Consideraciones de seguridad para cargas de trabajo sostenibles en Azure

El diseño de cargas de trabajo sostenibles en Azure debe abarcar la seguridad, que es un principio fundamental a través de todas las fases de un proyecto. Obtenga información sobre las consideraciones y recomendaciones que conducen a una posición de seguridad más sostenible.

Importante

Este artículo forma parte de la serie de cargas de trabajo sostenible de Azure Well-Architected . Si no está familiarizado con esta serie, se recomienda empezar con lo que es una carga de trabajo sostenible.

Supervisión de la seguridad

Use soluciones de supervisión de seguridad nativas en la nube para optimizar la sostenibilidad.

Uso de métodos de recopilación de registros nativos en la nube cuando corresponda

Tradicionalmente, los métodos de recopilación de registros para la ingesta en una solución de administración de eventos e información de seguridad (SIEM) requerían el uso de un recurso intermediario para recopilar, analizar, filtrar y transmitir registros en adelante al sistema de recopilación central. El uso de este diseño puede conllevar una sobrecarga con más infraestructura y costos financieros y relacionados con el carbono asociados.

Alineación de Green Software Foundation: Eficiencia de hardware, Eficiencia energética

Recomendación:

• El uso de conectores nativos de servicio a servicio en la nube simplifica la integración entre los servicios y el SIEM y elimina la sobrecarga de la infraestructura adicional.
• Es posible ingerir datos de registro de recursos de proceso existentes mediante agentes implementados previamente, como el agente de Azure Monitor Analytics. Revise cómo migrar al agente de Azure Monitor desde el agente de Log Analytics.
• Tenga en cuenta este equilibrio: la implementación de más agentes de supervisión aumentará la sobrecarga en el procesamiento, ya que necesita más recursos de proceso. Diseñe y planee cuidadosamente la cantidad de información necesaria para cubrir los requisitos de seguridad de la solución y encontrar un nivel adecuado de información para almacenar y mantener.
  • Una posible solución para reducir la recopilación de datos innecesaria es confiar en las reglas de recopilación de datos (DCR) de Azure Monitor.

Evitar la transferencia de grandes conjuntos de datos sin filtrar de un proveedor de servicios en la nube a otro

Las soluciones SIEM convencionales requerían que todos los datos de registro se ingieren y almacenan en una ubicación centralizada. En un entorno multinube, esta solución puede dar lugar a una gran cantidad de datos que se transfieren fuera de un servicio en la nube y a otro, lo que provoca una mayor carga en la infraestructura de red y almacenamiento.

Alineación de Green Software Foundation: eficiencia del carbono, eficiencia energética

Recomendación:

• Los servicios de seguridad nativos en la nube pueden realizar análisis localizados en el origen de datos de seguridad pertinente. Este análisis permite que la mayor parte de los datos de registro permanezcan dentro del entorno del proveedor de servicios en la nube de origen. Las soluciones SIEM nativas en la nube se pueden conectar a través de una API o un conector a estos servicios de seguridad para transmitir solo los datos de eventos o incidentes de seguridad pertinentes. Esta solución puede reducir considerablemente la cantidad de datos transferidos al tiempo que mantiene un alto nivel de información de seguridad para responder a un incidente.

A tiempo, el uso del enfoque descrito ayuda a reducir los costos de salida y almacenamiento de datos, lo que ayuda inherentemente a reducir las emisiones.

Filtrar o excluir orígenes de registro antes de la transmisión o ingesta en un SIEM

Tenga en cuenta la complejidad y el costo de almacenar todos los registros de todos los orígenes posibles. Por ejemplo, aplicaciones, servidores, diagnósticos y actividad de plataforma.

Alineación de Green Software Foundation: eficiencia del carbono, eficiencia energética

Recomendación:

• Al diseñar una estrategia de recopilación de registros para soluciones SIEM nativas en la nube, tenga en cuenta los casos de uso basados en las reglas de análisis de Microsoft Sentinel necesarias para su entorno y haga coincidir los orígenes de registro necesarios para admitir esas reglas.
• Esta opción puede ayudar a eliminar la transmisión innecesaria y el almacenamiento de datos de registro, lo que reduce las emisiones de carbono en el medio ambiente.

Archivar datos de registro en el almacenamiento a largo plazo

Muchos clientes tienen un requisito para almacenar los datos de registro durante un período prolongado debido a motivos de cumplimiento normativo. En estos casos, almacenar los datos de registro en la ubicación de almacenamiento principal del sistema SIEM es una solución costosa.

Alineación de Green Software Foundation: Eficiencia energética

Recomendación:

• Los datos de registro se pueden mover a una opción de almacenamiento a largo plazo más barata que respeta las directivas de retención del cliente, pero reduce el costo mediante ubicaciones de almacenamiento independientes.

Arquitectura de red

Aumente la eficacia y evite el tráfico innecesario siguiendo los procedimientos recomendados para las arquitecturas de seguridad de red.

Uso de controles de seguridad de red nativos en la nube para eliminar el tráfico de red innecesario

Cuando se usa un diseño centralizado de enrutamiento y firewall, todo el tráfico de red se envía al centro para su inspección, filtrado y enrutamiento en adelante. Aunque este enfoque centraliza la aplicación de directivas, puede crear una sobrecarga en la red de tráfico innecesario de los recursos de origen.

Alineación de Green Software Foundation: Eficiencia de hardware, Eficiencia energética

Recomendación:

• Use grupos de seguridad de red y grupos de seguridad de aplicaciones para ayudar a filtrar el tráfico en el origen y para quitar la transmisión de datos innecesaria. El uso de estas funcionalidades puede ayudar a reducir la carga de la infraestructura en la nube, con requisitos de ancho de banda más bajos y menos infraestructura para poseer y administrar.

