Biztonsági szempontok az Azure-beli fenntartható számítási feladatokhoz
A fenntartható számítási feladatok Azure-beli tervezésének magában kell foglalnia a biztonságot, amely a projekt minden fázisában alapvető alapelv. Megismerheti a fenntarthatóbb biztonsági helyzethez vezető szempontokat és javaslatokat.
Fontos
Ez a cikk az Azure Well-Architected fenntartható számítási feladatok sorozatának része. Ha nem ismeri ezt a sorozatot, javasoljuk, hogy kezdje a fenntartható számítási feladatokkal?
A biztonság monitorozása
A felhő natív biztonsági monitorozási megoldásainak használatával optimalizálhatja a fenntarthatóságot.
Ha lehetséges, natív felhőbeli naplógyűjtési módszerek használata
A biztonsági információ- és eseménykezelési (SIEM) megoldásba való betöltés naplógyűjtési módszerei hagyományosan egy köztes erőforrás használatát követelik meg a naplók gyűjtéséhez, elemzéséhez, szűréséhez és a központi gyűjtési rendszerbe való továbbításához. Ennek a kialakításnak a használata többletterhelést jelenthet több infrastruktúrával, valamint a kapcsolódó pénzügyi és szén-dioxid-kibocsátással kapcsolatos költségekkel.
Green Software Foundation igazítása: Hardverhatékonyság, energiahatékonyság
Javaslat:
- A natív felhőszolgáltatás-összekötők használata leegyszerűsíti a szolgáltatások és a SIEM integrációját, és megszünteti a többletinfrastruktúra többletterhelését.
- A naplóadatokat meglévő számítási erőforrásokból is betöltheti a korábban üzembe helyezett ügynökökkel, például az Azure Monitor Analytics-ügynökkel. Tekintse át, hogyan migrálhat az Azure Monitor-ügynökre a Log Analytics-ügynökből.
- Fontolja meg ezt a kompromisszumot: Ha több figyelési ügynököt helyez üzembe, az növeli a feldolgozás többletterhelését, mivel több számítási erőforrásra van szüksége. Gondosan tervezze meg és tervezze meg, hogy mennyi információra van szükség a megoldás biztonsági követelményeinek kielégítéséhez, és keresse meg a megfelelő szintű információt, amelyet tárolhat és tárolhat.
- A szükségtelen adatgyűjtés csökkentésének egyik lehetséges megoldása, ha az Azure Monitor adatgyűjtési szabályaira (DCR) támaszkodik.
Kerülje a nagy, szűretlen adathalmazok átvitelét egyik felhőszolgáltatóról a másikra
A hagyományos SIEM-megoldások megkövetelik, hogy az összes naplóadatot központosított helyen kell tárolni és tárolni. Többfelhős környezetben ez a megoldás nagy mennyiségű adatot továbbíthat egy felhőszolgáltatásból egy másikba, ami nagyobb terhet ró a hálózati és tárolási infrastruktúrára.
Green Software Foundation igazítása: Szén-dioxid-hatékonyság, Energiahatékonyság
Javaslat:
- A natív felhőbeli biztonsági szolgáltatások lokalizált elemzéseket végezhetnek a releváns biztonsági adatforrásokon. Ez az elemzés lehetővé teszi, hogy a naplóadatok nagy része a forrásfelhő-szolgáltatói környezetben maradjon. A natív felhőbeli SIEM-megoldások API-n vagy összekötőn keresztül csatlakoztathatók ezekhez a biztonsági szolgáltatásokhoz, így csak a vonatkozó biztonsági incidensek vagy eseményadatok továbbíthatók. Ez a megoldás jelentősen csökkentheti az átvitt adatok mennyiségét, miközben magas szintű biztonsági információkat tart fenn az incidensekre való reagálás érdekében.
Idővel a leírt megközelítéssel csökkenthetők az adatforgalom és a tárolási költségek, ami eredendően hozzájárul a kibocsátások csökkentéséhez.
Naplóforrások szűrése vagy kizárása SIEM-be való átvitel vagy betöltés előtt
Vegye figyelembe az összes lehetséges forrásból származó naplók tárolásának összetettségét és költségét. Például alkalmazások, kiszolgálók, diagnosztikák és platformtevékenységek.
