Beveiliging in hybride cloudomgevingen

  • 10 minuten

Tailwind Traders is van plan om over te stappen op een hybride cloudstrategie. Door deze overstap wordt zijn omgeving gecompliceerder dan toen workloads alleen on-premises werden geïmplementeerd. Ook zullen de beveiligingsconfiguratie en telemetrie van deze workloads steeds complexer worden.

In deze les leert u hoe Tailwind Traders de configuratie van zijn on-premises workloads en cloudworkloads kan bewaken en hoe het kan worden gewaarschuwd bij verdachte activiteit. Ook leert u hoe Tailwind Traders updates voor zijn on-premises en cloudserverbesturingssystemen kan stroomlijnen.

Wat is Microsoft Defender voor Cloud?

Microsoft Defender voor Cloud kunt u de beveiligingsconfiguratie van verschillende workloads beoordelen. U kunt Microsoft Defender voor Cloud gebruiken om het volgende te doen:

  • Het implementeren van best practices voor de beveiliging in IaaS-resources (infrastructuur als een dienst), PaaS-resources (Platform as a Service), gegevensresources en on-premises resources.
  • Het controleren van de naleving van de beveiligingsconfiguratie wat regelgevingsstandaarden betreft.
  • Het beveiligen van gegevens door verdachte activiteit te identificeren, zoals patronen die worden gekoppeld aan het exfiltreren van gegevens.
  • Het classificeren van gegevens die in SQL-databases worden gehost.

In hybride omgevingen kan Defender voor Cloud worden geïntegreerd met de Log Analytics-agent voor het verzamelen van gebeurtenislogboekgebeurtenissen, telemetriegegevens voor gebeurtenistracering en crashdumpbestanden. Defender voor Cloud kunt vervolgens een analyse van die gegevens uitvoeren om aanbevelingen te doen of waarschuwingen te genereren die kunnen worden doorgestuurd naar het SIEM-systeem (Security Incident and Event Management) van een organisatie.

Tailwind Traders gebruikt momenteel verschillende hulpprogramma's om te evalueren of de beveiligingsconfiguratie van zijn Windows Server- en Linux-workloads voldoet aan de gepubliceerde externe standaarden. Door gebruik te maken van Microsoft Defender voor Cloud, kan Tailwind Traders de beveiligingsconfiguratie van de serverbesturingssystemen on-premises bewaken en herstellen en de groeiende implementatie van workloads in de cloud naarmate er meer hybride technologieën worden gebruikt.

Wat is Microsoft Sentinel?

Met Microsoft Sentinel kunnen organisaties met hybride cloudoplossingen telemetrie opnemen uit beveiligingsgebeurtenislogboeken voor zowel on-premises als de cloud. Microsoft Sentinel is zowel een SIEM- als een SOAR-oplossing (Security Orchestration, Automation and Response).

SIEM-oplossingen worden gebruikt voor het opslaan en analyseren van logboekgegevens en gebeurtenistelemetrie die ze opnemen uit externe bronnen. Microsoft Sentinel ondersteunt de opname van gegevens van on-premises, Azure- en cloudlocaties van derden, waaronder van andere SIEM-systemen. Met SOAR-oplossingen kunt u de analyse van gegevens organiseren. Deze helpen u bij het maken van een automatische reactie op bekende bedreigingen.

De volgende afbeelding toont een hybride Sentinel-architectuur.

Diagram that shows log telemetry for on-premises workloads and workloads in third-party clouds forwarded to Microsoft Defender for Cloud and Microsoft Sentinel.

Microsoft Sentinel kan de volgende taken uitvoeren wanneer deze hybride omgevingen ondersteunt:

  • Het verzamelen van gegevens van op de cloud gebaseerde en on-premises gebruikers, apparaten, toepassingen en infrastructuur.
  • Het gebruiken van kunstmatige intelligentie en deep learning om mogelijk schadelijke activiteit in gebeurtenisgegevens te identificeren.
  • Het detecteren van bedreigingen via analyse van gebeurtenisgegevens op basis van aanvalshandtekeningen die worden gegenereerd door het beveiligingsonderzoek van Microsoft.
  • Het automatiseren van het antwoord op incidenten met bekende kenmerken met behulp van beveiligingsplaybooks.