Minimizar el enrutamiento de los puntos de conexión al destino

En muchos entornos de cliente, especialmente en implementaciones híbridas, todo el tráfico de red de dispositivos de usuario final se enruta a través de sistemas locales antes de poder acceder a Internet. Normalmente, esto sucede debido al requisito de inspeccionar todo el tráfico de Internet. A menudo, esto requiere dispositivos de seguridad de red de mayor capacidad dentro del entorno local o más dispositivos dentro del entorno de nube.

Alineación de Green Software Foundation: Eficiencia energética

Recomendación:

• Minimice el enrutamiento de los puntos de conexión al destino.
  • Siempre que sea posible, los dispositivos de usuario final deben optimizarse para dividir el tráfico conocido directamente en los servicios en la nube mientras continúan enrutando e inspeccionando el tráfico de todos los demás destinos. Acercar estas funcionalidades y directivas al dispositivo del usuario final evita el tráfico de red innecesario y su sobrecarga asociada.

Uso de herramientas de seguridad de red con funcionalidades de escalado automático

En función del tráfico de red, habrá ocasiones en las que la demanda del dispositivo de seguridad será alta y otras veces en las que será menor. Muchos dispositivos de seguridad de red se implementan en una escala para hacer frente a la demanda más alta esperada, lo que conduce a ineficiencias. Además, la reconfiguración de estas herramientas a menudo requiere un reinicio que conduce a un tiempo de inactividad y una sobrecarga de administración inaceptables.

Alineación de Green Software Foundation: Eficiencia de hardware

Recomendación:

• Hacer uso del escalado automático permite que los derechos de los recursos de back-end satisfagan la demanda sin intervención manual.
• Este enfoque reducirá enormemente el tiempo de reacción a los cambios en el tráfico de red, lo que reduce el desperdicio de recursos innecesarios y aumenta el efecto de sostenibilidad.
• Obtenga más información sobre los servicios pertinentes mediante la lectura de cómo habilitar una Web Application Firewall (WAF) en un Application Gateway e implementar y configurar Azure Firewall Premium.

Evaluar si se va a usar la terminación TLS

Terminar y restablecer TLS es el consumo de CPU que podría ser innecesario en determinadas arquitecturas.

Alineación de Green Software Foundation: Eficiencia energética

Recomendación:

• Tenga en cuenta si puede finalizar TLS en la puerta de enlace de borde y continuar con TLS distinto de TLS en el equilibrador de carga de trabajo y en adelante en la carga de trabajo.
• Revise la información sobre la terminación TLS para comprender mejor el rendimiento y el impacto en el uso que ofrece.
• Tenga en cuenta el equilibrio: un nivel equilibrado de seguridad puede ofrecer una carga de trabajo más sostenible y energéticamente eficiente, mientras que un mayor nivel de seguridad puede aumentar los requisitos en los recursos de proceso.

Uso de la protección contra DDoS

Los ataques de denegación de servicio distribuido (DDoS) tienen como objetivo interrumpir los sistemas operativos al sobrecargarlos, lo que genera un impacto significativo en los recursos de la nube. Los ataques correctos inundan la red y los recursos de proceso, lo que provoca un pico innecesario en el uso y el costo.

Alineación de Green Software Foundation: Eficiencia energética, Eficiencia del hardware

Recomendación:

• La protección contra DDoS busca mitigar los ataques en una capa abstracta, por lo que el ataque se mitiga antes de llegar a cualquier servicio operado por el cliente.
  • La mitigación de cualquier uso malintencionado de los servicios de proceso y red ayudará en última instancia a reducir las emisiones innecesarias de carbono.

Seguridad de punto de conexión

Es imperativo proteger nuestras cargas de trabajo y soluciones en la nube. Comprender cómo podemos optimizar nuestras tácticas de mitigación hasta los dispositivos cliente puede tener un resultado positivo para reducir las emisiones.

Integración de Microsoft Defender para punto de conexión

Muchos ataques en la infraestructura en la nube buscan un uso incorrecto de los recursos implementados para la ganancia directa del atacante. Dos casos de uso incorrecto son botnets y minería de cifrado.

Ambos casos implican tomar el control de los recursos de proceso operados por el cliente y usarlos para crear nuevas monedas de criptodivisas, o como una red de recursos desde los que lanzar una acción secundaria como un ataque DDoS o campañas masivas de correo electrónico no deseado.

Alineación de Green Software Foundation: Eficiencia de hardware

Recomendaciones:

• Integre Microsoft Defender para punto de conexión con Defender for Cloud para identificar y apagar la minería de cifrado y las redes de botnets.
  • Las funcionalidades de EDR proporcionan detecciones avanzadas de ataques y pueden tomar medidas de respuesta para corregir esas amenazas. El uso innecesario de recursos creado por estos ataques comunes se puede detectar y corregir rápidamente, a menudo sin la intervención de un analista de seguridad.

Informes

La obtención de la información y la información adecuadas en el momento adecuado es importante para generar informes sobre las emisiones de sus dispositivos de seguridad.

Etiquetado de recursos de seguridad

Puede ser un desafío encontrar e informar rápidamente sobre todos los dispositivos de seguridad del inquilino. La identificación de los recursos de seguridad puede ayudar al diseñar una estrategia para un modelo operativo más sostenible para su negocio.

Alineación de Green Software Foundation: Medición de la sostenibilidad

Recomendación:

• Etiquete los recursos de seguridad para registrar el impacto de las emisiones de los recursos de seguridad.

Paso siguiente

Revise los principios de diseño para la sostenibilidad.

Principios de diseño