保護您的資料中心及雲端環境遠離新型的資訊安全威脅

資訊安全已經成為現在不得不重視的一環。你不難看到某些公司遭受駭客的攻擊及入侵而造成資料外洩的新聞。資安專家也許會說:「這不過只是資安事件中的冰山一角」,但你不得不承認,這一小角其實對公司來說已經會造成非常巨大的影響了。

但是今非昔比,許多的攻擊者的動機已經有很大的改變,幾年前微軟高可信度電腦運算團隊( Trustworthy Computing group )所發布的內部文件,預測在資訊攻擊上從單純的攻擊癱瘓或者資訊詐騙,逐步轉變成進階持續性滲透攻擊 (Advanced Persistent Threats) , 簡稱 APT, 需要更深入了解此名詞可以參考 (台灣微軟資安部落格)。這個轉變促使各大領域的企業開始針對這種攻擊手法作對應的防範,而微軟的產品從 Microsoft Azure 公有雲,到 Windows 10 以及眾多的伺服器產品當然不可避免的需要顧及到 APT 的問題。 

在同一時間,有許多的技術不斷地推演進化,這對資訊安全有深切的影響像是:虛擬化技術、大型雲端運算模型、公有雲等,這些技術產生服務租用戶跟服務提供者之間,在資料存放及使用信任的問題。而 Microsoft Azure 雲端服務,將會持續研發及進步,竭盡所能地為這個新的網路世界,提供安全的防護。

此篇文章將會向您介紹我們的產品服務將如何提升資料中心的安全,並且也適用於私有雲以及自建資料中心環境所用。大綱如下:

資訊安全保障設計原則及方案

資料中心以及雲端環境的安全

保護虛擬機器及運行的服務於實體架構的攻擊 (fabric attackes)

特權存取管理機制

威脅偵測機制

別忘了保護你的作業系統

總結


資訊安全保障設計原則及方案

在資訊安全保障設計這個部分,我們始終保持這幾個重要的設計原則:

  •   假如服務的環境被入侵,那麼必須要分析這個攻擊將會衍生出什麼樣的問題,以及要採取什麼樣的措施。

  •   在雲端技術多變及在大型虛擬化環境的安全機制要怎麼保持運作的一致性。

  •   在現有的環境下,加入新的資訊安全防護功能不需要重新調整您的資料中心架構或者做出重大的升級。

在繼續閱讀本文章前,需要提醒您關於資訊安全保障及條約的一些事項。當您在閱讀這篇文章時,文內有一些額外的連結,而這些連結的內容至少附加一個或多個以上的保障條約說明。但這些條約及介紹功能說明並不能保證您能是完全安全的,我們將會採用最先進且持續保持更新的防突破安全技術來盡可能地提供最完整的保護給您。

資料中心以及雲端環境的安全

資訊專家指出,最近的攻擊方式大多都是使用合法的管理者帳戶所進行。我們知道透過社交工程,人們可以被愚弄欺騙,或者透過行賄的方式獲取這些管理者帳戶,導致攻擊其實是由內部而來。但有幾件事我們可以做,如果我們 “假設被入侵”,我們可以做的是盡可能透過資訊安全管控來控制住情勢。

當系統被入侵,或者管理帳號遭盜取時,我們採取的措施是我們該如何控制住因入侵所造成的損害,並且讓這些入侵或者盜取資料的行為是能被我們偵測到,且有能力去回應這些事情的發生。要因應這些問題,我們必須結合傳統的安全防護方式,先阻止外部的駭客入侵系統。

目前針對這個問題,我們使用三種因應策略:

  •  避免入侵者由私有雲或者雲端服務提供者入侵虛擬機器

  •  具備特權存取管理,能夠處理遭受盜取的管理員帳號,並追查威脅的來源

  •  能夠偵測出威脅及惡意軟體的設計

保護虛擬機器及運行的服務於實體架構的攻擊   ( fabric attacks )

