Verdedig je virtual machines in de Microsoft Azure cloud

In deze blog vind je welke best practices omtrent Azure Virtual Machines kunnen helpen om security risico’s te reduceren. Om deze zo beter te beschermen!

Wie is verantwoordelijk voor de Azure VM’s?

Een van de zaken waar security detectie en response teams (DART) en servicedesk medewerkers regelmatig tegenaanlopen zijn incidenten van aanvallen op virtuele machines in de cloud.

Bij on-premise inrichtingen liggen de security verantwoordelijkheden van virtuele machines op bijvoorbeeld VMWare workstation & server en Microsoft Hyper-V compleet bij de organisatie zelf. Dat geldt dan zowel voor de hardware (host / netwerk / datacenter), software (virtualisatie platform / netwerk controls / authenticatie / operating system) en assets (data / devices / identities). Dus eigenlijk voor alle OSI lagen.

De Azure Virtual Machines die afgenomen worden van het Azure cloud platform vallen in het Infrastructure as a Service (IaaS) cloud service model. Kijkende naar de cloud security verantwoordelijkheden dan liggen deze zowel bij de cloud consumer (Customer Managed) en bij Microsoft (Provider Managed). Sterker nog, er zit een overlap in deze verantwoordelijkheden! Er dienen dus gelijk bij het plaatsen van eerste virtuele machine in Azure (of welke cloud dan ook) de juiste security controls ingeregeld te worden door jouw organisatie.

Vanuit Microsoft zijn er met betrekking tot deze gedeelde verantwoordelijkheden een aantal best practices gedefinieerd om je te helpen deze workloads in Azure, zoals Virtual Machines, te beschermen tegen het groeiende aantal aanvallen. De onderwerpen die we vandaag binnen de gedeelde verantwoordelijkheid behandelen zijn:

• Tools
• Identity & Directory Infrastructure
• Applications
• Network Controls
• Operating System

Wat zijn nu die best practices omtrent het verdedigen van Azure Virtual Machines? En welke vervolgstappen zijn er nog mogelijk na de implementatie van deze best practices?

Azure Virtual Machine Security Best Practices

Vanuit Microsoft zijn de best practices opgedeeld in de volgende zeven security gebieden:

• Gebruik Azure Secure Score in Microsoft Defender for Cloud
• Beperk (isoleer) het aantal management poorten van Azure Virtuele Machines
• Gebruik complexe wachtwoorden en complexe gebruikersaccount
• Operating system patching
• Third-party applicatie upgrades en patching
• Actieve threat monitoring
• (Azure) Backup Service

De zeven best practices defending Azure virtual machines

1. Gebruik Azure Secure Score in Microsoft Defender for Cloud (voorheen Azure Security Center): De Azure Secure Score biedt een numerieke view van jouw cybersecurity readiness. Bij een 100% score voldoe je voor die dienst of dat onderdeel aan de best practices. Als dit niet geval is kunnen de onderdelen met de hoogste prioriteit als eerste aangepakt worden. Enkele van onderstaande best practices een onderdeel zijn van Azure Secure Score.
2. Beperk (isoleer) het aantal management poorten van Azure Virtuele Machines: Beperk het aantal poorten voor het beheer van een virtuele machine richting het internet. Daar management poorten zoals Remote Desktop Protocol (RDP) populaire zijn bij Windows Administrators, zijn ze ook zeer aantrekkelijk voor hackers. Het alleen aanpassen van een poort nummer zal een goede hacker niet tegenhouden. Als het gebruik van RDP toch nodig is zou gebruik gemaakt kunnen worden van een source ip-address range. Maak zeker geen gebruik van een wildcard (*) daar het te verwachten is dat er een brute force aanval gepleegd zal worden. Een brute force aanval is op de volgende twee manieren te detecteren:
   a. In Azure Defender (voorheen Azure Security Center Standard) zal een alert getriggerd worden als een VM aangevallen worden met een brute force attack
   b. Check de Windows Event Viewer (Windows Security Event Log), als hier op korte termijn veel Event ID 4625 gelogd worden (binnen seconden of minuten) dan kun je ervan uit gaan dat je Azure Virtual Machine aangevallen worden met een brute force attack
   Om inbound toegang tot VM’s te beheren zou het principe Just-In-Time (JIT) access toegepast kunnen worden. Waarbij de kans om aangevallen te worden verlaagd wordt daar gebruikers die toegang mogen hebben die alleen te geven (lees laten verkrijgen) als ze deze ook echt nodig hebben.
3. Gebruik complexe wachtwoorden en complexe gebruikersaccount: Blijkt het gebruik van inbound toegang tot VM’s voor business redenen nodig? Dan is het minimaal adviseerbaar om met zowel complex wachtwoorden als met complexe gebruikersaccounts te werken. De Azure Security Best practices zijn om passwordless (zoals biometrische benadering, gezichtsherkenning met Windows Hello) en/of met Multi-factor authenticatie (MFA) te werken.
4. Operating system patching: Het lijkt een inkopper, het patchen van het operating system. Toch is een patch management cyclus gewenst om het potentiële hackers moeilijker te maken. Een goed voorbeeld zijn de in 2019 gevonden security issues in het Remote Desktop Protocol (BleuKeep) waar Microsoft security fixes voor heeft uitgebracht.
5. Third-party applicatie upgrades en patching: Het patchen van applicaties op virtuele machines wordt (helaas) vaak vergeten. Gebruik waar mogelijk altijd de laatste versie van de applicatie en/of gebruik applicatie patches als er bekende security issues zijn gevonden.
6. Actieve threat monitoring: Maak gebruik van het Azure Security Center om actief threats te monitoren. Het Azure Security Center gebruikt machine learning om diverse signalen, onder andere log files, op diverse Microsoft systemen en services te analyseren en alerts te sturen als er threats gedetecteerd zijn. Het doel is het verminderen van de impact van aanvallers en snelheid in alle elementen van incidentrespons.
7. (Azure) Backup Service: Buiten het inrichten van security maatregelen is het aan goed idee om aan een backup te denken. Een simpele oplossing is het instellen van een automatische backup van de virtual machine binnen Azure. Dit kan met een paar stappen in de Azure portal gerealiseerd worden.

De inrichting van Azure Virtual Machines kan met de toepassing van de best practices ervoor zorgen dat het aanvalsoppervlak kleiner wordt! Daarbij dient opgemerkt te worden dat alleen het toepassen van deze best practices niet voldoende bescherming zal bieden, er dient continue rekening gehouden te worden met nieuwe threats. Hieronder volgen nog enkele mogelijke vervolgstappen om meer security kennis op te doen.

Next steps

Zoals aangegeven zijn er nog vervolgstappen nodig na het toepassen van de best practices van Azure Virtual Machines. Naast het toepassen van deze best practice als toevoeging om jouw security posture te vergroten, is het onder andere aan te raden een Security Operations Center incl tooling (bv Microsoft Sentinel) in te richten. Kijkende naar de verdeling van de verantwoordelijkheden in een IaaS oplossing (Azure Virtual Machines) is regelmatige toetsing door middel van een audit vaak ook verplicht in het kader van bijvoorbeeld een ISO27001 certificering.

Een andere vervolgstap is het regelmatig checken van de security blog van Microsoft en verder kun je het @MSFTSecurity Twitter account met het laatste cybersecurity nieuws en updates via een feed in de gaten houden.

Meer Azure Virtual Machine cybersecurity kennis opdoen bij Master IT

Meer weten over het Microsoft Azure Virtual Machine cybersecurity? De eendaagse security fundamentals SC-900 (Microsoft Security, Compliance and Identity Fundamentals) IT training laat je kennismaken met security oplossingen in Microsoft Azure, zoals het Zero Trust model Microsoft, STP (Service Trust Portal) en Microsoft security en compliance principes.

Voor het detecteren, onderzoeken en reageren op geavanceerde bedreigingen is er de 4 daagse training SC-200 (Microsoft Security Operations Analyst) die je leert hoe je bedreigingen kunt onderzoeken en verhelpen met Microsoft Sentinel, Microsoft Defender for Cloud (voorheen Azure Security Center & Azure Defender) en Microsoft 365 Defender.

Daarnaast zijn er voor het verkrijgen van nog meer cybersecurity kennis de Microsoft Azure security trainingen SC-300 (Microsoft Identity and Access Administrator) en SC-400 (Microsoft Information Protection Administrator) dit jaar door Microsoft uitgebracht.