Het aantal cyberincidenten blijft stijgen en daarom is het van groot belang om security in je organisatie goed in te richten. Of je nu in de Cloud of on-premise werkt. Deze maatregelen zijn beschikbaar in de vorm van intrusiedetectiesystemen (IDS) of inbraakpreventiesystemen (IPS). De systemen samen hebben als doel om netwerken te beveiligen en mogelijke incidenten (vroegtijdig) op te sporen. Maar wat houden de systemen precies in en hoe speelt dit een rol in de beveiliging van Azure?
Wat is een Intrusion Detection System (IDS)?
Intrusion Detection is een geautomatiseerd proces dat het netwerkverkeer bewaakt. Er draait een analyse op het verkeer om zo mogelijke cyberaanvallen en -inbraken te detecteren. Een Intrusion Detection Systeem werkt meestal op basis van een kopie van het netwerkverkeer, via een tapverbinding of span. Voorbeelden zijn het detecteren van pogingen tot misbruik en incidenten die een bedreiging tot het netwerk kunnen vormen. Dit werkt op basis van sensoren die zowel draaien op je systemen als op het betreffende netwerk. Deze sensoren vormen een console van waaruit gebeurtenissen en waarschuwingen in de gaten worden gehouden. Tot slot wordt een engine gebruikt om de regels te beheren. Uiteindelijk maakt een IDS het mogelijk om patronen te detecteren wat betreft ongebruikelijke requests, aanvalstechnieken en securitydata. Dit zorgt ervoor dat je als organisatie in staat bent om snel cyberaanvallen te detecteren en risico’s vroegtijdig te analyseren. Het is namelijk relatief makkelijk op te zetten.
En een Intrusion Prevention System (IPS)?
Met Intrusion Detection Systemen wordt ingegrepen op de door IDS gedetecteerde inbreuken. Het geeft dus niet alleen een melding wanneer verdachte activiteiten worden gedetecteerd, maar onderneemt ook direct actie door verkeer te stoppen. Door blokkade van IP-adressen, het beëindigen van sessies of het uitvoeren van packetdrops. Alleen het verdachte pakket wordt gedropt (ook wel: gestopt), waardoor al het andere netwerkverkeer gewoon blijft doorgaan. Ook kan de firewall worden versterkt of kwaadaardige content uit een systeem worden verwijderd. Na de detectie en actie, ontvang je als organisatie een rapport dat aantoont waar in de beschermde ruimte actie is ondernomen op een cyberincident en hoe dit is uitgevoerd. Zo ben je als organisatie beter in staat om toekomstige aanvallen te voorkomen.
IDS/IPS en Azure: Azure Firewall
Het opzetten van je security in Azure met IDS is anders dan in on-premise omgevingen. In Azure beheer je namelijk niet de onderliggende netwerkinfrastructuur, waardoor het moeilijk is om toegang te krijgen tot informatie op packet-niveau. Microsoft is namelijk verantwoordelijk voor de beveiliging van hun infrastructuur. Een organisatie is echter zelf verantwoordelijk voor het bewaken en beveiligen van de applicaties die in Azure draaien.
Azure Firewall is de cloud-native netwerkbeveiliging van Microsoft. Deze beveiligingsservice beschermt een organisatie tegen bedreigingen voor de workload die in Azure draait. De Azure Firewall heeft onbeperkte schaalbaarheid en hoge beschikbaarheid, wat de analyse van het netwerkverkeer over de volledige breedte pakt. De Firewall van Azure bestaat in drie vormen, ook wel SKU’s.
SKU's van Azure Firewall
Azure Firewall Standard. Deze beveiliging biedt L3-L7-filtering en bedreigingsinformatiefeeds vanuit Microsoft Cyber Security. Dit waarschuwt realtime alarmerend verkeer en weigert schadelijke IP-adressen.
Azure Firewall Premium. Deze beveiliging onderscheidt zich van Standard door de geavanceerde mogelijkheden, zoals een geïntegreerde IDPS gebaseerd op handtekeningen en threat intelligence. Signature-based IDS biedt een database vol handtekeningen aan van bekende aanvalspatronen, waardoor het in staat is om bekende cyberaanvallen snel en effectief te herkennen. Dit gaat om meer dan 67000 handtekeningen verdeeld over meer dan 50 categorieën. Tot slot biedt Premium ondersteuning voor TLS-inspectie en uitgebreide applicatielaag filtering, waardoor ook versleuteld verkeer geanalyseerd kan worden.
Azure Firewall Basic. Deze SKU is ingericht voor Azure-omgevingen binnen het MKB. De prijs is lager, wat zich uit in een aantal beperkingen ten opzichte van het Firewall Standard pakket. Zo heeft het alleen ondersteuning van Threat Intel voor waarschuwingen, heeft het een vaste schaaleenheid en is het aanbevolen voor omgevingen met een doorvoer van ongeveer 250 Mbps.
Microsoft Defender for Cloud: CSPM en CWPP
Naast netwerkbeveiliging biedt Azure ook beveiliging op platform- en workloadniveau via Microsoft Defender for Cloud. Belangrijk hierbij is dat Defender for Cloud géén traditionele IDS/IPS-oplossing is, maar een combinatie van:
1. CSPM (Cloud Security Posture Management)
CSPM richt zich op het voorkomen van risico’s en aanvallen, door:
Configuraties te controleren;
Misconfiguraties te detecteren;
Compliance te monitoren.
Denk bijvoorbeeld aan open storage accounts en te ruime toegangsrechten.
2. CWPP (Cloud Workload Protection Platform)
CWPP richt zich op de bescherming van workloads, door aanvallen te detecteren en stoppen. Denk aan:
Virtual machines;
Containers;
Databases.
Het detecteert concreet malware, aanvallen en afwijkend gedrag.
Conclusie
IDS en IPS blijven belangrijke onderdelen van een securitystrategie, maar in Microsoft Azure zijn ze niet meer één losse oplossing. In plaats daarvan zijn deze functionaliteiten geïntegreerd in verschillende services. Waar Azure Firewall Premium zorgt voor netwerkgebaseerde detectie en preventie, richt Microsoft Defender for Cloud zich op het beveiligen van configuraties en workloads via CSPM en CWPP.
Meer weten over IDS/IPS, Defender for Cloud, of migreren naar Azure? Neem gerust contact met ons op, we helpen je graag!
About the author
Remco is Teamlead Security en zorgt voor digitale veiligheid met heldere, praktische en goed beheersbare securityprocessen.
