Sdílet prostřednictvím


Aspekty zabezpečení pro udržitelné úlohy v Azure

Návrh udržitelných úloh v Azure musí zahrnovat zabezpečení, což je základní princip ve všech fázích projektu. Přečtěte si o aspektech a doporučeních, které vedou k ekužitelnějšímu stavu zabezpečení.

Důležité

Tento článek je součástí řady úloh Azure Well-Architected s trvalou udržitelností . Pokud tuto řadu neznáte, doporučujeme začít tím, co je udržitelná úloha?

Monitorování zabezpečení

Využijte řešení monitorování zabezpečení nativní pro cloud k optimalizaci pro zajištění udržitelnosti.

Pokud je to možné, použijte metody shromažďování protokolů nativní pro cloud.

Metody shromažďování protokolů pro příjem dat do řešení siEM (Security Information and Event Management) tradičně vyžadovaly použití zprostředkujícího prostředku ke shromažďování, parsování, filtrování a přenosu protokolů do centrálního systému shromažďování dat. Použití tohoto návrhu může nést režijní náklady s větší infrastrukturou a souvisejícími finančními a uhlíkovými náklady.

Green Software Foundation – sladění: Hardwarová efektivita, energetická účinnost

Doporučení:

  • Použití nativních cloudových konektorů service-to-service zjednodušuje integraci mezi službami a SIEM a odstraňuje režii související s další infrastrukturou.
  • Data protokolu je možné ingestovat z existujících výpočetních prostředků pomocí dříve nasazených agentů, jako je agent Azure Monitor Analytics. Přečtěte si, jak migrovat na agenta Azure Monitoru z agenta Log Analytics.
  • Zvažte tento kompromis: Nasazení více agentů monitorování zvýší režii při zpracování, protože vyžaduje více výpočetních prostředků. Pečlivě navrhněte a naplánujte, kolik informací je potřeba k pokrytí požadavků na zabezpečení řešení, a najděte vhodnou úroveň informací pro uložení a uchovávání.

Vyhněte se přenosu velkých nefiltrovaných datových sad od jednoho poskytovatele cloudových služeb k jinému

Konvenční řešení SIEM vyžadovala, aby všechna data protokolu byla ingestována a uložena v centralizovaném umístění. V prostředí s více cloudy může toto řešení vést k přenosu velkého množství dat z cloudové služby a do jiné, což zvyšuje zatížení sítě a infrastruktury úložiště.

Sladění zeleného softwarového základu: uhlíková účinnost, energetická účinnost

Doporučení:

  • Nativní cloudové služby zabezpečení můžou provádět lokalizované analýzy relevantního zdroje dat zabezpečení. Tato analýza umožňuje, aby velká část dat protokolu zůstala v prostředí poskytovatele zdrojové cloudové služby. Řešení SIEM nativní pro cloud je možné připojit prostřednictvím rozhraní API nebo konektoru k těmto službám zabezpečení a přenášet pouze relevantní data incidentů zabezpečení nebo událostí. Toto řešení může výrazně snížit množství přenášených dat při zachování vysoké úrovně informací zabezpečení pro reakci na incident.

Postupem času pomůže použití popsaného přístupu snížit náklady na výchozí přenos dat a úložiště, což ze své podstaty pomáhá snižovat emise.

Filtrování nebo vyloučení zdrojů protokolů před přenosem nebo příjmem dat do SIEM

Zvažte složitost a náklady na ukládání všech protokolů ze všech možných zdrojů. Například aplikace, servery, diagnostika a aktivita platformy.

Sladění zeleného softwarového základu: uhlíková účinnost, energetická účinnost

Doporučení:

  • Při návrhu strategie shromažďování protokolů pro nativní cloudová řešení SIEM zvažte případy použití na základě analytických pravidel služby Microsoft Sentinel požadovaných pro vaše prostředí a spárujte požadované zdroje protokolů pro podporu těchto pravidel.
  • Tato možnost může pomoci odstranit zbytečný přenos a ukládání dat protokolů a snížit emise uhlíku do životního prostředí.

Archivace dat protokolu do dlouhodobého úložiště

Mnoho zákazníků má kvůli dodržování právních předpisů požadavek ukládat data protokolů po delší dobu. V těchto případech je ukládání dat protokolu do primárního umístění úložiště systému SIEM nákladné řešení.

Green Software Foundation – sladění: Energetická účinnost

Doporučení:

Architektura sítě

Zvyšte efektivitu a vyhněte se zbytečnému provozu díky osvědčeným postupům pro architektury zabezpečení sítě.

Použití nativních cloudových ovládacích prvků zabezpečení sítě k odstranění zbytečného síťového provozu

Při použití centralizovaného směrování a návrhu brány firewall se veškerý síťový provoz odesílá do centra ke kontrole, filtrování a směrování. I když tento přístup centralizuje vynucování zásad, může v síti vytvořit režii zbytečného provozu ze zdrojových prostředků.

Green Software Foundation – sladění: Hardwarová efektivita, energetická účinnost

Doporučení:

  • Pomocí skupin zabezpečení sítě a skupin zabezpečení aplikací můžete filtrovat provoz ve zdroji a odebrat nepotřebné přenosy dat. Použití těchto funkcí může pomoct snížit zatížení cloudové infrastruktury s nižšími požadavky na šířku pásma a menší infrastrukturou pro vlastnictví a správu.

