Zabezpečení v hybridních cloudových prostředích
Společnost Tailwind Traders plánuje začít používat hybridní cloud. Díky tomuto přesunu je jeho prostředí složitější, než když byly úlohy nasazené jenom místně. Konfigurace zabezpečení a telemetrie těchto úloh jsou také stále složitější.
V této lekci se dozvíte, jak může společnost Tailwind Traders monitorovat konfiguraci místních a cloudových úloh a upozorňovat na jakoukoli podezřelou aktivitu. Dozvíte se také, jak může společnost Tailwind Traders zjednodušit aktualizace místních a cloudových serverových operačních systémů.
Co je Microsoft Defender for Cloud?
Microsoft Defender pro cloud umožňuje vyhodnotit konfiguraci zabezpečení různých úloh. Microsoft Defender for Cloud můžete použít k:
- Implementovat osvědčené bezpečnostní postupy do infrastruktury jako služby (IaaS), platformy jako služby (PaaS), dat a místních prostředků.
- Sledovat dodržování předpisů u konfigurace zabezpečení vzhledem k regulatorním standardům.
- Chránit data identifikováním podezřelých aktivit, jako jsou například vzory spojené s exfiltrací dat.
- Klasifikovat data hostovaná v databázích SQL.
V hybridních prostředích je možné program Defender for Cloud integrovat s agentem Log Analytics, který shromažďuje události protokolu událostí, telemetrii trasování událostí a soubory s výpisem stavu systému. Defender for Cloud pak může provést analýzu těchto dat a vytvořit doporučení nebo vygenerovat výstrahy, které je možné předat systému SIEM (Security Incident and Event Management) organizace.
Společnost Tailwind Traders má různé nástroje, které používají k vyhodnocení, jestli konfigurace zabezpečení úloh Windows Serveru a Linuxu vyhovuje publikovaným standardům třetích stran. Vzhledem k tomu, že společnost Tailwind Traders využívá více hybridních technologií, může pomocí programu Microsoft Defender for Cloud monitorovat a opravovat konfiguraci zabezpečení místního operačního systému serveru a rostoucí nasazování úloh v cloudu.
Co je Microsoft Sentinel?
Microsoft Sentinel umožňuje organizacím s hybridními cloudovými řešeními ingestovat telemetrii z protokolů událostí zabezpečení pro místní i cloud. Microsoft Sentinel je řešení SIEM i řešení orchestrace zabezpečení, automatizace a reakce (SOAR).
Řešení SIEM ukládají a analyzují data protokolů a telemetrii událostí, které ingestují z externích zdrojů. Microsoft Sentinel podporuje příjem dat z místních cloudových umístění, Azure a cloudových umístění třetích stran, včetně z jiných systémů SIEM. V řešeních SOAR můžete organizovat analýzu dat. Pomáhají vytvářet automatické reakce na známé hrozby.
Následující obrázek ukazuje hybridní architekturu Microsoft Sentinelu.
Microsoft Sentinel může při podpoře hybridních prostředí provádět následující úlohy:
- Shromažďovat data o cloudových a místních uživatelích, zařízeních a infrastruktuře.
- Pomocí umělé inteligence a hlubokého učení identifikovat potenciálně škodlivou aktivitu v datech událostí.
- Rozpoznává hrozby prostřednictvím analýzy dat událostí na základě signatur útoků generovaných Microsoftem v rámci výzkumu zabezpečení.
- Automatizovat reakci na incidenty se známými charakteristikami pomocí playbooků zabezpečení.
Microsoft Sentinel obsahuje integrované sešity, které vám pomůžou analyzovat data a můžou vám poskytovat doporučení. Díky nim rychle rozpoznáte podezřelé telemetrické údaje týkající se zabezpečení, takže data nemusíte řadit, abyste pochopili jejich význam. Můžete také importovat nebo používat vlastní sešity. Sešity jsou založené na zkušenostech jiných výzkumných pracovníků v oblasti zabezpečení, kteří našli efektivní metody analýzy telemetrie zabezpečení, které se liší od metod zahrnutých v Microsoft Sentinelu.
Společnost Tailwind Traders má místní systém SIEM, který shromažďuje a analyzuje data protokolu událostí z různých počítačů a zařízení. I když byl tento systém SIEM adekvátní, když společnost Tailwind Traders měla pouze místní nasazení, přijetí služby Microsoft Sentinel umožňuje společnosti Tailwind Traders rozšířit tuto kapacitu do svého hybridního cloudu.
Společnost Tailwind Traders pravděpodobně připojí své stávající řešení SIEM k Microsoft Sentinelu. Toto připojení poskytuje společnosti výhody umělé inteligence a hlubokého učení Microsoft Sentinelu, aniž by bylo nutné podstatně upravovat stávající místní konfiguraci.
Co je Azure Automation Update Management?
Azure Automation Update Management umožňuje spravovat aktualizace místních a cloudových serverových operačních systémů pomocí jedné konzoly v cloudu. Update Management spolupracuje s úlohami Microsoft Windows Serveru a s podporovanými úlohami operačního systému Linux spuštěnými fyzicky a virtuálně.
Update Management může jako zdroj aktualizací pro operační systém Windows Server používat službu Microsoft Update nebo Windows Server Update Services (WSUS). Update Management také může používat veřejné nebo vlastní úložiště linuxových balíčků pro aktualizace operačního systému Linux. Update Management vám umožní určit, které aktualizace v registrovaných operačních systémech momentálně chybí.
Na následujícím obrázku je znázorněna integrace Update Managementu do služby Azure Automation a pracovních prostorů služby Log Analytics.
Při konfigurování nasazení aktualizací určujete následující:
- Bez ohledu na to, jestli nasazení aktualizací cílí na počítače s Windows nebo Linuxem, nemůžete současně cílit na oba typy.
- Konkrétní registrované servery, pro které je nasazení určeno.
- Klasifikaci aktualizací, která by se měla nainstalovat.
- Jestli mají být konkrétní aktualizace zahrnuté nebo vyloučené z nasazení.
- Časový rozvrh nasazení včetně toho, jestli se má nasazení provádět pravidelně.
- Všechny skripty před aktualizací a po aktualizaci, které by se měly spustit.
- Maximální délku časového období údržby s tím, že posledních 20 minut je určených k restartování systému.
- Možnosti restartování, které určují, jestli se má systém restartovat, pokud je nutné, aby aktualizace dokončily instalaci.
Společnost má wsus a další nástroje pro správu aktualizací místních operačních systémů Windows a Linux. Společnost Tailwind Traders nakonfiguruje úlohy v operačních systémech na virtuálních počítačích IaaS (místních i cloudových) tak, aby se připojovaly ke službě Azure Software Update. Tím zajistí, že všechny operační systémy, které hostují důležité úlohy, zůstanou i nadále aktuální.