8 faldgruber ved Azure

2023-09-21

Microsoft Azure består af en sværm af services og funktionalitet der spænder meget bredt, og og hvor risikoen for at miste overblikket, hurtigt kan indfinde sig. Det er vigtigt, fra første skridt, at forstå og evaluere risikoeksponering og dokumentere alt det nødvendige. Det gør det fremadrettede sikkerhedsarbejde nemmere.

I sikkerhedssammenhæng bør man altid sørge for at et begrænset antal medarbejdere, med forståelse for Azure og Cloud sikkerhed, kan foretage ændringer i løsningen, og at det samtidig dokumenteres.

Azure kommer med en stribe nyttige værktøjer, som dels kan lette administrationen og dels sikre det nødvendige overblik og respons på hændelser.

Formålet med denne blog post er ikke at dykke ned i værktøjer og alle de elementer der kan anvendes i forbindelse med planlægning, design, implementering og drift af sikkerheden i Azure. Det tager fokus på de 8 mest gængse faldgruber, som hyppigt opstår i forbindelse med Azure.

- App Service -

identity enabled
identity enabled

Sørg for at aktivere system eller bruger identiteter for alle App services

- Microsoft Entra ID (tidligere Azure AD) -

Entra ID admin aktiveret
Entra ID admin aktiveret

Sørg for at Azure Entra admin er aktiveret på alle SQL servere

- Azure Security Center -

Admin security alerts aktiveret
Admin security alerts aktiveret

Konfigurerer security alerts til relevante abonnenter

Aktiver security monitorering for alle VMs i Security Center

- Default Security Group -

Network Security Groups (NSGs)
Network Security Groups (NSGs)

Opdater regler for Default Security Group, så der denies trafik som default

- Azure Kubernetes Service (AKS) -

Kubernetes RBAC enabled
Kubernetes RBAC enabled

Tillad RBAC autentifikation for alle Azure Kubernetes clustere

Kør altid seneste version af Kubernetes.Den seneste version af Kubernetes skal altid være installeret på tværs af alle AKS clustere

- Azure Storage Accounts -

Log container public adgang
Log container public adgang

Konfigurerer access level for storage konti indeholder aktivitets logs til "private"

- Azure Blob Storage -

Blob container private access
Blob container private access

Konfigurer alle blob containere så de ikke kan tilgås annonymt

- Azure Table Service -

Table Service all access ACL
Table Service all access ACL

Deaktiver global read, write, og delete policies på alle tables og sikre at ACL er konfigureret med laveste privileger

Overvej generelt en Cloud Security Posture Management (CSPM) service til løbende at scanne, validere, monitorere og tilrette konfiguration issues i dine public clouds

Der er naturligvis mange flere sikkerhedsrisici relateret til Cloud i almindelighed men disse 8 er dem som jeg hyppigt ser blive fejlimplementeret eller overset.