Makalemin ilk bölümünde Microsoft Azure Security Center- Planlama adımlarından ilk ikisi olan Security Roles and Access Controls ile Security Policies and Recommendations başlıklarını inceledik. Ayrıca temel olarak Azure Security Center nedir onu öğrenmiş olduk.
Bu bölümde ise kalan adımlar ile devam edeceğiz. Hızlı bir hatırlatma olması açısından Azure Security Center için temel planlama adımları aşağıdaki gibidir;
•Security Roles and Access Controls
•Security Policies and Recommendations
•Data Collection and Storage
•Ongoing Security Monitoring
•Incident Response
Bu bölümde 3. Adım olan veri toplama ve bunun nasıl saklanacağını göreceğiz.
Azure Security Center, Azure Monitoring Agent ile sanal makinelerinizden güvenlik verilerini toplamaktaydı. Bu güvenlik verileri temel olarak güvenlik açıklarını tanımlamak için kullanılan güvenlik yapılandırmalarını ve tehditleri tespit etmek için kullanılan güvenlik olayları hakkında bilgi içermektedir. Toplanan bu veriler, Azure üzerindeki sizin depolama hesabınız içerisinde saklanmaktaydı.
Haziran 2017 sonrasında ise Azure Security Center, Operations Management Suite and Log Analytics servisinin kullandığı agent olan “Microsoft Monitoring Agent”’ ı kullanmaktadır. Veriler bu agent üzerinden toplanır.
Bu Agent ile toplanan veriler, Azure aboneliğinizle ilişkili mevcut bir Log Analytics çalışma alanına veya loglarını topladığınız sanal makinenin ya da kaynağın coğrafi konumunu dikkate alarak yeni bir çalışma alanına depolanır.
Azure Security Center tarafından açılan workspace’ i aşağıdaki standartlara göre bulabilirsiniz;
Workspace: DefaultWorkspace-[subscription-ID]-[geo]
Resource Group: DefaultResouceGroup-[geo]
Bendeki durum aşağıdaki gibi;
Bu yeni oluşturulan workspace için veri saklama periyodu 30 gündür. Ancak sizin hesabınızda hali hazırda bir workspace vardı ve Azure Security Center bunu kullandı ise bu durumda log saklama periyodu mevcut workspace için fiyatlandırma tipine göre değişiklik gösterir.
Ek olarak OMS kullanmıyorsanız, Azure Security Center kullanımı ile beraber OMS Security çözümü yüklenir. Fakat sadece Azure sanal makineler için çalışır.
Planlamadaki bir sonraki başlık ise Ongoing Security Monitoring.
Bu bölümde aslında temel olarak yapılandırma adımları tamamlandıktan sonra ortamımızın izlenmesi ve özellikle ilk olarak Recommendations bölümündeki bütün uyarıların baştan sona kontrol edilmesi gereklidir.
Bu bölümde pek çok öneri görebilirsiniz. Tüm liste için aşağıdaki link’ i kullanabilirsiniz
Ben tabiki makalemde bu bölümdeki tüm önerileri tek tek incelemeyeceğim, en temel mevcut hesaplarım için yukarıdaki gibi aktif 5 tane öneri yer almaktadır. Örneğin bunlardan birinde güvenlik ile ilgili kişi noktasındaki kontak eksikliğinden bahsediyor, bu aslında çok temel bir öneri ve bunu hemen gerçekleştirebilirsiniz
İlgili önerinin üzerine tıklıyorum;
Açılan menüden iki adet aboneliğimden hangisi için işlem yapacak isem onu tıklıyorum ve ayarları yaparak kayıt ediyorum.
Yukarıdaki ise bir diğer öneri, iki tane sanal makine için işletim sistemi kaynaklı açıklara karşı iyileştirme ayarları önerilmektedir.
İlgili öneri üzerine tıklayınca sanal makineleri görebiliyoruz, daha sonra sanal makinelerden birisini seçmemiz halinde bize sunulan iyileştirme önerilerini görebiliyoruz.
Görebileceğiniz gibi aslında mevcut aboneliğiniz için iyileştirme önerilerini öncelikle incelemenizde büyük fayda vardır.
