Considérations relatives à la sécurité pour les charges de travail durables sur Azure
La conception de charges de travail durables sur Azure doit englober la sécurité, qui est un principe fondamental à travers toutes les phases d’un projet. Découvrez les considérations et recommandations qui mènent à une posture de sécurité plus durable.
Important
Cet article fait partie de la série de charges de travail durables Azure Well-Architected . Si vous n’êtes pas familiarisé avec cette série, nous vous recommandons de commencer par ce qui est une charge de travail durable ?
Surveillance de la sécurité
Utilisez des solutions de surveillance de la sécurité cloud natives pour optimiser la durabilité.
Utiliser des méthodes de collecte de journaux cloud natives le cas échéant
Traditionnellement, les méthodes de collecte de journaux pour l’ingestion vers une solution SIEM (Security Information and Event Management) nécessitaient l’utilisation d’une ressource intermédiaire pour collecter, analyser, filtrer et transmettre les journaux au système de collecte central. L’utilisation de cette conception peut entraîner une surcharge avec plus d’infrastructure et les coûts financiers et liés au carbone associés.
Alignement de Green Software Foundation : Efficacité matérielle, Efficacité énergétique
Recommandation :
- L’utilisation de connecteurs de service à service cloud natifs simplifie l’intégration entre les services et siem et supprime la surcharge liée à l’infrastructure supplémentaire.
- Il est possible d’ingérer des données de journal à partir de ressources de calcul existantes à l’aide d’agents déployés précédemment, tels que l’agent Azure Monitor Analytics. Découvrez comment migrer vers l’agent Azure Monitor à partir de l’agent Log Analytics.
- Considérez ce compromis : le déploiement de plus d’agents de supervision augmentera la surcharge de traitement, car il a besoin de plus de ressources de calcul. Concevez et planifiez soigneusement la quantité d’informations nécessaires pour couvrir les exigences de sécurité de la solution et trouver un niveau d’informations approprié à stocker et à conserver.
- Une solution possible pour réduire la collecte de données inutile consiste à s’appuyer sur les règles de collecte de données (DCR) d’Azure Monitor.
Éviter de transférer de grands jeux de données non filtrés d’un fournisseur de services cloud à un autre
Les solutions SIEM conventionnelles exigeaient que toutes les données de journal soient ingérées et stockées dans un emplacement centralisé. Dans un environnement multicloud, cette solution peut entraîner le transfert d’une grande quantité de données à partir d’un service cloud et vers un autre, ce qui entraîne une charge accrue sur le réseau et l’infrastructure de stockage.
Alignement de Green Software Foundation : Efficacité carbone, Efficacité énergétique
Recommandation :
- Les services de sécurité cloud natifs peuvent effectuer une analyse localisée sur la source de données de sécurité appropriée. Cette analyse permet à l’essentiel des données de journal de rester dans l’environnement du fournisseur de services cloud source. Les solutions SIEM natives cloud peuvent être connectées via une API ou un connecteur à ces services de sécurité pour transmettre uniquement les données d’incident ou d’événement de sécurité pertinentes. Cette solution peut considérablement réduire la quantité de données transférées tout en conservant un niveau élevé d’informations de sécurité pour répondre à un incident.
Avec le temps, l’utilisation de l’approche décrite permet de réduire les coûts de sortie des données et de stockage, ce qui contribue par nature à réduire les émissions.
Filtrer ou exclure les sources de journaux avant la transmission ou l’ingestion dans un SIEM
Tenez compte de la complexité et du coût du stockage de tous les journaux à partir de toutes les sources possibles. Pour instance, les applications, les serveurs, les diagnostics et l’activité de la plateforme.
Alignement de Green Software Foundation : Efficacité carbone, Efficacité énergétique
Recommandation :
- Lors de la conception d’une stratégie de collecte de journaux pour les solutions SIEM cloud natives, tenez compte des cas d’usage basés sur les règles d’analytique Microsoft Sentinel requises pour votre environnement et faites correspondre les sources de journaux requises pour prendre en charge ces règles.
- Cette option peut aider à supprimer la transmission et le stockage inutiles des données de journal, ce qui réduit les émissions de carbone sur l’environnement.
Archiver les données de journal dans un stockage à long terme
De nombreux clients doivent stocker des données de journal pendant une période prolongée pour des raisons de conformité réglementaire. Dans ce cas, le stockage des données de journal dans l’emplacement de stockage principal du système SIEM est une solution coûteuse.
Alignement de Green Software Foundation : Efficacité énergétique
Recommandation :
- Les données de journal peuvent être déplacées vers une option de stockage à long terme moins coûteuse qui respecte les stratégies de rétention du client, mais réduit le coût en utilisant des emplacements de stockage distincts.
Architecture réseau
Augmentez l’efficacité et évitez le trafic inutile en suivant les bonnes pratiques pour les architectures de sécurité réseau.
Utiliser des contrôles de sécurité réseau natifs cloud pour éliminer le trafic réseau inutile
Lorsque vous utilisez une conception centralisée de routage et de pare-feu, tout le trafic réseau est envoyé au hub à des fins d’inspection, de filtrage et de routage ultérieur. Bien que cette approche centralise l’application de la stratégie, elle peut créer une surcharge sur le réseau de trafic inutile à partir des ressources sources.
Alignement de Green Software Foundation : Efficacité matérielle, Efficacité énergétique
Recommandation :
- Utilisez des groupes de sécurité réseau et des groupes de sécurité d’application pour filtrer le trafic à la source et supprimer la transmission de données inutile. L’utilisation de ces fonctionnalités peut aider à réduire la charge sur l’infrastructure cloud, avec des besoins en bande passante plus faibles et moins d’infrastructure à posséder et à gérer.
Réduire le routage des points de terminaison vers la destination
Dans de nombreux environnements clients, en particulier dans les déploiements hybrides, tout le trafic réseau des appareils des utilisateurs finaux est acheminé via des systèmes locaux avant d’être autorisé à accéder à Internet. Généralement, cela se produit en raison de l’obligation d’inspecter tout le trafic Internet. Souvent, cela nécessite des appliances de sécurité réseau de capacité supérieure au sein de l’environnement local, ou plusieurs appliances au sein de l’environnement cloud.
Alignement de Green Software Foundation : Efficacité énergétique
Recommandation :
- Réduisez le routage des points de terminaison vers la destination.
- Lorsque cela est possible, les appareils des utilisateurs finaux doivent être optimisés pour fractionner le trafic connu directement vers les services cloud , tout en continuant à acheminer et à inspecter le trafic pour toutes les autres destinations. En rapprochant ces fonctionnalités et stratégies de l’appareil de l’utilisateur final, vous évitez le trafic réseau inutile et la surcharge associée.
Utiliser des outils de sécurité réseau avec des fonctionnalités de mise à l’échelle automatique
En fonction du trafic réseau, il y aura des moments où la demande de l’Appliance de sécurité sera élevée et d’autres moments où elle sera plus faible. De nombreuses appliances de sécurité réseau sont déployées à grande échelle pour répondre à la demande attendue la plus élevée, ce qui entraîne des inefficacités. En outre, la reconfiguration de ces outils nécessite souvent un redémarrage entraînant des temps d’arrêt inacceptables et des surcharges de gestion.
Alignement de Green Software Foundation : efficacité matérielle
Recommandation :
- L’utilisation de la mise à l’échelle automatique permet la mise à l’échelle des ressources back-end pour répondre à la demande sans intervention manuelle.
- Cette approche réduit considérablement le temps de réaction aux changements de trafic réseau, ce qui réduit le gaspillage de ressources inutiles et augmente votre impact sur la durabilité.
- Pour en savoir plus sur les services pertinents, lisez comment activer un Web Application Firewall (WAF) sur un Application Gateway, puis déployer et configurer Pare-feu Azure Premium.
Évaluer s’il convient d’utiliser la terminaison TLS
La fin et le rétablissement de TLS sont une consommation du processeur qui peut être inutile dans certaines architectures.
Alignement de Green Software Foundation : Efficacité énergétique
Recommandation :
- Déterminez si vous pouvez terminer TLS au niveau de votre passerelle frontalière et continuer avec un autre protocole TLS pour votre équilibreur de charge de travail, puis pour votre charge de travail.
- Passez en revue les informations sur l’arrêt TLS pour mieux comprendre l’impact sur les performances et l’utilisation qu’elle offre.
- Considérez le compromis : un niveau de sécurité équilibré peut offrir une charge de travail plus durable et plus économe en énergie, tandis qu’un niveau de sécurité plus élevé peut augmenter les exigences sur les ressources de calcul.
Utiliser la protection DDoS
Les attaques par déni de service distribué (DDoS) visent à perturber les systèmes opérationnels en les submergeant, ce qui a un impact significatif sur les ressources dans le cloud. Les attaques réussies inondent les ressources réseau et de calcul, ce qui entraîne un pic inutile d’utilisation et de coût.
Alignement de Green Software Foundation : Efficacité énergétique, Efficacité matérielle
Recommandation :
- La protection DDoS vise à atténuer les attaques au niveau d’une couche abstraite, afin que l’attaque soit atténuée avant d’atteindre les services gérés par le client.
- L’atténuation de toute utilisation malveillante des services de calcul et de réseau contribuera en fin de compte à réduire les émissions de carbone inutiles.
Sécurité des points de terminaison
Il est impératif de sécuriser nos charges de travail et nos solutions dans le cloud. La compréhension de la façon dont nous pouvons optimiser nos tactiques d’atténuation jusqu’aux appareils clients peut avoir un résultat positif pour la réduction des émissions.
Intégrer Microsoft Defender pour point de terminaison
De nombreuses attaques sur l’infrastructure cloud cherchent à mal utiliser les ressources déployées pour le gain direct de l’attaquant. Deux de ces cas de mauvaise utilisation sont les botnets et l’exploration de chiffrement.
Ces deux cas impliquent de prendre le contrôle des ressources de calcul gérées par le client et de les utiliser pour créer de nouvelles pièces de crypto-monnaie, ou comme un réseau de ressources à partir duquel lancer une action secondaire comme une attaque DDoS ou des campagnes de courrier indésirable de masse.
Alignement de Green Software Foundation : efficacité matérielle
Recommandations :
- Intégrez Microsoft Defender pour point de terminaison à Defender pour le cloud pour identifier et arrêter l’exploration de chiffrement et les botnets.
- Les fonctionnalités EDR fournissent des détections d’attaque avancées et sont en mesure d’effectuer des actions de réponse pour corriger ces menaces. L’utilisation inutile des ressources créée par ces attaques courantes peut être rapidement découverte et corrigée, souvent sans l’intervention d’un analyste de sécurité.
Rapports
Il est important d’obtenir les bonnes informations et insights au bon moment pour produire des rapports sur les émissions de vos appliances de sécurité.
Baliser les ressources de sécurité
Il peut être difficile de trouver rapidement toutes les appliances de sécurité de votre locataire et d’en créer des rapports. L’identification des ressources de sécurité peut vous aider lors de la conception d’une stratégie pour un modèle d’exploitation plus durable pour votre entreprise.
Alignement de Green Software Foundation : mesure de la durabilité
Recommandation :
- Balisez les ressources de sécurité pour enregistrer l’impact des ressources de sécurité sur les émissions.
Étape suivante
Passez en revue les principes de conception pour la durabilité.