In de week van 4 tot 8 maart was ik in San Francisco op de RSA conferentie 2019. Het evenement stond dit jaar in het teken van ‘BETTER’, waarmee ze benadrukten dat het beter is om met elkaar samen te werken om elkaar zo te versterken. Microsoft heeft bijvoorbeeld de “Microsoft Intelligent Security Graph”. In deze oplossing deelt Microsoft de inzichten van hun beveiligingsproducten, met die van partners. Hierdoor kan iedereen inzicht krijgen in actuele bedreiging die spelen, met als doel om sneller op deze incidenten te kunnen reageren. In dit blog bespreek ik de belangrijkste Microsoft Azure Security aankondigingen tijdens RSA 2019.
Nieuwe capaciteiten in Azure Firewall
Threat intelligence based filtering
Azure Firewall heeft nu de mogelijkheid om verkeer naar en vanaf bekende verdachte IP-adressen en domeinen bijna real-time te blokkeren. Deze IP-adressen en domeinen worden gevoed vanaf de Microsoft Threat Intelligence feed, die op zijn beurt weer wordt gevoed door de eerdergenoemde Microsoft Intelligent Security Graph.
Managing Azure Firewall
Azure Firewall integreert nu naadloos met Azure Monitor. Logs kunnen naar Log Analytics, Azure Storage of Event Hubs gestuurd worden. In de optie Log Analytics kunnen dashboards en visualisaties gemaakt worden met aangepaste query’s. Doordat Azure Firewall integreert met Log Analytics, heeft Azure nu een centrale plek voor alle logs. Vanuit Log Analytics kunnen klanten de data doorsturen naar SIEM-producten als Splunk, ArcSight of andere third-party producten.
Service tags filtering
Naast het nieuwe threat intelligent-based filtering, is nu ook service tags ondersteund in Azure Firewall. Een service tag is een groep van IP-adres prefixen voor Microsoft Services in Azure, zoals Azure SQL, Azure Key Vault etc. Het gebruik van deze service tags maakt het creëren van netwerkregels een stuk makkelijker. Op dit moment worden veel van de aanwezige services in Azure ondersteund, Microsoft is bezig om additionele services ook te ondersteunen.
Azure Sentinel
Net voordat RSA 2019 begon, is de nieuwe cloud native SIEM-oplossing van Microsoft gelanceerd genaamd Azure Sentinel. De Security Information en Event Management (SIEM) oplossing van Microsoft, doet intelligent security analyses op cloud schaal. Azure Sentinel maakt het verzamelen van securitydata in een hybrid organisatie eenvoudig. Het gebruikt artificial intelligence om er zeker van te zijn dat de echte bedreigingen snel worden geïdentificeerd. Hiermee worden taken die traditionele SIEM-oplossingen met zich meebrengen overbodig zoals, het opzetten, onderhouden en schalen van de infrastructuur. Doordat het gebouwd is in Azure, biedt Sentinel bijna onbeperkte schaling mogelijkheden. Het is gebleken dat traditionele SIEM-oplossingen duur kunnen zijn in operatie en kosten vooraf. Azure Sentinel heeft geen kosten vooraf, dus je betaalt alleen voor wat je gebruikt.
Nieuwe capaciteiten in Azure Security Center
Inzet van machine learning om aanvalsrisico te reduceren.
Public cloud brengt een van de grootste aanvalsrisico’s met zich mee door het internet. De klanten van Microsoft vinden het moeilijk om te weten welke regels in een Netwerk Security Groepen (NSG) moeten staan, om er zeker van te zijn dat de Azure resources alleen beschikbaar zijn vanaf de door hun bepaalde reeksen. Azure Security Center kan vanaf heden de connectiviteit patronen leren en aanbevelingen geven over de resources die direct verbonden zijn aan het internet in Azure. Op deze manier kan je netwerktoegang beter regelen en hiermee je aanvalsrisico reduceren.
Adaptive Application Control voor Linux en on-premises servers
Adaptive application control is een intelligent en geautomatiseerd end-to-end systeem dat applicatie whitelisting mogelijk maakt vanuit Azure Security Center. Dit systeem helpt je om controle te krijgen over de applicaties die gestart mogen worden op de virtuele machines (VMs) in Azure. Dit helpt om de VMs beter te bewapenen tegen malware. Azure Security Center gebruikt machine learning om de applicaties te analyseren, welke draaien op een VM. Aan de hand van deze analyse komt er een voorstel om een bepaalde set aan whitelisted applicaties toe te passen op een systeem. Microsoft breidt deze dienst uit door ook Linux VMs en on-premise VMs (Windows & Linux) te ondersteunen.
Network map voor peered VNETs
Network map van Azure Security Center biedt vanaf heden ondersteuning voor het in kaart brengen van verkeer tussen een netwerk peering. Netwerk peering is een dienst dat twee virtuele netwerken in Azure aan elkaar kan koppelen alsof het een netwerk is.
Gesprekken met Program Managers
Op RSA zelf heb ik ook diverse gesprekken gehad met program managers van Microsoft over de nieuwste ontwikkelingen. Zo vertelde Yair Tor wat de verwachte functionaliteiten zijn die in Azure Firewall komen. Met Stefan Schulz zijn een aantal aanbevelingen op functionaliteiten uitgewisseld op het gebied van security op het Azure platform. En met Yuri Diogenes is bijgepraat over de basis van Azure Sentinel en hoe zich dit verhoudt tot Azure Security Center.
Conclusie
De RSA–conferentie en de gesprekken met de programma managers van Microsoft, hebben mij geïnspireerd om de nieuwste Microsoft Azure Security features toe te passen bij onze klanten. Niets is mooier om theorie in praktijk te brengen en daarmee de ervaringen van Microsoft producten te verbeteren. Verder kijk ik uit naar de ontwikkelingen van Azure Sentinel. Heb jij nog vragen over RSA of een van deze nieuwe features? Neem contact op onder dit blog en ik ga graag met jou om tafel om de nieuwste features en mogelijkheden te bespreken.