Sentinel bevat ingebouwde werkmappen die helpen bij de analyse van gegevens en aanbevelingen voor u kunnen bieden. U kunt vervolgens snel inzicht krijgen over verdachte beveiligingstelemetrie in plaats van deze te moeten doornemen om de betekenis ervan te begrijpen. U kunt ook aangepaste werkmappen importeren of gebruiken op basis van de ervaringen van andere beveiligingsonderzoekers die effectieve methoden voor de analyse van beveiligingstelemetrie hebben ontdekt, die afwijken van de methoden die deel uitmaken van Sentinel.

Tailwind Traders gebruikt momenteel een on-premises SIEM-systeem waarmee gebeurtenislogboekgegevens van verschillende computers en apparaten worden verzameld en geanalyseerd. Hoewel dit SIEM-systeem voldoende was toen Tailwind Traders slechts een on-premises implementatie had, kan Tailwind Traders met microsoft Sentinel deze capaciteit uitbreiden naar de hybride cloud.

Ook is de kans groot dat Tailwind Traders zijn bestaande SIEM-oplossing zal kunnen verbinden met Sentinel. Deze verbinding biedt het bedrijf de voordelen van de kunstmatige intelligentie en deep learning van Sentinel, zonder hun bestaande on-premises configuratie aanzienlijk te hoeven aanpassen.

Wat is Azure Automation-updatebeheer?

Met Azure Automation Update Management kunt u de updates voor uw on-premises en cloudserverbesturingssystemen beheren met behulp van één console in de cloud. Update Management werkt met Microsoft Windows Server-workloads en met workloads op ondersteunde Linux-besturingssystemen die fysiek en virtueel worden uitgevoerd.

Update Management kan Microsoft Update of Windows Server Update Services (WSUS) gebruiken als een bron van updates voor Windows-serverbesturingssystemen. Updatebeheer kan ook een openbare of aangepaste Linux-pakketopslagplaats gebruiken voor updates van het Linux-besturingssysteem. Met Update Management kunt u bepalen welke updates momenteel ontbreken op de geregistreerde besturingssystemen.

In het onderstaande diagram ziet u hoe Updatebeheer kan worden geïntegreerd met Azure Automation en Log Analytics-werkruimten.

Diagram that shows a collection of on-premises and Azure VMs connecting to Azure Automation runbooks, Log Analytics workspaces, and Automation Hybrid Worker solutions over TCP port 443 in a hybrid Update Management architecture.

Wanneer u een update-implementatie configureert, geeft u het volgende op:

  • Of de update-implementatie op Windows- of Linux-computers is gericht. U kunt deze niet op beide typen tegelijk richten.
  • De specifieke geregistreerde servers waarop u de implementatie wilt richten.
  • De updateclassificeringen die moeten worden geïnstalleerd.
  • Of specifieke updates moet worden opgenomen of uitgesloten.
  • De planning voor de implementatie, inclusief of de implementatie periodiek moet worden uitgevoerd.
  • Eventuele scripts vóór en na de update die moeten worden uitgevoerd.
  • De maximale duur van de onderhoudsperiode, waarbij de laatste 20 minuten van die periode moeten worden gebruikt voor het opnieuw opstarten van het systeem.
  • Opties voor opnieuw opstarten waarmee wordt bepaald of het systeem opnieuw moet worden opgestart, als dat is vereist voor het voltooien van de installatie van updates.

Tailwind Traders gebruikt momenteel WSUS en andere hulpprogramma's om de updates voor hun on-premises Windows- en Linux-besturingssystemen te beheren. Door het configureren van zijn workloads van het besturingssysteem voor virtuele IaaS-machines (zowel on-premises als in de cloud) om verbinding te maken met Azure Software Update, kan Tailwind Traders ervoor zorgen dat alle besturingssystemen waarop kritieke workloads worden gehost, up-to-date blijven.

Test uw kennis

1.

Tailwind Traders wil ervoor zorgen dat een testgroep van Windows- en Linux-servers automatisch updates krijgt wanneer ze elke week worden gepubliceerd. Daarnaast wil het bedrijf dat de productiegroepen van Windows- en Linux-servers slechts eenmaal per maand updates krijgen, nadat bekend is dat deze geen problemen opleveren op testgroepservers. Hoeveel update-implementaties moeten worden geconfigureerd om ondersteuning te bieden voor dit plan?

2.

Welke van de volgende hybride beveiligingstechnologieën kan door Tailwind Traders worden gebruikt voor het evalueren van de beveiligingsconfiguratie van on-premises servers en virtuele IaaS-machines waarop het Windows Server 2019-besturingssysteem uitgevoerd?