Minimalizace směrování z koncových bodů do cíle

V mnoha zákaznických prostředích, zejména v hybridních nasazeních, se veškerý síťový provoz zařízení koncových uživatelů směruje přes místní systémy, než se dostane na internet. Obvykle k tomu dochází kvůli požadavku na kontrolu veškerého internetového provozu. Často to vyžaduje zařízení zabezpečení sítě s vyšší kapacitou v rámci místního prostředí nebo více zařízení v cloudovém prostředí.

Green Software Foundation – sladění: Energetická účinnost

Doporučení:

  • Minimalizujte směrování z koncových bodů do cíle.
    • Pokud je to možné, měla by být zařízení koncových uživatelů optimalizovaná tak, aby rozdělovala známý provoz přímo do cloudových služeb a zároveň dál směrovala a kontrolovala provoz pro všechny ostatní cíle. Přiblížení těchto možností a zásad zařízení koncového uživatele zabraňuje zbytečnému síťovému provozu a související režii.

Použití nástrojů zabezpečení sítě s funkcemi automatického škálování

V závislosti na síťovém provozu budou časy, kdy bude poptávka po zařízení zabezpečení vysoká, a jindy, kdy bude nižší. Mnoho síťových bezpečnostních zařízení je nasazeno ve velkém měřítku, aby se vyrovnalo s nejvyšší očekávanou poptávkou, což vede k neefektivnosti. Kromě toho rekonfigurace těchto nástrojů často vyžaduje restartování, které vede k nepřijatelným výpadkům a režijním nákladům na správu.

Green Software Foundation alignment: Efektivita hardwaru

Doporučení:

Vyhodnoťte, jestli se má použít ukončení protokolu TLS.

Ukončení a opětovné zřízení protokolu TLS je spotřeba procesoru, která může být v některých architekturách zbytečná.

Green Software Foundation – sladění: Energetická účinnost

Doporučení:

  • Zvažte, jestli můžete ukončit protokol TLS na hraniční bráně a pokračovat s jiným protokolem než TLS k vašemu nástroji pro vyrovnávání zatížení úloh a dál k vaší úloze.
  • Projděte si informace o ukončení protokolu TLS , abyste lépe porozuměli dopadu na výkon a využití, které nabízí.
  • Zvažte kompromis: Vyvážená úroveň zabezpečení může nabídnout udržitelnější a energeticky efektivnější úlohu, zatímco vyšší úroveň zabezpečení může zvýšit požadavky na výpočetní prostředky.

Použití ochrany před útoky DDoS

Útoky DDoS (Distributed Denial of Service) mají za cíl narušit provozní systémy tím, že je zahlcují a mají významný dopad na prostředky v cloudu. Úspěšné útoky zaplavuje síťové a výpočetní prostředky, což vede ke zbytečnému prudkému nárůstu využití a nákladů.

Green Software Foundation – sladění: energetická účinnost, hardwarová efektivita

Doporučení:

  • Ochrana před útoky DDoS se snaží zmírnit útoky na abstrahované vrstvě, takže se útok zmírní před tím, než se dostanete ke službám provozovaným zákazníkem.
    • Zmírnění škodlivého používání výpočetních a síťových služeb nakonec pomůže snížit zbytečné emise uhlíku.

Zabezpečení koncového bodu

Je nezbytně nutné zabezpečit naše úlohy a řešení v cloudu. Když pochopíte, jak můžeme optimalizovat naše taktiky pro zmírnění rizik až po klientská zařízení, může to mít pozitivní výsledek pro snížení emisí.

Integrace Microsoft Defender for Endpoint

Mnoho útoků na cloudovou infrastrukturu se snaží zneužít nasazené prostředky k přímému zisku útočníka. Dva takové případy zneužití jsou botnety a kryptografické dolování.

Oba tyto případy zahrnují převzetí kontroly nad výpočetními prostředky provozovanými zákazníky a jejich použití k vytvoření nových kryptoměnových mincí, nebo jako sítě prostředků, ze které lze spustit sekundární akci, jako je útok DDoS, nebo hromadné e-mailové spamové kampaně.

Green Software Foundation alignment: Efektivita hardwaru

Doporučení:

  • Integrujte Microsoft Defender for Endpoint s Defenderem for Cloud, abyste identifikovali a vypnuli kryptografické dolování a botnety.
    • Funkce EDR poskytují pokročilé detekce útoků a jsou schopny provádět akce reakce na nápravu těchto hrozeb. Nepotřebné využití prostředků vytvořené těmito běžnými útoky je možné rychle zjistit a napravit, často bez zásahu analytika zabezpečení.

Generování sestav

Získání správných informací a přehledů ve správný čas je důležité pro vytváření sestav o emisích z bezpečnostních zařízení.

Označení prostředků zabezpečení

Rychlé vyhledání všech zabezpečovacích zařízení ve vašem tenantovi a jejich hlášení může být náročné. Identifikace prostředků zabezpečení vám může pomoct při návrhu strategie pro trvalejší provozní model pro vaši firmu.

Green Software Foundation alignment: Měření udržitelnosti

Doporučení:

  • Označte prostředky zabezpečení, abyste zaznamenali dopad emisí bezpečnostních prostředků.

Další krok

Projděte si principy návrhu pro udržitelnost.