Archivi categoria: Azure Storage

Azure Security Center: la protezione di Azure Storage

Azure Security Center, la soluzione cloud che consente di prevenire, rilevare e rispondere alle minacce di sicurezza che interessano architetture ibride, permette di avere un livello di protezione avanzato anche per le risorse storage presenti in Azure. La soluzione consente di rilevare tentativi insoliti e potenzialmente dannosi di accedere oppure di utilizzare Azure Storage. In questo articolo viene riportato come proteggere in modo efficace lo storage in Azure con questa soluzione, esaminando le novità recentemente annunciate in questo ambito.

Azure Security Center (ASC) è possibile attivarlo in due tiers differenti:

  • Free tier. In questo tier ASC è totalmente gratuito ed effettua un assessment continuo, fornendo delle raccomandazioni relative alla sicurezza dell’ambiente Azure.
  • Standard tier. Rispetto al tier free aggiunge funzionalità avanzate di rilevamento delle minacce, utilizzando l’analisi comportamentale e l’apprendimento automatico per identificare attacchi ed exploit zero-day. Attraverso tecniche di machine learning e tramite la creazione di whitelist è possibile controllare l’esecuzione delle applicazioni per ridurre l’esposizione agli attacchi di rete e ai malware. Inoltre, il livello standard aggiunge la possibilità di effettuare in modo integrato un Vulnerability Assessment per le macchine virtuali in Azure. Lo standard Security Center Standard supporta diverse risorse Azure tra cui: VMs, Virtual machine scale sets, App Service, SQL servers, e Storage accounts.

Advanced Threat Protection (ATP) per Azure Storage rientra quindi tra le varie funzionalità di Azure Security Center Standard.

Figura 1 – Confronto tra le funzionalità dei differenti tiers di ASC

Per migliorare le security posture del proprio ambiente Azure è fortemente consigliata l’abilitazione del tier Standard di Security Center.

La funzionalità di Advanced Threat Protection (ATP) per Azure Storage è stata annunciata lo scorso anno, permettendo di rilevare minacce comuni come malware, accesso da fonti sospette (inclusi nodi TOR), attività di esfiltrazione dei dati e altro ancora, ma il tutto limitatamente ai blob containers. Recentemente è stata incluso il supporto anche per Azure Files e Azure Data Lake Storage Gen2. Questo permette ai clienti di proteggere anche i dati archiviati in file shares e gli archivi di dati progettati per l’analisi dei big data aziendali.

L’attivazione di questa funzionalità dal portale Azure è molto semplice ed è possibile farla a livello di subscription protetta da Security Center oppure in modo selettivo sui singoli storage account.

Per abilitare questa protezione su tutti gli storage account della subscription è necessario accedere alla sezione “Pricing & Settings” di Security Center e attivare la protezione degli Storage Accounts.

Figura 2 – Attivazione ATP per Azure Storage a livello di subscription

Se si preferisce abilitarla solo su determinati storage account è necessario attivarla nelle rispettive impostazioni di Advanced security.

Figura 3 – Attivazione ATP sul singolo storage account

Quando si verificano anomalie su uno storage account gli avvisi di sicurezza vengono inviati tramite posta elettronica agli amministratori delle subscription Azure, con i dettagli sulle attività sospette rilevate e i relativi consigli su come indagare e risolvere le minacce.

I dettagli inclusi nella notifica dell’evento includono:

  • La natura dell’anomalia
  • Il nome dello storage account
  • L’ora dell’evento
  • La tipologia dello storage
  • Le potenziali cause
  • I passi consigliati per indagare quanto riscontrato
  • Le azioni da intraprendere per rimediare da quanto accaduto

Figura 4 – Esempio di avviso di sicurezza inviato a fronte di una rilevazione di una minaccia

Per validare il corretto funzionamento della soluzione è stato in questo esempio utilizzato il test file EICAR. Si tratta di un file sviluppato dall’European Institute for Computer Anti-Virus Research (EICAR) che serve per validare in sicurezza le soluzioni di protezione.

