Biztonság a hibrid felhőkörnyezetekben

  • 10 perc

A Tailwind Traders egy hibrid felhőbeli állapot bevezetését tervezi. Ez a lépés összetettebbé teszi a környezetet annál, mint amikor a számítási feladatok még csak a helyszínen voltak telepítve. Emellett ezen számítási feladatok biztonsági konfigurációja és telemetriája is egyre összetettebbé válik.

Ebben a leckében bemutatjuk, hogy a Tailwind Traders hogyan monitorozza a helyszíni és a felhőalapú számítási feladatok konfigurációit, illetve hogyan értesül az összes gyanús tevékenységről. Azt is megtudhatja, hogy a Tailwind Traders hogyan tudja testre szabni a frissítéseket a helyszíni és a felhőalapú kiszolgálók operációs rendszereinek megfelelően.

Mi az a Felhőhöz készült Microsoft Defender?

Felhőhöz készült Microsoft Defender lehetővé teszi a különböző számítási feladatok biztonsági konfigurációjának felmérését. A Felhőhöz készült Microsoft Defender a következő célra használhatja:

  • Ajánlott biztonsági eljárások implementálása szolgáltatott infrastruktúra (IaaS), szolgáltatásként nyújtott platform (PaaS), adatok és helyszíni erőforrások esetében.
  • A biztonsági beállítások megfelelőségének nyomon követése a szabályozási előírásokhoz képest.
  • Az adatok védelme a gyanús tevékenységek, például az adatok kiszűréséhez társított minták azonosításával.
  • SQL-adatbázisokban futtatott adatok osztályozása.

Hibrid környezetekben Felhőhöz készült Defender integrálható a Log Analytics-ügynökkel az eseménynapló-események, az eseménykövetési telemetria és az összeomlási memóriaképfájlok gyűjtéséhez. Felhőhöz készült Defender ezután elemezheti ezeket az adatokat, hogy javaslatokat tegyen, vagy riasztásokat generáljon, amelyek továbbíthatók a szervezet biztonsági incidens- és eseménykezelési (SIEM) rendszerének.

A Tailwind Traders jelenleg többféle eszközt alkalmaz annak értékeléséhez, hogy a Windows Server és a Linux esetében a számítási feladatok biztonsági konfigurációja megfelel-e a közzétett, külső féltől származó szabványoknak. A Felhőhöz készült Microsoft Defender bevezetésével a Tailwind Traders képes lesz figyelni és szervizelni a helyszíni kiszolgálói operációs rendszerek biztonsági konfigurációját, valamint a számítási feladatok egyre növekvő felhőbeli üzembe helyezését, mivel hibridebb technológiákat vezet be.

Mi az a Microsoft Sentinel?

A Microsoft Sentinel lehetővé teszi a hibrid felhőalapú megoldásokkal rendelkező szervezetek számára, hogy telemetriát használjanak a helyszíni és a felhőbeli biztonsági eseménynaplókból. A Microsoft Sentinel egy SIEM és egy biztonsági vezénylési, automatizálási és válaszmegoldás is.

A SIEM-megoldások tárolják és elemzik a naplózási adatokat és az eseménytelemetriát, amelyeket külső forrásokból töltenek be. A Microsoft Sentinel támogatja a helyszíni, az Azure-beli és a külső felhőbeli helyekről származó adatok betöltését, beleértve a többi SIEM-rendszert is. SOAR-megoldásokkal vezényelni tudja az adatelemzést. Segítséget nyújtanak az ismert fenyegetésekre való automatizált reagálás létrehozásához.

A következő képen egy hibrid Sentinel-architektúra látható.

Diagram that shows log telemetry for on-premises workloads and workloads in third-party clouds forwarded to Microsoft Defender for Cloud and Microsoft Sentinel.

A Microsoft Sentinel a következő feladatokat hajthatja végre a hibrid környezetek támogatásakor:

  • Az adatok gyűjtése a felhőalapú és helyszíni felhasználókról, eszközökről, alkalmazásokról és infrastruktúráról.
  • Az AI és a mély tanulás alkalmazása a lehetséges kártevő tevékenység eseményadatokban történő azonosítására.
  • A fenyegetések észlelése az eseményadatoknak a Microsoft biztonsági kutatása által létrehozott támadási jelek alapján való elemzésével.
  • Az ismert jellemzőkkel rendelkező incidensekre adott válasz automatizálása biztonsági forgatókönyvek segítségével.

A Sentinel beépített munkafüzeteket tartalmaz, amelyek segítenek elemezni az adatokat, és javaslatokat is tehetnek. Így gyorsan felismerheti a gyanús biztonsági telemetriát, és nem kell átböngésznie ahhoz, hogy megértse a jelentését. Emellett egyéni munkafüzeteket is importálhat vagy használhat, amelyek olyan biztonsági kutatók tapasztalatai alapján készültek, akik a Sentinelben foglaltaktól eltérő, hatékony módszereket találtak a biztonsági telemetria elemzéséhez.

