8 faldgruber ved Azure
Microsoft Azure består af en sværm af services og funktionalitet der spænder meget bredt, og og hvor risikoen for at miste overblikket, hurtigt kan indfinde sig. Det er vigtigt, fra første skridt, at forstå og evaluere risikoeksponering og dokumentere alt det nødvendige. Det gør det fremadrettede sikkerhedsarbejde nemmere.
I sikkerhedssammenhæng bør man altid sørge for at et begrænset antal medarbejdere, med forståelse for Azure og Cloud sikkerhed, kan foretage ændringer i løsningen, og at det samtidig dokumenteres.
Azure kommer med en stribe nyttige værktøjer, som dels kan lette administrationen og dels sikre det nødvendige overblik og respons på hændelser.
Formålet med denne blog post er ikke at dykke ned i værktøjer og alle de elementer der kan anvendes i forbindelse med planlægning, design, implementering og drift af sikkerheden i Azure. Det tager fokus på de 8 mest gængse faldgruber, som hyppigt opstår i forbindelse med Azure.
- App Service -
Sørg for at aktivere system eller bruger identiteter for alle App services
- Microsoft Entra ID (tidligere Azure AD) -
Sørg for at Azure Entra admin er aktiveret på alle SQL servere
- Azure Security Center -
Konfigurerer security alerts til relevante abonnenter
Aktiver security monitorering for alle VMs i Security Center
- Default Security Group -
Opdater regler for Default Security Group, så der denies trafik som default
- Azure Kubernetes Service (AKS) -
Tillad RBAC autentifikation for alle Azure Kubernetes clustere
Kør altid seneste version af Kubernetes.Den seneste version af Kubernetes skal altid være installeret på tværs af alle AKS clustere
- Azure Storage Accounts -
Konfigurerer access level for storage konti indeholder aktivitets logs til "private"
- Azure Blob Storage -
Konfigurer alle blob containere så de ikke kan tilgås annonymt
- Azure Table Service -
Deaktiver global read, write, og delete policies på alle tables og sikre at ACL er konfigureret med laveste privileger
Overvej generelt en Cloud Security Posture Management (CSPM) service til løbende at scanne, validere, monitorere og tilrette konfiguration issues i dine public clouds
Der er naturligvis mange flere sikkerhedsrisici relateret til Cloud i almindelighed men disse 8 er dem som jeg hyppigt ser blive fejlimplementeret eller overset.