động, nguyên bản với Microsoft Defender for Endpoint. Cho nhu cầu tìm hiểu sâu hơn, tham khảo link sau:  Protect your endpoints with Security Center’s integrated EDR solution: Microsoft Defender for Endpoint

Bảo vệ PaaS

Security Center giúp phát hiện các mối đe dọa trên các dịch vụ Azure PaaS. Bạn có thể phát hiện các mối đe dọa nhắm mục tiêu đến các dịch vụ Azure bao gồm Azure App Service, Azure SQL, Azure Storage Account và các dịch vụ dữ liệu khác. Bạn cũng có thể tận dụng tích hợp gốc với Microsoft Cloud App Security’s User & Entity Behavioral Analytics (UEBA) để thực hiện phát hiện bất thường trên activity logs Azure của doanh nghiệp.

Chặn tấn công brute force

Security Center giúp chặn tấn công brute force. Bằng cách giảm quyền truy cập vào các cổng máy ảo (virtual machine port), bằng cách sử dụng quyền truy cập VM vừa đúng lúc, đội bảo mật có thể tăng cường bảo mật cho mạng của mình bằng cách ngăn truy cập không cần thiết. Đội bảo mật có thể đặt chính sách truy cập an toàn trên các cổng (port) đã chọn, chỉ dành cho người dùng được ủy quyền, phạm vi nguồn địa chỉ IP hoặc địa chỉ IP được phép và trong một khoảng thời gian giới hạn.

Bảo vệ các dịch vụ dữ liệu

Security Center bao gồm các khả năng thực hiện phân loại tự động dữ liệu trong Azure SQL. Bạn cũng có thể nhận được đánh giá về các lỗ hổng tiềm ẩn trên các dịch vụ Azure SQL và Storage, cũng như các đề xuất về cách giảm thiểu chúng.

Bảo mật nhanh hơn

Tích hợp Azure gốc (bao gồm Azure Policy & Azure Monitor logs) kết hợp với tích hợp liền mạch cùng các giải pháp bảo mật khác của Microsoft, chẳng hạn như Microsoft Cloud App SecurityMicrosoft Defender for Endpoint giúp đảm bảo giải pháp bảo mật của bạn là toàn diện cũng như đơn giản để áp dụng và triển khai.
Ngoài ra, bạn có thể mở rộng giải pháp đầy đủ ngoài Azure cho khối lượng công việc chạy trên các đám mây khác và trong các trung tâm dữ liệu on-premises.

Tự động khám phá và cho thấy các tài nguyên Azure

Azure Security Center cung cấp tích hợp gốc, liền mạch với Azure và tài nguyên Azure. Điều đó có nghĩa là bạn có thể tổng hợp tổng thể bảo mật hoàn chỉnh liên quan đến Azure Policy và Security Center policies được tính hợp trên tất cả các tài nguyên Azure và đảm bảo rằng toàn bộ nội dung được tự động áp dụng cho các tài nguyên mới được phát hiện khi tạo trong Azure.

Thu thập log mở rộng – log từ Windows và Linux đều được tận dụng trong công cụ phân tích bảo mật và được sử dụng để tạo các đề xuất và cảnh báo.

VinSEP
VinSEP

VinSEP (Công ty TNHH Mục Tiêu Số, MST: 0316094847)- chúng tôi là chuyên gia trong giải pháp/dịch vụ CNTT & phần mềm bản quyền. VinSEP giúp doanh nghiệp chuyển đổi thành nơi làm việc hiện đại (Modern Workplace) & phát triển trong thời đại công nghiệp 4.0.

VinSEP chỉ có một website Official chính thức là VinSEP.com.

Bài viết liên quan