Come creare policy personalizzate sulla postura di sicurezza nel cloud
7 aprile 2022
Falcon Horizon, la soluzione Cloud Security Posture Management di CrowdStrike, utilizza policy di configurazione e comportamentali per monitorare le implementazioni del cloud pubblico, identificare in modo proattivo i problemi e risolvere potenziali problemi di sicurezza. Tuttavia, i clienti non sono limitati a politiche predefinite. Questo articolo esaminerà le diverse opzioni per la creazione di policy di gestione personalizzate del comportamento di sicurezza del cloud in Falcon Horizon.
La dashboard principale di Falcon Horizon illustra una panoramica dei risultati recenti su tutti gli account e fornitori cloud registrati.
Tali risultati si basano sulla configurazione della politica. La scheda "Politiche" mostra opzioni complete, classificate per provider e servizio, per monitorare eventuali configurazioni errate del cloud e comportamenti dannosi. In questo esempio per il servizio S3 di Amazon, sono disponibili numerose opzioni di policy per entrambe le categorie. Falcon Horizon fornisce inoltre la funzionalità per creare policy personalizzate ottimizzate per soddisfare al meglio le esigenze di un'organizzazione.
Dalla scheda "Politiche" in "Politiche di sicurezza nel cloud", è disponibile un'opzione per creare una "Nuova policy personalizzata".
Una procedura guidata guiderà la creazione della nuova policy. Il primo passo è scegliere il fornitore cloud applicabile.
Successivamente, vengono assegnati un nuovo nome, descrizione e gravità della policy. Nell'esempio seguente i criteri di identità di Azure personalizzati hanno una gravità media.
Per creare una nuova policy da zero, il passaggio successivo è scegliere un tipo di asset che corrisponderà al servizio cloud. L'esempio seguente mostra un tipo di risorsa di utente AD. (L'opzione per selezionare una policy di base sarà trattata nella sezione "Modifica policy esistenti".)
Una volta selezionato il tipo di risorsa, è possibile aggiungere filtri e condizioni. L'aggiunta di regole basate su un numero qualsiasi di criteri aggiuntivi, inclusi account, gruppi o tenant specifici, rende la nuova policy più specifica. Di seguito è mostrata una policy che cerca gli account abilitati in cui le credenziali non sono registrate per MFA, ma la credenziale stessa è abilitata.
In molte situazioni può essere utile iniziare con una regola esistente e apportare modifiche o aggiunte. Esistono due modi diversi per affrontarlo nell'interfaccia utente. Dall'elenco delle politiche, alcune politiche includono un collegamento "Clona". La clonazione di una policy trasferirà tutti i dettagli della policy e della conformità, consentendo al contempo modifiche ai criteri della regola.
In alternativa, selezionando l'opzione "Nuova policy personalizzata" verranno presentate le opzioni per il provider cloud applicabile.
Successivamente, viene richiesto di inserire il nome e la gravità della policy personalizzata prima di selezionare il servizio cloud appropriato. La schermata seguente include due opzioni principali. Come mostrato sopra, la selezione di un tipo di asset è il primo passo per creare una policy vuota. Al contrario, la scelta di iniziare con una policy di base esistente replicherà tale policy e la logica di query associata (mostrata di seguito per AWS EC2).
Una volta selezionata la policy clonata o di base, sono disponibili numerose opzioni per apportare modifiche. I campi e le operazioni esistenti possono essere modificati. Sebbene l'icona del cestino offra la possibilità di eliminare i criteri, è anche possibile aggiungere nuovi criteri utilizzando un numero qualsiasi di campi. Nell'esempio seguente è possibile aggiungere o eliminare le porte considerate ad alto rischio. È stata aggiunta una regola per il nome del tag per garantire che questa regola venga attivata ogni volta che l'ingresso pubblico su porte ad alto rischio è consentito ai sistemi con un tag NON uguale a "test".
L'opzione evidenziata "Test regola personalizzata" sopra fornisce un'anteprima del modo in cui tale regola funzionerà nell'ambiente.
Dopo aver salvato i filtri dei criteri personalizzati, sono disponibili opzioni per associare tale criterio ai controlli di conformità. Anche se le policy clonate includeranno già eventuali associazioni di conformità, queste potranno anche essere modificate secondo necessità.
Quando si utilizza una policy di base o si parte da zero, il passaggio successivo presenterà le opzioni di menu per la conformità. È possibile selezionare i framework di conformità integrati di CrowdStrike, ma esiste anche l'opzione "Aggiungi nuova conformità".