Como vimos en el artículo anterior, Azure Security Center funciona mediante la recopilación de datos sobre nuestra infraestructura en Azure. Algunos de esos datos corresponden a información de configuración de las máquinas virtuales, metadata, logs de eventos, archivos de compilación de errores, etc.
Es lógico que tengamos dudas sobre cómo se maneja y se protege esa información dentro de la plataforma… Hablemos de eso.
Fuentes de Datos
Azure Security Center analiza datos desde las fuentes que detallamos a continuación para así entregarnos estados de seguridad, identificar vulnerabilidades, recomendarnos medidas de mitigación y detectar amenazas activas:
- Servicios de Azure: Utiliza información referida a la configuración de los servicios de Azure que tenemos desplegados.
- Tráfico de Red: Utiliza metadata del tráfico de red desde la infraestructura de Microsoft, como IP y puerto de inicio y destino, tamaño de los paquetes y protocolo de red.
- Soluciones de Partners: Utiliza las alertas de seguridad de las soluciones integradas de los partners, como antimalware y soluciones de firewall.
- Máquinas Virtuales y Servidores: utiliza la información de configuración e información de eventos de seguridad, como eventos de Windows y logs de auditorías, syslog y archivos de errores de las máquinas virtuales. Además, cuando se crea una alerta, Azure Security Center genera un snapshot de los discos de la maquina afectada y extrae objetos relacionados con la alerta desde los discos de la máquina, como archivos del registro, para realizar análisis forense.
Protección de Datos
Segregación de los Datos: Los datos se mantienen separados lógicamente en cada componente perteneciente al servicio. Todos los datos se etiquetan por organización. Este etiquetado persiste durante todo el ciclo de vida del dato y se hace cumplir en cada capa del servicio.
Acceso a los Datos: Para entregar recomendaciones de seguridad e investigar posibles amenazas de seguridad, Microsoft podría acceder a información recolectada o analizada por los servicios de Azure. Si bien dentro de esta información podrían existir datos de clientes o datos personales, en los términos de servicio está detallado que esa información no se utilizara para propósitos comerciales o publicitarios.
Uso de los Datos: Microsoft utiliza patrones e inteligencia de amenazas vista en múltiples tenants para mejorar la prevención y detección de amenazas.
Workspace: Un Workspace está relacionado a la zona geográfica donde residen nuestros servicios. Todos los datos que se recolecten desde nuestras máquinas virtuales se almacenaran en la zona especificada.
Zona Geográfica VM | Zona Geográfica Workspace |
Estados Unidos, Brasil, Canadá | Estados Unidos |
Europa, Reino Unido | Europa |
Asia Pacifico, Japón, India | Asia Pacifico |
Australia | Australia |
Las instantáneas de los discos de nuestras máquinas virtuales se almacenan en la misma cuenta de los discos.
Para máquinas virtuales y servidores alojados en otros ambientes, por ejemplo, on-premises, se puede especificar el Workspace y región donde queremos almacenar los datos.
Azure Security Center Storage: La información sobre alertas de seguridad, incluidas las alertas de partners, se almacenan regionalmente de acuerdo con la ubicación del recurso de Azure relativo, mientras que la información sobre estados de salud y recomendaciones se almacena centralizada en Estados Unidos o Europa, dependiendo de la ubicación del usuario. Azure Security Center recopila copias de los archivos de errores y los analiza para buscar evidencia de explotación de amenazas u otros problemas. El análisis se hace en la misma zona geográfica del Workspace y luego de realizado el análisis, los datos son eliminados.
Administración de la recolección de datos de las máquinas virtuales
Al habilitar Azure Security Center en Azure, comienza la recolección de datos de todas las suscripciones de Azure. Además, podemos activar la recolección de datos para nuestras suscripciones en la sección Políticas de Seguridad del Azure Security Center. Cuando está habilitada la recolección de datos, Azure Security Center despliega el agente de monitoreo en todas las máquinas virtuales existentes y lo integrará en todas las que se creen posteriormente. Este agente revisará las configuraciones de seguridad y los almacena como eventos en el Event Tracing for Windows (ETW). Además, el sistema operativo levantara eventos al log durante el uso de la máquina virtual. Ejemplos de esos eventos son: Versión y Tipo del Sistema Operativo, Logs del Sistema Operativo, Procesos en ejecución, Nombre de la máquina, dirección IP, usuario conectado y el ID de nuestro tenant. El agente de monitoreo lee las entradas en los logs y en las trazas del ETW y las copia en nuestro workspace para el análisis. También se copian los archivos de errores al workspace.
Felipe Zuñiga, Consultor Cloud, Blue Latam.