Condividi tramite


Considerazioni sulla sicurezza per i carichi di lavoro sostenibili in Azure

La progettazione di carichi di lavoro sostenibili in Azure deve includere la sicurezza, ovvero un principio fondamentale attraverso tutte le fasi di un progetto. Informazioni sulle considerazioni e sulle raccomandazioni che portano a un comportamento di sicurezza più sostenibile.

Importante

Questo articolo fa parte della serie di carichi di lavoro sostenibile di Azure Well-Architected . Se non si ha familiarità con questa serie, è consigliabile iniziare con un carico di lavoro sostenibile?

Monitoraggio della protezione

Usare soluzioni di monitoraggio della sicurezza nativa del cloud per ottimizzare la sostenibilità.

Usare i metodi di raccolta log nativi del cloud, se applicabile

In genere, i metodi di raccolta log per l'inserimento in una soluzione SIEM (Security Information and Event Management) richiedono l'uso di una risorsa intermediaria per raccogliere, analizzare, filtrare e trasmettere i log in seguito al sistema di raccolta centrale. L'uso di questa progettazione può portare un sovraccarico con più infrastrutture e costi finanziari e correlati al carbonio associati.

Allineamento di Green Software Foundation: Efficienza hardware, Efficienza energetica

Consiglio:

  • L'uso dei connettori da servizio nativo al cloud semplifica l'integrazione tra i servizi e il SIEM e rimuove il sovraccarico di un'infrastruttura aggiuntiva.
  • È possibile inserire dati di log da risorse di calcolo esistenti usando agenti distribuiti in precedenza, ad esempio l'agente di Analisi di Monitoraggio di Azure. Vedere come eseguire la migrazione all'agente di Monitoraggio di Azure dall'agente di Log Analytics.
  • Prendere in considerazione questo compromesso: la distribuzione di più agenti di monitoraggio aumenterà il sovraccarico nell'elaborazione perché richiede più risorse di calcolo. Progettare e pianificare attentamente la quantità di informazioni necessarie per soddisfare i requisiti di sicurezza della soluzione e trovare un livello appropriato di informazioni da archiviare e mantenere.

Evitare il trasferimento di set di dati non filtrati di grandi dimensioni da un provider di servizi cloud a un altro

Le soluzioni SIEM convenzionali richiedono che tutti i dati di log vengano inseriti e archiviati in una posizione centralizzata. In un ambiente multicloud questa soluzione può portare a una grande quantità di dati trasferiti da un servizio cloud e in un altro, causando un aumento del carico sull'infrastruttura di rete e archiviazione.

Allineamento green Software Foundation: Efficienza del carbonio, Efficienza energetica

Consiglio:

  • I servizi di sicurezza nativa del cloud possono eseguire analisi localizzate sull'origine dati di sicurezza pertinente. Questa analisi consente alla maggior parte dei dati di log di rimanere all'interno dell'ambiente del provider di servizi cloud di origine. Le soluzioni SIEM native del cloud possono essere connesse tramite un'API o un connettore a questi servizi di sicurezza per trasmettere solo i dati relativi agli eventi o agli eventi imprevisti relativi alla sicurezza. Questa soluzione può ridurre notevolmente la quantità di dati trasferiti mantenendo un livello elevato di informazioni di sicurezza per rispondere a un evento imprevisto.

In tempo, l'uso dell'approccio descritto consente di ridurre i costi di uscita e archiviazione dei dati, che aiutano intrinsecamente a ridurre le emissioni.

Filtrare o escludere le origini di log prima della trasmissione o dell'inserimento in un SIEM

Considerare la complessità e il costo dell'archiviazione di tutti i log da tutte le origini possibili. Ad esempio, applicazioni, server, diagnostica e attività della piattaforma.

Allineamento green Software Foundation: Efficienza del carbonio, Efficienza energetica

Consiglio:

  • Quando si progetta una strategia di raccolta log per le soluzioni SIEM native del cloud, considerare i casi d'uso in base alle regole di analisi di Microsoft Sentinel necessarie per l'ambiente e trovare la corrispondenza tra le origini di log necessarie per supportare queste regole.
  • Questa opzione può aiutare a rimuovere la trasmissione e l'archiviazione inutili dei dati di log, riducendo le emissioni di carbonio sull'ambiente.

Archiviare i dati di log nell'archiviazione a lungo termine

Molti clienti hanno un requisito per archiviare i dati di log per un periodo esteso a causa di motivi di conformità normativi. In questi casi, l'archiviazione dei dati di log nella posizione di archiviazione primaria del sistema SIEM è una soluzione costosa.

Allineamento di Green Software Foundation: Efficienza energetica

Consiglio:

Architettura di rete

Aumentare l'efficienza ed evitare il traffico non necessario seguendo le procedure consigliate per le architetture di sicurezza di rete.

Usare i controlli di sicurezza della rete nativa del cloud per eliminare il traffico di rete non necessario

Quando si usa una progettazione centralizzata di routing e firewall, tutto il traffico di rete viene inviato all'hub per l'ispezione, il filtro e il routing successivo. Anche se questo approccio centralizza l'applicazione dei criteri, può creare un sovraccarico sulla rete del traffico non necessario dalle risorse di origine.