虛擬化技術不斷的推演進化,這對資訊安全有深遠的影響,例如產生了一個服務租用戶跟服務提供者之間,在資料存放及使用信任的新界線。

假如今天資料中心的管理者帳號遭受盜取,這代表所有運行在該資料中心的虛擬機器們,都可以遭受盜取管理者帳號的攻擊者任意的存取、安裝有害的軟體腳本等。或者攻擊者藉由實體的入侵手段,進而存取儲存裝置、網路、備份資料甚至是操作實體的機器。

為了保護這些虛擬機器所運行的服務不遭受實體架構的攻擊,我們使用一套在資料中心實體架構管理內,稱之 “ 信任計畫機制 ( trust plane ) ” 的管理計畫。而這個 “ 信任計畫機制 ” 分為好幾部分,個別隔離了針對實體架構上的幾個管理層級,實體架構的管理員並沒有權限能夠存取控制這個 “ 信任計畫機制 ” 。

在信任計畫機制裡面,有一個核心技術我們稱作: “ 虛擬安全模式 ( Virtual Secure Mode, VSM ) ” :我們使用 Hypervisor 以及硬體建立一個完全與其他系統分開的空間。在 VSM 裡只允許特定的資訊及資料操作,且並沒有辦法由實體架構管理者進行操作及控制,也沒有任何軟體能夠被安裝在其中、沒有人能夠拿到這層的管理權限,並且是完全與網路隔絕的。在 VSM 中我們可以執行以及改變像是極重要的安全性操作像是安全管理金鑰,來隔離保護我們的架構上下層完全不受入侵危害。

 

透過這個信任計畫機制,我們可以使用加密技術來保護客戶們的虛擬機器以及檔案還有資料庫。

在 Windows Server 2016 中,我們展示了 “ Shielded Virtual Machines , 受保護的虛擬機器 ” ( Shielded VM ) ,能夠達成在實體層面以及虛擬層面的完全隔離。這個功能亦能於私有雲以及自建資料中心內提供。

受保護的虛擬機器就像其他一般的虛擬機器,但他們具備幾個不一樣的特性:

  •   線路以及儲存的空間經過加密(使用 BitLocker 加密)。

  •   只能透過特定的認證過的端點操作以及改變設定。

  •   不能由實體架構存取這些受保護的虛擬機器的儲存裝置、網路管理,並且具備足以抵抗惡意軟體的破解存取行為。

這讓你能夠實現一個極高安全的虛擬環境,讓你能夠將資訊較敏感的服務虛擬化,像是傳統上因安全性考量,會運行在實體機器上的網域管理器 ( domain controllers ) 等。

聽起來概念相當簡單,但我們花費了許多力氣去確保這個方式是個實用且不需要讓實體架構有需任何調整或異動的。所以我們將現有的虛擬機器生命週期操作模型裡面整合了受保護的虛擬機器進去。受保護的虛擬機器可以暫停,以及重新啟動,或者進行合併升級,還有災難回復即備份的功能,就像一般的虛擬機器一樣!

特權存取管理機制

當管理者帳號遭受盜取,在虛擬環境運作的服務將會直接暴露在威脅之中。

當分析過往幾年被入侵的案例時,我們可以快速地得到一個結論:無論是用什麼方式破解侵入系統環境,攻擊者總是優先去盜取管理者的帳戶資訊,在他們能夠取得最大的控制權後,就將自己先隱藏在系統內部。

特權存取管理是假設系統被入侵前的因應措施,加強隔離以避免更進一步的入侵行為,並且評估這次的入侵會帶來什麼樣的損失。

特權存取管理機制帶來許多好處,但也帶來一些問題,以下為幾個特權存取管理所擁有的特色功能:

  •  預設的情況,沒有人能擁有特權存取權限。

  •  當有人需要進行一些需要管理權限才能進行的動作時,必須要求管理者 (稱之 “ Check out ” ) 給他們一段時間能夠進行特定動作的權限,這個動作管理者可以透過自動驗證、多重驗證、或者手動驗證來給予權限  進行。我們稱之為 “ Just In Time ” ( JIT ) 授權

  •  當使用者取得管理權限時,使用者只能執行特定的工作,他們並沒有像管理者一樣擁有完全對伺服器的掌控。我們稱之為 “ Just Enough Administration ”  (JEA) 。

