Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
La progettazione di carichi di lavoro sostenibili in Azure deve includere la sicurezza, che è un principio fondamentale per tutte le fasi di un progetto. Informazioni sulle considerazioni e le raccomandazioni che portano a un comportamento di sicurezza più sostenibile.
Importante
Questo articolo fa parte della serie di carichi di lavoro sostenibili di Azure Well-Architected . Se non si ha familiarità con questa serie, è consigliabile iniziare con che cos'è un carico di lavoro sostenibile?
Monitoraggio della sicurezza
Usare soluzioni di monitoraggio della sicurezza native del cloud per ottimizzare la sostenibilità.
Usare i metodi di raccolta di log nativi del cloud, se applicabile
Tradizionalmente, i metodi di raccolta dei log per l'inserimento in una soluzione SIEM (Security Information and Event Management) richiedevano l'uso di una risorsa intermedia per raccogliere, analizzare, filtrare e trasmettere i log in avanti al sistema di raccolta centrale. L'uso di questa progettazione può comportare un sovraccarico con un maggior numero di infrastrutture e costi finanziari e correlati al carbonio associati.
Allineamento Green Software Foundation: Efficienza hardware, Efficienza energetica
Raccomandazione:
- L'uso di connettori da servizio a servizio nativi del cloud semplifica l'integrazione tra i servizi e siem e rimuove il sovraccarico di un'infrastruttura aggiuntiva.
- È possibile inserire dati di log da risorse di calcolo esistenti usando agenti distribuiti in precedenza, ad esempio l'agente di Analisi di Monitoraggio di Azure. Vedere come eseguire la migrazione all'agente di Monitoraggio di Azure dall'agente di Log Analytics.
- Considerare questo compromesso: la distribuzione di più agenti di monitoraggio aumenterà il sovraccarico nell'elaborazione in quanto richiede più risorse di calcolo. Progettare attentamente e pianificare la quantità di informazioni necessarie per soddisfare i requisiti di sicurezza della soluzione e trovare un livello appropriato di informazioni da archiviare e conservare.
- Una possibile soluzione per ridurre la raccolta di dati non necessaria consiste nell'affidarsi alle regole di raccolta dati di Monitoraggio di Azure.
Evitare di trasferire set di dati non filtrati di grandi dimensioni da un provider di servizi cloud a un altro
Le soluzioni SIEM convenzionali richiedono l'inserimento e l'archiviazione di tutti i dati di log in una posizione centralizzata. In un ambiente multicloud, questa soluzione può portare a una grande quantità di dati trasferiti da un servizio cloud e in un altro, causando un aumento del carico sull'infrastruttura di rete e archiviazione.
Allineamento Green Software Foundation: Efficienza del carbonio, Efficienza energetica
Raccomandazione:
- I servizi di sicurezza nativi del cloud possono eseguire analisi localizzate sull'origine dati di sicurezza pertinente. Questa analisi consente di mantenere la maggior parte dei dati di log nell'ambiente del provider di servizi cloud di origine. Le soluzioni SIEM native del cloud possono essere connesse tramite un'API o un connettore a questi servizi di sicurezza per trasmettere solo i dati relativi agli eventi o agli eventi imprevisti di sicurezza pertinenti. Questa soluzione può ridurre notevolmente la quantità di dati trasferiti mantenendo un elevato livello di informazioni di sicurezza per rispondere a un evento imprevisto.
In tempo, l'uso dell'approccio descritto consente di ridurre i costi di uscita e archiviazione dei dati, che contribuiscono intrinsecamente a ridurre le emissioni.
Filtrare o escludere origini di log prima della trasmissione o dell'inserimento in un sistema SIEM
Prendere in considerazione la complessità e il costo dell'archiviazione di tutti i log da tutte le origini possibili. Ad esempio, applicazioni, server, diagnostica e attività della piattaforma.
