Compartilhar via


Considerações de segurança para cargas de trabalho sustentáveis no Azure

A criação de cargas de trabalho sustentáveis no Azure deve abranger a segurança, que é um princípio fundamental em todas as fases de um projeto. Saiba mais sobre considerações e recomendações que levam a uma postura de segurança mais sustentável.

Importante

Este artigo faz parte da série de cargas de trabalho sustentáveis do Azure Well-Architected . Se você não estiver familiarizado com esta série, recomendamos começar com o que é uma carga de trabalho sustentável?

Monitoramento de segurança

Use soluções de monitoramento de segurança nativa de nuvem para otimizar a sustentabilidade.

Usar métodos de coleta de log nativos de nuvem quando aplicável

Tradicionalmente, os métodos de coleta de logs para ingestão em uma solução SIEM (Gerenciamento de Eventos e Informações de Segurança) exigiam o uso de um recurso intermediário para coletar, analisar, filtrar e transmitir logs para o sistema de coleta central. O uso desse design pode levar a uma sobrecarga com mais infraestrutura e custos financeiros e relacionados ao carbono associados.

Alinhamento do Green Software Foundation: eficiência de hardware, eficiência energética

Recomendação:

  • O uso de conectores de serviço a serviço nativos de nuvem simplifica a integração entre os serviços e o SIEM e remove a sobrecarga de infraestrutura extra.
  • É possível ingerir dados de log de recursos de computação existentes usando agentes implantados anteriormente, como o agente de Análise do Azure Monitor. Examine como migrar para o agente do Azure Monitor do agente do Log Analytics.
  • Considere essa compensação: a implantação de mais agentes de monitoramento aumentará a sobrecarga no processamento, pois precisa de mais recursos de computação. Projete e planeje cuidadosamente a quantidade de informações necessárias para abranger os requisitos de segurança da solução e encontrar um nível adequado de informações para armazenar e manter.

Evite transferir grandes conjuntos de dados não filtrados de um provedor de serviços de nuvem para outro

As soluções SIEM convencionais exigiam que todos os dados de log fossem ingeridos e armazenados em um local centralizado. Em um ambiente multinuvem, essa solução pode levar a uma grande quantidade de dados sendo transferidos para fora de um serviço de nuvem e para outro, causando maior carga na infraestrutura de rede e armazenamento.

Alinhamento da Green Software Foundation: eficiência de carbono, eficiência energética

Recomendação:

  • Os serviços de segurança nativa de nuvem podem executar a análise localizada na fonte de dados de segurança relevante. Essa análise permite que a maior parte dos dados de log permaneça dentro do ambiente do provedor de serviços de nuvem de origem. As soluções SIEM nativas de nuvem podem ser conectadas por meio de uma API ou conector a esses serviços de segurança para transmitir apenas os dados relevantes de eventos ou incidentes de segurança. Essa solução pode reduzir consideravelmente a quantidade de dados transferidos, mantendo um alto nível de informações de segurança para responder a um incidente.

Com o tempo, o uso da abordagem descrita ajuda a reduzir a saída de dados e os custos de armazenamento, o que inerentemente ajuda a reduzir as emissões.

Filtrar ou excluir fontes de log antes da transmissão ou ingestão em um SIEM

Considere a complexidade e o custo de armazenar todos os logs de todas as fontes possíveis. Por exemplo, aplicativos, servidores, diagnóstico e atividade de plataforma.

Alinhamento da Green Software Foundation: eficiência de carbono, eficiência energética

Recomendação:

  • Ao criar uma estratégia de coleta de logs para soluções SIEM nativas de nuvem, considere os casos de uso com base nas regras de análise do Microsoft Sentinel necessárias para seu ambiente e corresponda às fontes de log necessárias para dar suporte a essas regras.
  • Essa opção pode ajudar a remover a transmissão desnecessária e o armazenamento de dados de log, reduzindo as emissões de carbono no ambiente.

Arquivar dados de log no armazenamento de longo prazo

Muitos clientes têm o requisito de armazenar dados de log por um longo período devido a motivos de conformidade regulatória. Nesses casos, armazenar dados de log no local de armazenamento primário do sistema SIEM é uma solução dispendiosa.

Alinhamento do Green Software Foundation: eficiência energética

Recomendação:

Arquitetura de rede

Aumente a eficiência e evite o tráfego desnecessário seguindo as boas práticas para arquiteturas de segurança de rede.

Usar controles de segurança de rede nativos de nuvem para eliminar o tráfego de rede desnecessário

Quando você usa um design centralizado de roteamento e firewall, todo o tráfego de rede é enviado ao hub para inspeção, filtragem e roteamento posterior. Embora essa abordagem centralize a imposição da política, ela pode criar uma sobrecarga na rede de tráfego desnecessário dos recursos de origem.

Alinhamento do Green Software Foundation: eficiência de hardware, eficiência energética

Recomendação:

  • Use grupos de segurança de rede e grupos de segurança de aplicativo para ajudar a filtrar o tráfego na origem e remover a transmissão de dados desnecessária. O uso desses recursos pode ajudar a reduzir a carga sobre a infraestrutura de nuvem, com requisitos de largura de banda mais baixos e menos infraestrutura para possuir e gerenciar.

Minimizar o roteamento de pontos de extremidade para o destino

Em muitos ambientes de cliente, especialmente em implantações híbridas, todo o tráfego de rede do dispositivo do usuário final é roteado por meio de sistemas locais antes de ter permissão para acessar a Internet. Normalmente, isso ocorre devido ao requisito de inspecionar todo o tráfego da Internet. Geralmente, isso requer dispositivos de segurança de rede de maior capacidade no ambiente local ou mais dispositivos dentro do ambiente de nuvem.

Alinhamento do Green Software Foundation: eficiência energética

Recomendação:

  • Minimize o roteamento de pontos de extremidade para o destino.
    • Sempre que possível, os dispositivos de usuário final devem ser otimizados para dividir o tráfego conhecido diretamente para os serviços de nuvem , enquanto continuam a rotear e inspecionar o tráfego para todos os outros destinos. Aproximar esses recursos e políticas do dispositivo do usuário final impede o tráfego de rede desnecessário e sua sobrecarga associada.

Usar ferramentas de segurança de rede com recursos de dimensionamento automático

Com base no tráfego de rede, haverá momentos em que a demanda da dispositivo de segurança será alta e outras vezes em que ela será menor. Muitos dispositivos de segurança de rede são implantados em uma escala para lidar com a demanda mais alta esperada, levando a ineficiências. Além disso, a reconfiguração dessas ferramentas geralmente requer uma reinicialização que leva a um tempo de inatividade e sobrecarga de gerenciamento inaceitáveis.

Alinhamento do Green Software Foundation: eficiência de hardware

Recomendação:

Avaliar se o término do TLS deve ser usado

Encerrar e restabelecer o TLS é um consumo de CPU que pode ser desnecessário em determinadas arquiteturas.

Alinhamento do Green Software Foundation: eficiência energética

Recomendação:

  • Considere se você pode encerrar o TLS no gateway de borda e continuar sem o TLS no balanceador de carga de trabalho e na carga de trabalho.
  • Examine as informações sobre a terminação TLS para entender melhor o impacto de desempenho e utilização que ele oferece.
  • Considere a compensação: um nível equilibrado de segurança pode oferecer uma carga de trabalho mais sustentável e eficiente em termos de energia, enquanto um nível mais alto de segurança pode aumentar os requisitos de recursos de computação.

Usar a proteção contra DDoS

Os ataques de DDoS (negação de serviço distribuído) visam interromper os sistemas operacionais sobrecarregando-os, criando um impacto significativo nos recursos na nuvem. Ataques bem-sucedidos inundam a rede e os recursos de computação, levando a um aumento desnecessário no uso e no custo.

Alinhamento do Green Software Foundation: eficiência energética, eficiência de hardware

Recomendação:

  • A proteção contra DDoS busca mitigar ataques em uma camada abstrata, de modo que o ataque seja mitigado antes de atingir qualquer serviço operado pelo cliente.
    • Mitigar qualquer uso mal-intencionado de serviços de computação e rede ajudará a reduzir as emissões desnecessárias de carbono.

Segurança do ponto de extremidade

É fundamental que protejamos nossas cargas de trabalho e soluções na nuvem. Entender como podemos otimizar nossas táticas de mitigação até os dispositivos cliente pode ter um resultado positivo para reduzir as emissões.

Integrar Microsoft Defender para Ponto de Extremidade

Muitos ataques à infraestrutura de nuvem buscam usar indevidamente os recursos implantados para o ganho direto do invasor. Dois desses casos de uso indevido são botnets e mineração de criptografia.

Esses dois casos envolvem assumir o controle dos recursos de computação operados pelo cliente e usá-los para criar novas moedas de criptomoeda ou como uma rede de recursos dos quais iniciar uma ação secundária, como um ataque de DDoS ou campanhas de spam de email em massa.

Alinhamento do Green Software Foundation: eficiência de hardware

Recomendações:

  • Integre Microsoft Defender para Ponto de Extremidade ao Defender para Nuvem para identificar e desligar a mineração de criptografia e botnets.
    • Os recursos de EDR fornecem detecções avançadas de ataque e são capazes de executar ações de resposta para corrigir essas ameaças. O uso desnecessário de recursos criado por esses ataques comuns pode ser rapidamente descoberto e corrigido, muitas vezes sem a intervenção de um analista de segurança.

Relatórios

Obter as informações e insights certos no momento certo é importante para produzir relatórios sobre as emissões de seus dispositivos de segurança.

Marcar recursos de segurança

Pode ser um desafio encontrar e relatar rapidamente todos os dispositivos de segurança em seu locatário. Identificar os recursos de segurança pode ajudar ao criar uma estratégia para um modelo operacional mais sustentável para sua empresa.

Alinhamento do Green Software Foundation: medindo a sustentabilidade

Recomendação:

  • Marque recursos de segurança para registrar o impacto das emissões dos recursos de segurança.

Próxima etapa

Examine os princípios de design para sustentabilidade.