  •  所有的事件將會被記錄下來,包括那些程序要求更高層別的操作等,因此我們可以更容易監測出惡意軟體的行為。

我們已經在 Azure 以及 Office 365 雲端上運用 JIT 以及 JEA 技術,我們非常興奮能將這些功能公開出來讓大家使用,可透過這些技術來保護您環境的安全。

我們正在逐步釋出 JIT 的功能到即將發表的 Microsoft Identity Manager (MIM)  2016 當中,而這個產品現在已經公開進行測試中了。(更多細節參照 AD blog

我們也發表了 xJEA PowerShell 模組,是使用前述提到的  “ Just Enough Administration ”  技術,且即將整合進 Windows Management Framework 中了。(更多細節請參考 JEA blog

JIT 以及 JEA 技術皆以簡單能夠使用在您的軟體及基礎架構內為設計考量,幫助您能夠控制以及監控系統權限的使用及存取狀況。

威脅偵測機制

在眾多威脅中,我們提供偵測及鑑識功能。我們知道攻擊者聰明伶俐、能快速學習並適應新科技。因此,偵測將成為不可或缺的一環,且能藉由雲端強大的能力來快速偵測外來入侵。我們蒐集並分析來自於私有雲或者公有雲上的實體架構及虛擬機器的資訊,就像防止惡意軟體系統一樣,或者來自網路犯罪組織紀錄、企業合作夥伴、政府資源等其他管道的資訊來判斷威脅。

我們將以上管道提供的巨量資料放入雲端,透過大數據及機器學習技術分析。

此外,我們已在公司內部運用這些技術有一段時間了,且我們將會開放此一服務於客戶們。這是一個迅速成長進化的領域,而我們將持續的學習改進,能快速提供最新的功能及服務是我們其中的一大優勢。

在不久的將來,我們將針對威脅偵測相關的部分推出兩項非常驚人的技術:

第一項為 “ Microsoft Advance Threat Analytics ” (下稱 Microsoft ATA) ,這是一個可以由使用者建立部屬的產品,將用於 Active Directory 活動紀錄以及 SIEM (Security Information and Event Management) 所提供的資料中,進行分析查找潛在的威脅並且發出預先的警告。Microsoft ATA 運用在 Active Directory 當中,能夠達到非常高的辨識率以及準確性,當有害行為發生,將會迅速地找到入侵者可能會造成的潛在影響。

第二項為 “ Microsoft Operations Management Suite (OMS) ” 安全審查解決方案,分析處理來自自建雲端環境的安全紀錄以及防火牆事件紀錄找出對系統安全有害的行為。使用此安全審查解決方案,IT 人員將能夠檢視可疑的行為,並且決定是否做出更進一步的檢查。如果需要繼續進行分析,則可使用更強大的查詢工具去做更徹底的檢查。

 

  別忘了保護你的作業系統

另外一個攻擊者侵入的方式,是利用已知的作業系統漏洞去控制伺服器,並且取的管理員帳號,進而控制存取您的系統環境。

為了保護你的作業系統,我們在 Microsoft Operations Management Suite ( OMS ) 內建了 “ 系統更新評定 ” ( System update assessment ) 機制,去找出系統哪個部分需要進行修補更新,以及評定系統上可能存在的 “ 惡意軟體 ” ,因此你可以及早的發現並且採取修補的動作去確保您的伺服器環境是安全的。我們也在 Windows Server Antimalware 使用了這個機制,Windows Server Antimalware 預設安裝並且開啟執行在 Windows Server 2016 內。

總結

在今日雲端運算技術多變且各種新型的威脅不斷出現,我們必須要有能力應對如流,減少這些威脅所造成的損害。保護這些在雲端上面的資料及環境,並且提供各雲端環境一致性的保護能力。

透過受保護的虛擬機器,特權存取管理機制,以及偵測及分析入侵服務達到防護效果。

這些解決方案的技術不只是著重於安全防護,同時也非常容易的加入到您現有的運作環境當中。

資訊安全問題是個我們需要花費長久的時間來討論及解決的問題,我們將持續地提供及幫助我們的客戶一個安全的運作環境。

本文翻譯自 Protecting your datacenter and cloud from emerging threats