Você já se deparou com a necessidade de receber arquivos de fontes externas sem a certeza da confiabilidade da origem? Já olhou para suas subscriptions e se questionou se havia algo a mais que pudesse ser feito para proteger melhor seus storages? Hoje falaremos sobre o Defender for Storage, solução parte do Defender for Cloud que permite reforçar a segurança das suas storage accounts e garantir a integridade da sua plataforma.
O que é o Defender for Storage?
Como comentamos no último artigo, o Microsoft Defender for Cloud é a solução de CNAPP (Cloud Native Application Protection Platform) da Microsoft e entre seus muitos módulos, temos o Defender for Storage.
O Microsoft Defender for Storage nos permite incrementar a postura de segurança das nossas storage accounts, bem como proteger nosso ambiente contra arquivos maliciosos que podem ter sido inseridos e também contra vazamentos de dados pessoais.
Utilizar uma solução como o Defender para aumentar a profundidade de proteção nos recursos do seu ambiente trará inúmeros benefícios para sua empresa. Os times de segurança da sua organização poderão aproveitar recomendações personalizadas e análises de segurança avançadas, garantindo um nível de proteção diferenciado ao seu storage e mantendo seu ambiente livre das ameaças mais avançadas.
Chegou a hora de explorar em alto nível os recursos expostos pelo Defender for Storage, passando nas próximas seções para os recursos mais relevantes na solução.
Capacidades
Como falamos na seção anterior, o Defender é utilizado para garantir que nossos storages estejam sempre protegidos e alinhados com as melhores práticas e configurações, porém para garantirmos a extração de todo o potencial da solução, é importante entender o que ela pode fazer.
Recommendations - também presente nas outras soluções do Defender for Cloud, as recomendações visam propor melhorias para seus recursos, com o intuito de deixá-los mais seguros. Essas recomendações são classificadas de acordo com a criticidade e podem ter a resposta automatizada, garantindo maior facilidade na adesão das mesmas.
Threat Detection - "carro chefe" do Defender, as capacidades de threat detection analisam o comportamento dos usuários, consumo dos recursos e integridade dos objetos armazenados nos contêineres e file shares. Atividades suspeitas e atores maliciosos são detectados pelo Defender e podem ser rapidamente anulados pelas estratégias de resposta configuradas pela sua empresa.
- Sensitive Data Threat Detection - faz uso do motor de identificação de informações sensíveis utilizado pelo Microsoft Purview (Sensitive Data Discovery) para reconhecer possíveis exposições de dados pessoais e confidenciais dentro dos storages.
Malware Scanning - para garantirmos a integridade dos documentos publicados em nossos contêineres blob, podemos realizar varreduras nesses arquivos para garantir a inexistência de malwares e outros agentes que podem vir a se infiltrar em nosso ambiente com o intuito de explorá-lo e causar prejuízos a organização.
Habilitação
Habilitar o Defender for Storage não é nada complicado, você pode fazer isso diretamente do painel da sua storage account ou do portal centralizado do Defender for Cloud. O Defender for Storage pode também ser ativo no nível das subscriptions, disponibilizando todas as capacidades de segurança para todas as storage accounts ali presentes.
A funcionalidade de Malware Scanning não é ativa por padrão, porém pode ser habilitada com apenas um "tick" em uma das caixinhas do formulário disponibilizado na página.
Pricing
Os custos de proteger melhor seu ambiente não deveriam ser considerados um problema, mas é importante se manter de olho nos valores.
O Defender for Storage é cobrado mensalmente pela quantidade de storage accounts ativas em sua subscription. O valor é de 10 dólares/mês com um possível acréscimo de acordo com a quantidade de requisições feitas para o storage.
A funcionalidade de Malware Scanning também representa um acréscimo na conta mensal, porém dessa vez sendo cobrada por GB de dados processados. O valor é de 0.15 dólares/GB. Para controlar o gasto com essa funcionalidade, podemos configurar um limite de transações (em GB) por mês para o storage em questão, garantindo assim que sua conta não seja astronômica!
Malware Scanning
Como comentado brevemente, o Defender for Storage tem a capacidade de avaliar a integridade dos arquivos armazenados em seus repositórios. Essa funcionalidade habilita a criação de soluções escaláveis e que utilizam o Azure Storage Account como seu core e de maneira abundante.
O malware scanning possibilita que suas soluções confiem nos arquivos armazenados nos storages, pois garante que cada arquivo que passar pelo repositório terá sido escaneado e está seguro para sua ingestão.
A arquitetura acima demonstra em alto nível o funcionamento da solução e suas possíveis integrações para automação.
Podemos utilizar um tópico do Azure Event Grid para realizar a análise dos eventos gerados pelo Defender for Storage e agir conforme desejado. Outra forma é o uso direto dos alertas gerados pelo Defender, que podem ser integrados com o Azure Logic Apps para recebimento dos alertas e automação da resposta.
As duas formas de automação abrem o leque para as possibilidades de criação de soluções responsivas e escaláveis, deixando com você a responsabilidade de escolher a opção que melhor se encaixa nos seus requisitos.
Sensitive Data Threat Detection
Desviando um pouco do assunto "malware detection", vamos falar sobre a capacidade de DLP (Data Loss Prevention) e proteção contra vazamento de dados sensíveis do Defender for Storage.
Utilizando o motor de identificação e classificação de dados do Microsoft Purview (solução de proteção de dados e informações), o Defender for Storage disponibiliza uma camada de segurança contra o vazamento de informações sensíveis vindas da sua organização.
Podemos monitorar os repositórios para identificar padrões de dados publicamente conhecidos como sensíveis (PII - Personal Identifiable Information, PCI - Payment Card Industry) e evitar que essas informações caiam nas mãos erradas, protegendo sua organização de possíveis multas e processos legais.
Podemos também monitorar o vazamento de informações confidenciais da sua organização, fazendo uso das poderosas Sensitivity Labels. Essas labels são aquelas classificações disponíveis nas soluções do Office 365 que permitem classificar o nível de confidencialidade de um documento (público, interno e confidencial). Fazer uso dessas labels em toda a organização pode evitar muitos problemas para sua empresa.
As Custom Sensitivity Information Types nos permitem identificar informações únicas ao seu negócio através de regras customizadas. Esse recurso permite uma maior cobertura das informações valiosas para o seu negócio, evitando também perdas internas da organização.
Espero que tenha gostado do artigo e que eu tenha conseguido te auxiliar a reforçar a segurança da sua organização. Estou à disposição para conversarmos através das minhas redes sociais, que se encontram em meu perfil aqui no blog.
Até logo!