Allineamento Green Software Foundation: Efficienza del carbonio, Efficienza energetica
Raccomandazione:
- Quando si progetta una strategia di raccolta log per soluzioni SIEM native del cloud, prendere in considerazione i casi d'uso in base alle regole di analisi di Microsoft Sentinel necessarie per l'ambiente e associare le origini di log necessarie per supportare tali regole.
- Questa opzione consente di rimuovere la trasmissione e l'archiviazione non necessarie dei dati di log, riducendo le emissioni di carbonio nell'ambiente.
Archiviare i dati dei log nella memoria a lungo termine
Molti clienti devono archiviare i dati di log per un periodo prolungato a causa di motivi di conformità alle normative. In questi casi, l'archiviazione dei dati di log nella posizione di archiviazione primaria del sistema SIEM è una soluzione costosa.
Allineamento Green Software Foundation: Efficienza energetica
Raccomandazione:
- I dati di log possono essere spostati in un'opzione di archiviazione a lungo termine più economica che rispetta i criteri di conservazione del cliente, ma riduce il costo usando posizioni di archiviazione separate.
Architettura di rete
Aumentare l'efficienza ed evitare il traffico non necessario seguendo le procedure consigliate per le architetture di sicurezza di rete.
Usare i controlli di sicurezza di rete nativi del cloud per eliminare il traffico di rete non necessario
Quando si usa una progettazione centralizzata di routing e firewall, tutto il traffico di rete viene inviato all'hub per l'ispezione, il filtro e il routing successivo. Anche se questo approccio centralizza l'applicazione dei criteri, può creare un sovraccarico nella rete del traffico non necessario dalle risorse di origine.
Allineamento Green Software Foundation: Efficienza hardware, Efficienza energetica
Raccomandazione:
- Usare i gruppi di sicurezza di rete e i gruppi di sicurezza delle applicazioni per filtrare il traffico all'origine e rimuovere la trasmissione dei dati non necessaria. L'uso di queste funzionalità consente di ridurre il carico sull'infrastruttura cloud, con requisiti di larghezza di banda inferiori e meno infrastruttura da possedere e gestire.
Ridurre al minimo il routing dagli endpoint alla destinazione
In molti ambienti dei clienti, in particolare nelle distribuzioni ibride, tutto il traffico di rete dei dispositivi degli utenti finali viene instradato attraverso i sistemi locali prima di poter raggiungere Internet. In genere, ciò si verifica a causa del requisito di controllare tutto il traffico Internet. Questo richiede spesso appliance di sicurezza di rete con capacità superiore all'interno dell'ambiente locale o più appliance all'interno dell'ambiente cloud.
Allineamento Green Software Foundation: Efficienza energetica
Raccomandazione:
- Ridurre al minimo il routing dagli endpoint alla destinazione.
- Se possibile, i dispositivi degli utenti finali devono essere ottimizzati per suddividere il traffico noto direttamente verso i servizi cloud , continuando a instradare ed esaminare il traffico per tutte le altre destinazioni. L'avvicinamento di queste funzionalità e criteri al dispositivo dell'utente finale impedisce il traffico di rete non necessario e il sovraccarico associato.
Usare gli strumenti di sicurezza di rete con funzionalità di scalabilità automatica
In base al traffico di rete, ci saranno momenti in cui la domanda dell'appliance di sicurezza sarà elevata e altre volte in cui sarà inferiore. Molte appliance di sicurezza di rete vengono distribuite su una scala per far fronte alla domanda più elevata prevista, causando inefficienze. Inoltre, la riconfigurazione di questi strumenti richiede spesso un riavvio che comporta tempi di inattività e sovraccarico di gestione inaccettabili.
Allineamento verde di Software Foundation: Efficienza hardware
Raccomandazione:
- L'uso del ridimensionamento automatico consente di adattare le risorse del back-end per soddisfare la domanda senza intervento manuale.
- Questo approccio ridurrà notevolmente il tempo necessario per reagire ai cambiamenti del traffico di rete, con conseguente riduzione dello spreco di risorse non necessarie e aumenterà l'effetto di sostenibilità.