Allineamento di Green Software Foundation: Efficienza hardware, Efficienza energetica

Consiglio:

  • Usare i gruppi di sicurezza di rete e i gruppi di sicurezza delle applicazioni per filtrare il traffico all'origine e rimuovere la trasmissione dei dati non necessaria. L'uso di queste funzionalità consente di ridurre il carico dell'infrastruttura cloud, con requisiti di larghezza di banda inferiori e meno infrastruttura da gestire e proprietari.

Ridurre al minimo il routing dagli endpoint alla destinazione

In molti ambienti clienti, soprattutto nelle distribuzioni ibride, tutto il traffico di rete del dispositivo utente finale viene instradato attraverso sistemi locali prima di poter raggiungere Internet. In genere, ciò avviene a causa del requisito di controllare tutto il traffico Internet. Spesso, questo richiede appliance di sicurezza di rete di capacità più elevate all'interno dell'ambiente locale o più appliance all'interno dell'ambiente cloud.

Allineamento di Green Software Foundation: Efficienza energetica

Consiglio:

  • Ridurre al minimo il routing dagli endpoint alla destinazione.
    • Se possibile, i dispositivi utente finali devono essere ottimizzati per suddividere il traffico noto direttamente ai servizi cloud , continuando a instradare e controllare il traffico per tutte le altre destinazioni. Il trasferimento di queste funzionalità e criteri più vicino al dispositivo utente finale impedisce il traffico di rete non necessario e il relativo sovraccarico associato.

Usare gli strumenti di sicurezza di rete con funzionalità di scalabilità automatica

In base al traffico di rete, ci saranno momenti in cui la domanda dell'appliance di sicurezza sarà elevata e altre volte in cui sarà inferiore. Molte appliance di sicurezza di rete vengono distribuite su una scala per gestire la domanda più elevata prevista, causando inefficienze. Inoltre, la riconfigurazione di questi strumenti richiede spesso un riavvio che comporta tempi di inattività e sovraccarico di gestione non accettabili.

Allineamento di Green Software Foundation: Efficienza hardware

Consiglio:

Valutare se usare la terminazione TLS

La terminazione e la ridenominazione di TLS è il consumo di CPU che potrebbe non essere necessario in determinate architetture.

Allineamento di Green Software Foundation: Efficienza energetica

Consiglio:

  • Si consideri se è possibile terminare TLS nel gateway di bordo e continuare con non TLS al servizio di bilanciamento del carico di lavoro e in avanti al carico di lavoro.
  • Esaminare le informazioni sulla terminazione TLS per comprendere meglio le prestazioni e l'impatto sull'utilizzo offerte.
  • Prendere in considerazione il compromesso: un livello bilanciato di sicurezza può offrire un carico di lavoro più sostenibile ed efficiente per l'energia, mentre un livello superiore di sicurezza può aumentare i requisiti sulle risorse di calcolo.

Usare la protezione DDoS

Gli attacchi DDoS (Distributed Denial of Service) mirano a interrompere i sistemi operativi in modo da travolgerli, creando un impatto significativo sulle risorse nel cloud. Attacchi riusciti alla rete di inondazione e alle risorse di calcolo, causando un picco non necessario in termini di utilizzo e costi.

Allineamento di Green Software Foundation: Efficienza energetica, Efficienza hardware

Consiglio:

  • La protezione DDoS cerca di mitigare gli attacchi a un livello astratta, quindi l'attacco viene mitigato prima di raggiungere i servizi gestiti dai clienti.
    • La mitigazione di qualsiasi utilizzo dannoso dei servizi di calcolo e di rete aiuterà infine a ridurre le emissioni di carbonio non necessarie.

Sicurezza degli endpoint

È imperativo proteggere i carichi di lavoro e le soluzioni nel cloud. Comprendere come è possibile ottimizzare le tattiche di mitigazione fino ai dispositivi client può avere un risultato positivo per ridurre le emissioni.

Integrare Microsoft Defender per endpoint

Molti attacchi all'infrastruttura cloud cercano di usare in modo improprio le risorse distribuite per il guadagno diretto dell'utente malintenzionato. Due casi di uso improprio sono botnet e crypto mining.

Entrambi questi casi comportano il controllo delle risorse di calcolo gestite dal cliente e li usano per creare nuove monete di criptovaluta o come rete di risorse da cui avviare un'azione secondaria come un attacco DDoS o campagne di posta indesiderata di massa.

Allineamento di Green Software Foundation: Efficienza hardware

Consigli:

  • Integrare Microsoft Defender per endpoint con Defender for Cloud per identificare e arrestare il mining di crittografia e le botnet.
    • Le funzionalità EDR forniscono rilevamenti di attacchi avanzati e sono in grado di eseguire azioni di risposta per correggere tali minacce. L'utilizzo delle risorse non necessario creato da questi attacchi comuni può essere individuato e corretto rapidamente, spesso senza l'intervento di un analista di sicurezza.

Reporting

Ottenere le informazioni e le informazioni corrette al momento giusto è importante per produrre report sulle emissioni dalle appliance di sicurezza.

Contrassegna le risorse di sicurezza

Può essere una sfida per trovare e segnalare rapidamente tutte le appliance di sicurezza nel tenant. L'identificazione delle risorse di sicurezza può aiutare durante la progettazione di una strategia per un modello operativo più sostenibile per l'azienda.

Allineamento di Green Software Foundation: Misurazione della sostenibilità

Consiglio:

  • Contrassegnare le risorse di sicurezza per registrare l'impatto sulle emissioni delle risorse di sicurezza.

Passaggio successivo

Esaminare i principi di progettazione per la sostenibilità.