A Tailwind Traders jelenleg egy helyszíni SIEM-rendszert használ, amely a különböző számítógépekről és eszközökről származó eseménynapló-adatokat gyűjti és elemzi. Bár ez a SIEM-rendszer akkor volt megfelelő, amikor a Tailwind Traders csak helyszíni üzembe helyezéssel rendelkezett, a Microsoft Sentinel bevezetése lehetővé teszi a Tailwind Traders számára, hogy ezt a kapacitást a hibrid felhőbe bővítse.

Az is valószínű, hogy a Tailwind Traders össze fogja kapcsolni a már meglévő SIEM-megoldást a Sentinellel. Ez a kapcsolat biztosítja a Sentinel által kínált AI és mély tanulás előnyeit anélkül, hogy a vállalatnak lényegesen módosítania kellene a már meglévő helyszíni konfigurációt.

Mi az Azure Automation Update Management?

Az Azure Automation Update Management lehetővé teszi a helyszíni és felhőkiszolgálói operációs rendszerek frissítéseinek kezelését egyetlen felhőbeli konzol használatával. Az Update Management a fizikai és virtuális környezetben futó Microsoft Windows Server számítási feladatai és a támogatott Linux operációs rendszerek számítási feladatai esetében egyaránt működik.

Az Update Management a Microsoft Update-et vagy a Windows Server Update Servicest (WSUS) használhatja a Windows Server operációs rendszerek frissítésének forrásaként. Az Update Management emellett nyilvános vagy egyéni Linux-csomagtárat is alkalmazhat a Linux operációs rendszer frissítéseihez. Az Update Management lehetővé teszi annak meghatározását, hogy a regisztrált operációs rendszerek esetében jelenleg mely frissítések hiányoznak.

Az alábbi diagram azt szemlélteti, hogy az Update Management hogyan integrálható az Azure Automation- és a Log Analytics-munkaterületekkel.

Diagram that shows a collection of on-premises and Azure VMs connecting to Azure Automation runbooks, Log Analytics workspaces, and Automation Hybrid Worker solutions over TCP port 443 in a hybrid Update Management architecture.

Frissítéstelepítés konfigurálásakor meghatározandók a következők:

  • A frissítéstelepítés Windows vagy Linux rendszerű számítógépekre történik-e. Mindkét típust nem adhatja meg egyszerre célként.
  • Azok a regisztrált kiszolgálók, amelyek a telepítés célhelyeként szolgálnak.
  • A telepítendő frissítési besorolások.
  • Hogy egyes adott frissítéseket szeretne-e alkalmazni vagy sem.
  • A telepítés ütemterve, beleértve azt is, hogy a telepítés rendszeresen megtörténjen-e.
  • Minden olyan frissítés előtti és frissítés utáni parancsfájl, amelyet futtatni kell.
  • A karbantartási időszak maximális hossza, amelyből az utolsó 20 perc a rendszer újraindítására van fenntartva.
  • Újraindítási beállítások, amelyek meghatározzák, hogy a rendszernek újra kell-e indulnia, ha ez szükséges a frissítések befejezéséhez.

A Tailwind Traders jelenleg a WSUS mellett egyéb eszközöket is alkalmaz a frissítések helyszíni Windows és Linux operációs rendszereken történő kezeléséhez. Ha (helyszíni vagy felhőbeli) IaaS virtuális gép operációs rendszerének számítási feladatai a konfigurációjuk szerint csatlakoznak az Azure Software Update szolgáltatáshoz, a Tailwind Traders biztosítani tudja, hogy a kritikus számítási feladatokat végző összes operációs rendszer naprakész legyen.

Tesztelje tudását

1.

A Tailwind Traders biztosítani szeretné, hogy a Windows- és Linux-kiszolgálók tesztcsoportja automatikusan megkapja a hetente közzétett frissítéseket. Emellett a vállalat arra törekszik, hogy a Windows- és Linux-kiszolgálók éles környezetbeli csoportjai csak havonta egyszer kapják meg a frissítéseket, amikor már biztos, hogy azok a tesztelési csoport kiszolgálói esetében nem okoztak problémát. Hány frissítéstelepítés konfigurálása szükséges ehhez a csomaghoz?

2.

A következő hibrid biztonsági technológiák közül melyiket alkalmazhatja a Tailwind Traders a Windows Server 2019 operációs rendszert futtató helyszíni kiszolgálók és IaaS virtuális gépek biztonsági konfigurációjának értékeléséhez?