- Per ulteriori informazioni sui servizi pertinenti, leggere come abilitare un firewall per applicazioni web (WAF) su un gateway di applicazione e distribuire e configurare il Firewall di Azure Premium.
Valutare se usare la terminazione TLS
La terminazione e il riavvio di TLS comportano un utilizzo della CPU che potrebbe non essere necessario in determinate architetture.
Allineamento Green Software Foundation: Efficienza energetica
Raccomandazione:
- Considera se puoi terminare TLS sul tuo gateway di confine e continuare senza TLS al bilanciamento del carico di lavoro e poi al carico di lavoro.
- Esaminare le informazioni sulla terminazione TLS per comprendere meglio le prestazioni e l'impatto sull'utilizzo offerto.
- Considerare il compromesso: un livello bilanciato di sicurezza può offrire un carico di lavoro più sostenibile ed efficiente per l'energia, mentre un livello di sicurezza più elevato può aumentare i requisiti per le risorse di calcolo.
Usare la protezione DDoS
Gli attacchi Distributed Denial of Service (DDoS) mirano a interrompere i sistemi operativi sovraccaricandoli, creando un impatto significativo sulle risorse nel cloud. Gli attacchi riusciti inondano la rete e le risorse di calcolo, causando un picco non necessario di utilizzo e costi.
Allineamento Green Software Foundation: Efficienza energetica, Efficienza hardware
Raccomandazione:
- La protezione DDoS cerca di attenuare gli attacchi a un livello astratto, quindi l'attacco viene mitigato prima di raggiungere qualsiasi servizio gestito dai clienti.
- La mitigazione di qualsiasi utilizzo dannoso dei servizi di calcolo e di rete contribuirà infine a ridurre le emissioni di carbonio non necessarie.
Sicurezza degli endpoint
È fondamentale proteggere i carichi di lavoro e le soluzioni nel cloud. Comprendere come è possibile ottimizzare le tattiche di mitigazione fino ai dispositivi client può avere un risultato positivo per ridurre le emissioni.
Integrare Microsoft Defender per endpoint
Molti attacchi all'infrastruttura cloud cercano di sfruttare impropriamente le risorse implementate per il guadagno diretto dell'attaccante. Due casi di uso improprio sono botnet e crypto mining.
Entrambi questi casi comportano il controllo delle risorse di calcolo gestite dai clienti e li usano per creare nuove monete criptovaluta o come rete di risorse da cui lanciare un'azione secondaria come un attacco DDoS o campagne di posta indesiderata di massa.
Allineamento verde di Software Foundation: Efficienza hardware
Raccomandazioni:
- Integrare Microsoft Defender per endpoint con Defender for Cloud per identificare e arrestare il mining di crittografia e le botnet.
- Le funzionalità EDR forniscono rilevamenti avanzati degli attacchi e sono in grado di eseguire azioni di risposta per correggere tali minacce. L'utilizzo delle risorse non necessario creato da questi attacchi comuni può essere rapidamente individuato e risolto, spesso senza l'intervento di un analista della sicurezza.
Rendicontazione
Ottenere le informazioni accurate e dettagliate al momento giusto è importante per produrre report sulle emissioni dai dispositivi di sicurezza.
Contrassegna le risorse di sicurezza
Può trattarsi di una sfida per trovare e segnalare rapidamente tutte le appliance di sicurezza nel tenant. L'identificazione delle risorse di sicurezza può essere utile quando si progetta una strategia per un modello operativo più sostenibile per l'azienda.
Allineamento di Green Software Foundation: Misurazione della sostenibilità
Raccomandazione:
- Contrassegnare le risorse di sicurezza per registrare l'impatto sulle emissioni delle risorse di sicurezza.
Passo successivo
Esaminare le considerazioni e le raccomandazioni per la progettazione di carichi di lavoro di intelligenza artificiale sostenibili.