Bir sonraki aşamada ise Prevention bölümünü inceleyelim;
Burada Compute üzerine tıkladığımız zaman bende aşağıdaki gibi bir detay görünmektedir;
İlk uyarı veri toplama ile ilgilidir, hemen alt bölümlerde ise diğer önerileri görebiliyoruz. Üst bölümdeki sekmeyi kullanırsanız daha özet bir bilgiye ulaşabilirsiniz;
Gördüğünüz gibi 5 makineden iki tanesi için izleme noktasında sorun yokken 3 tanesinde uyarı yer almaktadır. Aynı şekilde izlenen makineler için System Update için eksikler tespit edilmiş, yine OS tarafında zafiyete neden olabilecek sorunlar belirlenmiştir. Endpoint tarafında ise Windows Defender olduğu için o konuda herhangi bir sorunumuz yok, son olarak disk şifreleme tarafında ise tüm makineler için öneri bulunmaktadır. Dikkat ederseniz ilk 3 makine’ den bilgi gelmediği için disk şifreleme harici diğer üst katman yorumları gri, yani aslında bilinmiyor konumundadır. Bu nedenle ilk olarak bu 3 makinedeki veri toplama sorunlarını inceleyebiliriz.
Sorunlu makinelerden herhangi birinin üstüne tıklıyoruz ve karşımıza aşağıdaki gibi bir bilgilendirme sayfası çıkıyor
Makine çalışıyor ama veri toplama noktasında sorunu var, bu konuda farklı çözümler olabilir, en temiz yöntem makineyi uygun bir aralıkta yeniden başlatmaktır. Yeniden başlattıktan sonra durumun aşağıdaki gibi değiştiğini göreceksiniz ( eğer başka bir sorun yok ise )
Makine yeniden başladıktan kısa bir süre sonra tekrar son durumu kontrol edebilirsiniz;
Eğer buna rağmen sorun yaşıyorsanız OS seviyesinde agent’ ın durumunu bir kontrol edin derim. Olay günlükleri (event logs) size yardımcı olacaktır.
Aslında tüm önerileri yerine getirmeye çalışmamızın temel amacı anlık olarak sistemlerin izlenmesini kolaylaştırmaktır (ongoing monitoring).
Aynı durumu sırası ile Networking, Storage& Data ve Application için incelemeniz gereklidir. Örneğin Network tarafında bendeki durum aşağıdaki gibidir;
Yukarıdaki gibi network veya endpoint üzerine tıklarsanız eğer sağ bölümde aşağıdaki gibi detay görebilirsiniz;
Burada bana iki iyileştirme öneriyor, birincisi Next Generation Firewall yani aşağıdaki gibi üreticilerin Azure üzerinde sunduğu yeni nesil güvenlik duvarlarından birini kullanmamı öneriyor
Bir diğer öneri ise internet üzerinden herhangi birinin sisteme atak yapabileceğini söyleyen ve aşağıdaki kuralı en azından IP bazlı değiştirmemizi öneren bir tavsiyedir;
Evet Azure Security Center için en önemli konu izleme aslında, tabiki alert oluşturarak bunu mail yolu ile takip edebilirsiniz ama aşağıdaki gibi döngünün sürekli olarak takip ediliyor olması aslında Azure tarafındaki güvenlik alt yapınızın sürekli olarak sıkı tutulmasını sağlayabilirsiniz.
Azure üzerinde herhangi yeni bir sanal makine açılması, veri tabanı veya benzeri bir kaynak eklendiğinde Azure Security Center otomatik olarak bu kaynakları izlemeye başlayacaktır. Buna PaaS Web role ve worker role’ da dahildir. Bu nedenle öncelikle mevcut durumu inceliyoruz, önerileri yapıyoruz ve bu durumda tüm ekran yeşil oluyor. Yani aslında ekranı sadeleştirdikten sonra olurda bir değişiklik veya kaynak eklenmesinde gelen yeni uyarıları düzenli olarak incelersek daha güvenli bir azure alt yapısına sahip olabiliriz.
Peki şimdilik bu bölümünde sonuna geldik, bir sonraki bölümde ise Azure Security Center planlama adımlarından Incident Response konusunu inceleyeceğiz.
Kaynak
https://docs.microsoft.com/en-us/azure/security-center/security-center-planning-and-operations-guide