Het aantal cyberincidenten blijft stijgen en daarom is het van groot belang om security in je organisatie goed in te richten. Of je nu in de Cloud of on-premise werkt. Deze maatregelen zijn beschikbaar in de vorm van intrusiedetectiesystemen (IDS) of inbraakpreventiesystemen (IPS). De systemen samen hebben als doel om netwerken te beveiligen en mogelijke incidenten (vroegtijdig) op te sporen. IDS en IPS maken ook deel uit van firewalls. Maar wat houden de systemen precies in en hoe speelt dit een rol in de beveiliging van Azure?
Wat is een Intrusion Detection System (IDS)?
Intrusion Detection is een geautomatiseerd proces dat het netwerkverkeer bewaakt. Er draait een analyse op het verkeer om zo mogelijke cyberaanvallen en -inbraken te detecteren. Een Intrusion Detection Systeem werkt meestal op basis van een kopie van het netwerkverkeer, via een tapverbinding of span. Voorbeelden zijn het detecteren van pogingen tot misbruik en incidenten die een bedreiging tot het netwerk kunnen vormen. Dit werkt op basis van sensoren die zowel draaien op je systemen als op het betreffende netwerk. Deze sensoren vormen een console van waaruit gebeurtenissen en waarschuwingen in de gaten worden gehouden. Tot slot wordt een engine gebruikt om de regels te beheren. Uiteindelijk maakt een IDS het mogelijk om patronen te detecteren wat betreft ongebruikelijke requests, aanvalstechnieken en securitydata. Dit zorgt ervoor dat je als organisatie in staat bent om snel cyberaanvallen te detecteren en risico’s vroegtijdig te analyseren. Het is namelijk relatief makkelijk op te zetten.
En een Intrusion Prevention System (IPS)?
Met Intrusion Detection Systemen wordt ingegrepen op de door IDS gedetecteerde inbreuken. Het geeft dus niet alleen een melding wanneer verdachte activiteiten worden gedetecteerd, maar onderneemt ook direct actie door verkeer te stoppen. Door blokkade van IP-adressen, het beëindigen van sessies of het uitvoeren van packetdrops. Alleen het verdachte pakket wordt gedropt (ook wel: gestopt), waardoor al het andere netwerkverkeer gewoon blijft doorgaan. Ook kan de firewall worden versterkt of kwaadaardige content uit een systeem worden verwijderd. Na de detectie en actie, ontvang je als organisatie een rapport dat aantoont waar in de beschermde ruimte actie is ondernomen op een cyberincident en hoe dit is uitgevoerd. Zo ben je als organisatie beter in staat om toekomstige aanvallen te voorkomen.
IDS/IPS en Azure: Azure Firewall
Het opzetten van je security in Azure met IDS is anders dan in on-premise omgevingen. In Azure beheer je namelijk niet de onderliggende netwerkinfrastructuur, waardoor het moeilijk is om toegang te krijgen tot informatie op package-niveau. Microsoft is namelijk verantwoordelijk voor de beveiliging van hun infrastructuur. Een organisatie is echter zelf verantwoordelijk voor het bewaken en beveiligen van de applicaties die in Azure draaien.
Azure Firewall is de cloud-native netwerkbeveiliging van Microsoft. Deze beveiligingsservice beschermt een organisatie tegen bedreigingen voor de workload die in Azure draait. De Azure Firewall heeft onbeperkte schaalbaarheid en hoge beschikbaarheid, wat de analyse van het netwerkverkeer over de volledige breedte pakt. De Firewall van Azure bestaat in drie vormen, ook wel SKU’s.
SKU’s van Azure Firewall
- Azure Firewall Standard. Deze beveiliging biedt L3-L7-filtering en bedreigingsinformatiefeeds vanuit Microsoft Cyber Security. Dit waarschuwt realtime alarmerend verkeer en weigert schadelijke IP-adressen.
- Azure Firewall Premium. Deze beveiliging onderscheidt zich van Standard door de geavanceerde mogelijkheden, zoals IDS gebaseerd op handtekeningen. Signature-based IDS biedt een database vol handtekeningen aan van bekende aanvalspatronen, waardoor het is staat is om bekende cyberaanvallen snel en effectief te herkennen. Dit gaat om meer dan 67000 handtekeningen verdeeld over meer dan 50 categorieën.
- Azure Firewall Basic. Deze SKU is ingericht voor Azure-omgevingen binnen het MKB. De prijs is lager, wat zich uit in een aantal beperkingen ten opzichte van het Firewall Standard pakket. Zo heeft het alleen ondersteuning van Threat Intel voor waarschuwingen, heeft het een vaste schaaleenheid en is het aanbevolen voor omgevingen met een doorvoer van ongeveer 250 Mbps.
Azure Defender
Het Azure Cloudplatform heeft al een uitgebreide beveiliging op basis van Microsoft-technologie, bestaande uit maatregelen en standaarden wat betreft dataverwerking. Zo zijn Azure-accounts volledig beveiligd door middel van encrypties. Echter, is extra bescherming van je Cloudplatform gewenst om onder andere de toegang tot het platform en handhaving van geautoriseerde accounts te beveiligen. Zo bescherm je je platform tegen ongewenste account takeovers en aanvallen van binnenuit. Eén van de beste Azure Intrusion Detection tools is Azure Defender. Dit systeem is beschikbaar voor de gehele werkbelasting en opslag van je Azure-omgeving. Het is in staat om bedrijfsmiddelen op locatie op te nemen in het beveiligingsschema. Azure Defender beschermt niet alleen tegen pogingen tot inbraak, maar ook tegen het kapen van webtoepassingen en malware. Azure Defender bestaat uit vier hoofdcomponenten om volledige beveiliging te realiseren.
Vier hoofdcomponenten van Azure Defender
- Workload protection. Beschermt processen die binnen de Azure servers draaien.
- Data protection. Beschermt data tegen ongewenst gebruik of onbedoelde openbaring.
- Container protection. Ondersteunt onder andere Docker en Kubernetes bij constante security monitoring.
- Endpoint protection. Endpoint Detection en Response (EDR) modules beschermen devices, desktops en servers die draaien op Windows, Windows Servers, macOS of Linux.
Azure Defender bestaat dus uit zowel Endpoint Detection en Response (EDR) modules als een Intrusion Detection Systeem (IDS). Daarnaast is het mogelijk om extra beveiliging in te richten. Alhoewel de inrichting van Azure Defender niet gemakkelijk is en om de nodige expertise in Azure vraagt, zijn er weinig beveiligingssystemen die aan deze uitgebreide security kunnen tippen.
Conclusie
Ondanks dat het Azure Cloudplatform al uitstekend beveiligd is met Microsoft-technologie, is het belangrijk om je applicaties extra te beveiligen. Met IDS/IPS detecteer je niet alleen cyberincidenten in je netwerkverkeer, maar wordt er ook direct actie op uitgevoerd en ontvang je vervolgens een rapport over de situatie. Hiermee kan je toekomstige aanvallen weer voorkomen. Azure Defender is een van de beste IDS/IPS-modules.
Meer weten over IDS/IPS, het beveiligen van je Cloudomgeving of migreren naar Azure? Lees meer over de Micro SOC: de pro-actieve benadering van cybersecurity. Toegankelijk en betaalbaar. Ook voor kleinere organisaties. Of neem vrijblijvend contact op met Dave!
Meer innformatie?
Wil je meer weten over Intrusion Detection en Prevention Systems (IDS/IPS) binnen Azure, neem dan contact met ons op.