Green Software Foundation igazítása: Szén-dioxid-hatékonyság, Energiahatékonyság
Javaslat:
- Ha natív felhőbeli SIEM-megoldásokhoz tervez naplógyűjtési stratégiát, fontolja meg a környezethez szükséges Microsoft Sentinel-elemzési szabályokon alapuló használati eseteket, és egyezzen a szabályok támogatásához szükséges naplóforrásokkal.
- Ez a lehetőség segíthet eltávolítani a naplóadatok szükségtelen átvitelét és tárolását, csökkentve a környezet károsanyag-kibocsátását.
Naplóadatok archiválása hosszú távú tárolásra
Számos ügyfélnek jogszabályi megfelelőségi okokból hosszabb ideig kell tárolnia a naplóadatokat. Ezekben az esetekben a naplóadatok tárolása a SIEM-rendszer elsődleges tárolási helyén költséges megoldás.
Green Software Foundation igazítása: Energiahatékonyság
Javaslat:
- A naplóadatok áthelyezhetők egy olcsóbb, hosszú távú tárolási módba , amely tiszteletben tartja az ügyfél adatmegőrzési szabályzatait, de csökkenti a költségeket külön tárolási helyek használatával.
Hálózati architektúra
Növelje a hatékonyságot, és kerülje el a szükségtelen forgalmat a hálózati biztonsági architektúrákra vonatkozó ajánlott eljárások követésével.
Natív felhőbeli hálózati biztonsági vezérlők használata a szükségtelen hálózati forgalom kiküszöböléséhez
Ha központosított útválasztást és tűzfaltervezést használ, a rendszer az összes hálózati forgalmat a központba küldi vizsgálat, szűrés és továbbirányítás céljából. Bár ez a megközelítés központosítja a szabályzatok kikényszerítését, többletterhelést okozhat a forráserőforrásokból származó szükségtelen forgalom hálózatán.
Green Software Foundation igazítása: Hardverhatékonyság, energiahatékonyság
Javaslat:
- A hálózati biztonsági csoportok és az alkalmazásbiztonsági csoportok segítségével szűrhetők a forgalom a forrásnál, és eltávolíthatja a szükségtelen adatátvitelt. Ezeknek a képességeknek a használatával csökkentheti a felhőinfrastruktúra terheit, alacsonyabb sávszélesség-követelményekkel és kevesebb infrastruktúrával rendelkezhet és felügyelhet.
A végpontok és a cél közötti útválasztás minimalizálása
Számos ügyfélkörnyezetben, különösen a hibrid üzemelő példányokban, az összes végfelhasználói eszköz hálózati forgalmát a rendszer a helyszíni rendszereken keresztül irányítja, mielőtt engedélyeznék az internet elérését. Ez általában az összes internetes forgalom vizsgálatának követelménye miatt történik. Ez gyakran nagyobb kapacitású hálózati biztonsági berendezéseket igényel a helyszíni környezetben, vagy több berendezést a felhőkörnyezetben.
Green Software Foundation igazítása: Energiahatékonyság
Javaslat:
- A végpontok és a cél közötti útválasztás minimalizálása.
- Ahol lehetséges, a végfelhasználói eszközöket úgy kell optimalizálni, hogy az ismert forgalmat közvetlenül a felhőszolgáltatások felé osztják fel , miközben továbbra is az összes többi célhely forgalmát irányítják és ellenőrzik. Ezeknek a képességeknek és szabályzatoknak a végfelhasználói eszközhöz való közelebb hozása megakadályozza a szükségtelen hálózati forgalmat és az ahhoz kapcsolódó többletterhelést.
Hálózati biztonsági eszközök használata automatikus skálázási képességekkel
A hálózati forgalom alapján előfordulhatnak olyan időszakok, amikor a biztonsági berendezés kereslete magas lesz, máskor pedig alacsonyabb lesz. Számos hálózati biztonsági berendezést helyeznek üzembe egy skálán, hogy megbirkózzanak a legnagyobb elvárt igényekkel, ami hatékonysági hiányosságokhoz vezet. Ezen eszközök újrakonfigurálásához gyakran szükség van egy újraindításra, amely elfogadhatatlan állásidőt és felügyeleti többletterhelést eredményez.
Green Software Foundation igazítása: Hardverhatékonyság
Javaslat:
- Az automatikus skálázás használata lehetővé teszi, hogy a háttérerőforrások jogosultságai manuális beavatkozás nélkül megfeleljenek az igényeknek.
- Ez a megközelítés jelentősen csökkenti a hálózati forgalom változásaira való reagálás idejét, ami csökkenti a felesleges erőforrások pazarlását, és növeli a fenntarthatósági hatást.
