Segurança em ambientes de cloud híbrida

  • 10 minutos

A Tailwind Traders planeia adotar uma postura de cloud híbrida. Esta mudança tornará o seu ambiente mais complicado do que era quando as cargas de trabalho eram implementadas apenas no local. Além disso, a configuração de segurança e a telemetria destas cargas de trabalho serão cada vez mais complexas.

Nesta unidade, irá saber como a Tailwind Traders pode monitorizar a configuração das suas cargas de trabalho no local e na cloud e ser alertada sobre qualquer atividade suspeita. Também irá saber como a Tailwind Traders pode otimizar as atualizações nos seus sistemas operativos de servidor na cloud e no local.

O que é o Microsoft Defender for Cloud?

O Microsoft Defender for Cloud permite avaliar a configuração de segurança de várias cargas de trabalho. Você pode usar o Microsoft Defender for Cloud para:

  • Implementar melhores práticas de segurança em infraestrutura como um serviço (IaaS), plataforma como serviço (PaaS), dados e recursos no local.
  • Acompanhar a conformidade da configuração de segurança em relação às normas regulamentares.
  • Proteger os dados ao identificar atividades suspeitas, como padrões associados à transferência de dados não autorizada.
  • Classificar os dados alojados em bases de dados SQL.

Em ambientes híbridos, o Defender for Cloud pode ser integrado ao agente do Log Analytics para coletar eventos de log de eventos, telemetria de rastreamento de eventos e arquivos de despejo de falhas. O Defender for Cloud pode então realizar uma análise desses dados para fazer recomendações ou gerar alertas que podem ser encaminhados para o sistema de Gerenciamento de Incidentes e Eventos de Segurança (SIEM) de uma organização.

Atualmente, a Tailwind Traders utiliza várias ferramentas para avaliar se a configuração de segurança das suas cargas de trabalho do Windows Server e do Linux está em conformidade com os padrões de terceiros publicados. Ao adotar o Microsoft Defender for Cloud, a Tailwind Traders será capaz de monitorar e remediar a configuração de segurança de seus sistemas operacionais de servidor no local e sua crescente implantação de cargas de trabalho na nuvem à medida que adota mais tecnologias híbridas.

O que é o Microsoft Sentinel?

O Microsoft Sentinel permite que organizações com soluções de nuvem híbrida ingeram telemetria a partir de logs de eventos de segurança para o local e para a nuvem. O Microsoft Sentinel é um SIEM e uma solução SOAR (Security Orchestration, Automation and Response).

As soluções SIEM armazenam e analisam dados de registo e telemetria de eventos que ingerem de origens externas. O Microsoft Sentinel suporta a ingestão de dados de locais de nuvem locais, do Azure e de terceiros, incluindo de outros sistemas SIEM. As soluções SOAR permitem orquestrar a análise de dados. Ajudam a criar uma resposta automatizada a ameaças conhecidas.

A imagem a seguir mostra uma arquitetura híbrida do Sentinel.

Diagram that shows log telemetry for on-premises workloads and workloads in third-party clouds forwarded to Microsoft Defender for Cloud and Microsoft Sentinel.

O Microsoft Sentinel pode executar as seguintes tarefas quando oferece suporte a ambientes híbridos:

  • Recolher dados de utilizadores, dispositivos, aplicações e infraestruturas baseados na cloud e no local.
  • Utilizar a IA e a aprendizagem profunda para identificar atividades potencialmente maliciosas em dados de eventos.
  • Detetar ameaças através da análise de dados de eventos com base em assinaturas de ataque geradas pela pesquisa de segurança da Microsoft.
  • Automatizar a resposta a incidentes com características conhecidas através de manuais de procedimentos de segurança.

O Sentinel inclui livros incorporados que auxiliam na análise de dados e podem fornecer recomendações. Isto permite que compreenda rapidamente a telemetria de segurança suspeita em vez de ter de a percorrer para tentar compreender o seu significado. Pode também importar ou utilizar livros personalizados com base nas experiências de outros investigadores de segurança que encontraram métodos eficazes de análise de telemetria de segurança que diferem dos que estão incluídos no Sentinel.

Atualmente, a Tailwind Traders tem um sistema SIEM no local que recolhe e analisa dados de registo de eventos a partir de vários computadores e dispositivos. Embora esse sistema SIEM fosse adequado quando a Tailwind Traders tinha apenas uma implantação local, a adoção do Microsoft Sentinel permitirá que a Tailwind Traders estenda essa capacidade para sua nuvem híbrida.

Também é provável que a Tailwind Traders ligue a sua solução SIEM existente ao Sentinel. Esta ligação proporcionará à empresa os benefícios da IA e da aprendizagem profunda do Sentinel sem ser necessário modificar substancialmente a sua configuração existente no local.

O que é o Azure Automation Update Management?

O Azure Automation Update Management permite-lhe gerir as atualizações para os seus sistemas operativos de servidor no local e na nuvem utilizando uma única consola na nuvem. A Gestão de Atualizações trabalha com as cargas de trabalho do Microsoft Windows Server e com as cargas de trabalho suportadas do sistema operativo Linux em execução física e virtualmente.

A Gestão de Atualizações pode utilizar o Microsoft Update ou os Windows Server Update Services (WSUS) como uma origem de atualizações para sistemas operativos Windows Server. A Gestão de Atualizações também pode utilizar um repositório de pacotes do Linux público ou personalizado para atualizações do sistema operativo Linux. A Gestão de Atualizações permite que determine quais as atualizações atualmente em falta em sistemas operativos registados.

O diagrama a seguir mostra como a Gestão de Atualizações se integra com a Automatização do Azure e com as áreas de trabalho do Log Analytics.

Diagram that shows a collection of on-premises and Azure VMs connecting to Azure Automation runbooks, Log Analytics workspaces, and Automation Hybrid Worker solutions over TCP port 443 in a hybrid Update Management architecture.

Ao configurar uma implementação de atualização, especifica:

  • Se a implementação da atualização se destina a computadores Windows ou Linux. Não pode visar os dois tipos ao mesmo tempo.
  • Os servidores registados específicos que pretende visar com a implementação.
  • As classificações de atualização que devem ser instaladas.
  • Se as atualizações específicas devem ser incluídas ou excluídas.
  • O agendamento da implementação, incluindo se a implementação deve ocorrer periodicamente.
  • Todos os scripts de pré-atualização e pós-atualização que devem ser executados.
  • O comprimento máximo da janela de manutenção, com os últimos 20 minutos da janela dedicados à reinicialização do sistema.
  • Opções de reinicialização que determinam se o sistema deve ser reiniciado, se necessário, para que as atualizações concluam a instalação.

Atualmente, a Tailwind Traders utiliza o WSUS e outras ferramentas para gerir as atualizações nos sistemas operativos Windows e Linux no local. Ao configurar as suas cargas de trabalho de sistema operativo para máquinas virtuais IaaS (no local e na cloud) para que estas se liguem à Atualização de Software do Azure, a Tailwind Traders consegue garantir que todos os sistemas operativos que alojam cargas de trabalho críticas permanecem atualizados.

Verifique o seu conhecimento

1.

A Tailwind Traders quer garantir que um grupo de teste de servidores Windows e Linux é atualizado automaticamente à medida que são publicados a cada semana. Além disso, a empresa quer que os grupos de produção de servidores Windows e Linux obtenham atualizações apenas uma vez por mês, depois de se saber que estas não causam problemas em servidores do grupo de teste. Quantas implementações de atualizações precisam de ser configuradas para suportar este plano?

2.

Qual das tecnologias de segurança híbridas a seguir pode ser utilizada pela Tailwind Traders para avaliar a configuração de segurança de servidores no local e de VMs IaaS que executam o sistema operativo Windows Server 2019?