Gli avvisi di sicurezza è possibile consultarli e gestirli direttamente da Azure Security Center, dove vengono visualizzati i relativi dettagli e le azioni per indagare le minacce attuali ed affrontare quelle future.

Figura 5 – Esempio di avviso di sicurezza presente nel Security alerts tile di ASC

Per ottenere la lista completa dei possibili avvisi generati da tentativi insoliti e potenzialmente dannosi di accedere oppure utilizzare gli storage account è possibile accedere alla sezione Threat protection for data services in Azure Security Center.

Questa protezione risulta molto utile anche in presenza di architettura che prevedono l’utilizzo del servizio Azure File Sync (AFS), che permette di centralizzare le cartelle di rete della propria infrastruttura in Azure Files.

Conclusioni

Sempre più frequentemente le realtà aziendali trasferiscono i loro dati nel cloud, alla ricerca di architettura distribuite, elevate prestazioni e una ottimizzazione dei costi. Tutte le funzionalità offerte dal cloud pubblico richiedono di rafforzare la sicurezza informatica, in particolare vista la crescente complessità e sofisticatezza degli attacchi informatici. Grazie all’adozione di Advanced Threat Protection (ATP) per Azure Storage è possibile aumentare il livello di sicurezza dello storage utilizzato in ambiente Azure in modo semplice ed efficace.

La protezione di Azure File Sync tramite Azure Backup

Il servizio Azure File Sync permette di centralizzare le cartelle di rete della propria infrastruttura in Azure Files, consentendo di mantenere le caratteristiche tipiche di un file server on-premises, in termini di performance, compatibilità e flessibilità e allo stesso tempo di beneficiare delle potenzialità offerte dal cloud. Azure File Sync si integra con Azure Backup rendendo possibile la gestione delle politiche di protezione nel cloud in modo centralizzato. In questo articolo viene riportato come si integrano queste due soluzioni e quali aspetti è necessario tenere in considerazione per attivare una protezione efficace.

Le caratteristiche principali di Azure File Sync sono le seguenti:

  • Cloud tiering: vengono mantenuti localmente solo i dati acceduti di recente.
  • Multi-site sync: si ha la possibilità di effettuare la sincronizzazione tra differenti site, consentendo di accedere in scrittura agli stessi dati tra differenti Windows Servers ed Azure Files.
  • Integrazione con Azure backup: possibilità di attivare la protezione dei contenuti tramite Azure Backup.
  • Disaster recovery: si ha la possibilità di effettuare in modo immediato il ripristino dei metadata dei file e di richiamare solamente i dati necessari, per velocizzare le operazioni di riattivazione del servizio in scenari di Disaster Recovery.
  • Accesso diretto all’ambiente cloud: è consentito accedere direttamente ai contenuti presenti sulla File share da altre risorse Azure (IaaS e PaaS).

Azure File Sync è in grado di trasformare Windows Server in una “cache” per accedere rapidamente ai contenuti presenti su una determinata Azure File share. L’accesso locale ai propri dati può avvenire con qualsiasi protocollo disponibile in Windows Server. Si ha la possibilità inoltre di disporre di più server “cache” dislocati in location geografiche differenti.

La possibilità di attivare la funzionalità di Cloud Tiering rende Azure File Sync una soluzione sempre più diffusa, ma questo aspetto in particolare impone di fare le dovute considerazioni nella strategia da adottare per la protezione dei dati. Così come per le soluzioni antivirus, le soluzioni di backup potrebbero causare il richiamo di file archiviati nel cloud tramite la funzionalità di Cloud Tiering. Microsoft consiglia di adottare una soluzione di backup cloud per eseguire il backup di Azure File share anziché una soluzione di backup locale. Se si utilizza una soluzione di backup locale, i backup devono essere eseguiti su un server appartenente a un gruppo di sincronizzazione in cui il cloud tiering è disabilitato.

Funzionamento del processo di backup

La protezione delle Azure File share avviene secondo la seguente architettura:

Figura 1 – Architettura per la protezione delle Azure File share

Il processo di protezione di Azure File share prevede i seguenti step:

  1. La presenza di un Recovery Service Vault è necessaria per poter configurare i backup. Quindi è opportuno procedere con la relativa creazione nel caso non sia disponibile.
  2. Azure Backup effettuerà un discovery necessario per portare a termine il processo di registrazione dello storage account che ospita le Azure File share da proteggere.
  3. Completato il processo di registrazione, Azure Backup memorizzerà la lista delle File share presenti sullo storage account in un suo catalog.
  4. Sarà possibile selezionare l’Azure File share da proteggere e associarle alle relative backup policy, che prevedono una specifica schedulazione e le politiche di mantenimento dei dati.
  5. Sulla base delle policy configurate Azure Backup effettua i backup. Un aspetto fondamentale da valutare è che attualmente il backup avviene generando uno snapshot dell’Azure File share. I dati presenti nelle Azure File share non vengono mai trasferiti nel Recovery Service Vault, ma Azure Backup si limita a creare e gestire gli snapshots che fanno parte dello storage account.
  1. In caso di ripristino saranno utilizzati gli snapshots ed, il relativo URL dei backup, viene ripreso dallo store dei metadati presente nel Recovery Service Vault.
  2. Il monitor dei processi di backup e di ripristino vengono inviati al servizio di Azure Backup Monitoring. Questo consente di avere una visione complessiva di tutti i backup, compresi quelli relativi alle Azure File Share. Inoltre, è anche possibile configurare alerts oppure notifiche via e-mail in caso di problemi sull’esecuzione dei backup.

 

Vantaggi nell’adottare questa strategia di protezione

  • Zero infrastructure: non è necessaria alcuna infrastruttura per attivare la protezione dell’ambiente.
  • Personalizzazione delle retention policy: è possibile configurare i backup con politiche di conservazione dei dati giornaliere, settimanali, mensili ed annuali, in base alle proprie esigenze. I backup annuali è possibile ora mantenerli fino a 10 anni.
  • Funzionalità di gestione integrate: è possibile pianificare i backup e specificare il periodo di retention desiderato in modo totalmente integrato nella piattaforma.
  • Ripristino istantaneo: il backup delle Azure File share usa gli snapshots, questo consente di selezionare solo i file che si desidera ripristinare istantaneamente.
  • Alert e report: è possibile configurare alert a fronte di operazioni di backup e ripristino che presentano errori. Si può inoltre utilizzare la soluzione di reportistica fornita da Azure Backup per ottenere informazioni dettagliate sui processi di backup.

Protezione dalla cancellazione accidentale delle Azure File shares

Per fornire una maggiore protezione contro gli attacchi informatici e per la cancellazione accidentale, Azure Backup ha recentemente aggiunto un ulteriore livello di sicurezza alla soluzione di gestione degli snapshots di Azure File shares. Nel caso vengano eliminate le File share, i contenuti e i relativi punti di ripristino (snapshots) vengono conservati per un periodo di tempo configurabile, consentendone il ripristino completo senza perdita di dati. Quando si configura la protezione per una File share, Azure Backup abilita la funzionalità di soft-delete a livello di storage account con un periodo di conservazione di 14 giorni, il quale è configurabile in base alle proprie esigenze. Questa impostazione determina la finestra temporale in cui è possibile ripristinare i contenuti e gli snapshots delle File share dopo qualsiasi operazione di eliminazione accidentale. Una volta ripristinata la File share, i backup riprendono a funzionare senza la necessità di effettuare ulteriori configurazioni.

Conclusioni

Questa soluzione consente in molto semplice, affidabile e sicuro di configurare la protezione per le Azure File share e di ripristinare facilmente i dati in caso di necessità. L’integrazione tra Azure File Sync ed Azure Backup vedrà sicuramente nei prossimi mesi il rilascio di diverse nuove funzionalità, tra le quali, molto sentita, la possibilità di configurare il trasferimento dei dati verso il Recovery Service Vault anziché mantenere gli snapshots nello stesso storage account dove risiedono i dati. Per conoscere tutti gli ambiti di supporto ed i limiti nell’utilizzo del servizio di Azure Backup per la protezione delle Azure File share è possibile consultare questo articolo Microsoft.