- A releváns szolgáltatásokról további információt a Web Application Firewall (WAF) Application Gateway történő engedélyezéséről, valamint a prémium szintű Azure Firewall üzembe helyezéséről és konfigurálásáról olvashat.
Annak kiértékelése, hogy a TLS-leállítást kell-e használni
A TLS megszüntetése és újbóli létrehozása olyan processzorhasználat, amely bizonyos architektúrákban szükségtelen lehet.
Green Software Foundation igazítása: Energiahatékonyság
Javaslat:
- Fontolja meg, hogy le tudja-e állítani a TLS-t a border gatewayen, és folytathatja-e a nem TLS-sel a számítási feladat terheléselosztóját, és tovább a számítási feladatra.
- Tekintse át a TLS-leállítással kapcsolatos információkat, hogy jobban megértse az általa kínált teljesítményt és kihasználtságot.
- Fontolja meg a kompromisszumot: A kiegyensúlyozott biztonsági szint fenntarthatóbb és energiahatékonyabb számítási feladatokat kínálhat, míg a magasabb szintű biztonság növelheti a számítási erőforrásokra vonatkozó követelményeket.
DDoS-védelem használata
Az elosztott szolgáltatásmegtagadási (DDoS) támadások célja az üzemeltetési rendszerek túlterheltsége, ami jelentős hatást gyakorol a felhőbeli erőforrásokra. A sikeres támadások elárasztják a hálózatot és a számítási erőforrásokat, ami a használat és a költségek szükségtelen kiugrásához vezet.
Green Software Foundation igazítása: Energiahatékonyság, hardverhatékonyság
Javaslat:
- A DDoS-védelem egy absztrakt réteg támadásait igyekszik enyhíteni, így a támadást az ügyfél által üzemeltetett szolgáltatások elérése előtt mérsékelik.
- A számítási és hálózati szolgáltatások rosszindulatú használatának mérséklése végső soron segít csökkenteni a szükségtelen szén-dioxid-kibocsátást.
Végpontbiztonság
Elengedhetetlen, hogy a számítási feladatokat és a megoldásokat a felhőben biztosíthassuk. Ha tisztában vagyunk azzal, hogyan optimalizálhatjuk a kockázatcsökkentési taktikánkat egészen az ügyféleszközökig, pozitív eredményt érhetünk el a károsanyag-kibocsátás csökkentéséhez.
Végponthoz készült Microsoft Defender integrálása
A felhőinfrastruktúra elleni számos támadás a támadó közvetlen nyeresége érdekében próbál visszaélni az üzembe helyezett erőforrásokkal. Két ilyen visszaélési eset a botnetek és a kriptobányászat.
Mindkét eset magában foglalja az ügyfél által üzemeltetett számítási erőforrások feletti irányítást, és azokat új kriptovaluta-érmék létrehozására, vagy olyan erőforrások hálózataként használja, amelyekből másodlagos műveletet indíthat, például DDoS-támadást vagy tömeges e-mail levélszemétkampányokat.
Green Software Foundation igazítása: Hardverhatékonyság
Javaslatok:
- Integrálhatja Végponthoz készült Microsoft Defender a Defender for Cloud szolgáltatással a titkosítási bányászat és a botnetek azonosításához és leállításához.
- Az EDR képességei fejlett támadásészleléseket biztosítanak, és képesek reagálni a fenyegetések elhárítására. Az ilyen gyakori támadások által létrehozott szükségtelen erőforrás-használat gyorsan felderíthető és orvosolható, gyakran biztonsági elemző beavatkozása nélkül.
Jelentéskészítés
A megfelelő információk és megállapítások megfelelő időben történő beszerzése fontos a biztonsági berendezések kibocsátásával kapcsolatos jelentések készítéséhez.
Biztonsági erőforrások címkézése
Kihívást jelenthet a bérlő összes biztonsági berendezésének gyors megkeresése és jelentése. A biztonsági erőforrások azonosítása segíthet a vállalat fenntarthatóbb üzemeltetési modelljére vonatkozó stratégia kialakításában.
Green Software Foundation igazítása: A fenntarthatóság mérése
Javaslat:
- Biztonsági erőforrások címkézése a biztonsági erőforrások kibocsátási hatásának rögzítéséhez.
Következő lépés
Tekintse át a fenntarthatóság tervezési alapelveit.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: