Вопросы безопасности для устойчивых рабочих нагрузок в Azure
Проектирование устойчивых рабочих нагрузок в Azure должно охватывать безопасность, которая является основополагающим принципом на всех этапах проекта. Узнайте о рекомендациях и рекомендациях, которые повысят устойчивость системы безопасности.
Важно!
Эта статья входит в серию устойчивых рабочих нагрузок Azure Well-Architected . Если вы не знакомы с этой серией, рекомендуем начать с того, что такое устойчивая рабочая нагрузка?
Мониторинг безопасности
Используйте собственные облачные решения для мониторинга безопасности для оптимизации для обеспечения устойчивости.
Используйте собственные облачные методы сбора журналов, если это применимо
Традиционно методы сбора журналов для приема в решение siem требуют использования промежуточного ресурса для сбора, анализа, фильтрации и передачи журналов в центральную систему сбора данных. Использование этой конструкции может нести накладные расходы с дополнительными инфраструктурой и связанными с ней финансовыми и углеродными расходами.
Выравнивание green Software Foundation: эффективность оборудования, энергоэффективность
Рекомендация.
- Использование собственных облачных соединителей между службами упрощает интеграцию между службами и SIEM и устраняет накладные расходы на дополнительную инфраструктуру.
- Можно принимать данные журнала из существующих вычислительных ресурсов с помощью ранее развернутых агентов, таких как агент Azure Monitor Analytics. Узнайте, как перейти на агент Azure Monitor из агента Log Analytics.
- Рассмотрите этот компромисс: развертывание дополнительных агентов мониторинга увеличит затраты на обработку, так как ей требуется больше вычислительных ресурсов. Тщательно спроектируйте и спланируйте объем информации, необходимой для удовлетворения требований к безопасности решения, и найдите подходящий уровень информации для хранения и хранения.
- Возможное решение для сокращения сбора ненужных данных — использовать правила сбора данных Azure Monitor (DCR).
Избегайте передачи больших неотфильтрованных наборов данных от одного поставщика облачных служб другому
Для обычных решений SIEM все данные журнала должны приниматься и храниться в централизованном расположении. В многооблачной среде это решение может привести к передаче большого объема данных из облачной службы и в другую, что приведет к увеличению нагрузки на сеть и инфраструктуру хранилища.
Выравнивание green Software Foundation: Углеродная эффективность, Энергоэффективность
Рекомендация.
- Облачные собственные службы безопасности могут выполнять локализованный анализ соответствующего источника данных безопасности. Этот анализ позволяет сохранить большую часть данных журнала в исходной среде поставщика облачных служб. Собственные облачные решения SIEM можно подключить через API или соединитель к этим службам безопасности для передачи только соответствующих данных об инциденте безопасности или событии. Это решение может значительно сократить объем передаваемых данных, сохраняя при этом высокий уровень информации о безопасности для реагирования на инцидент.
Со временем использование описанного подхода помогает сократить исходящий трафик данных и затраты на хранение, что по своей сути помогает сократить выбросы.
Фильтрация или исключение источников журналов перед передачей или приемом в SIEM
Учитывайте сложность и стоимость хранения всех журналов из всех возможных источников. Например, приложения, серверы, диагностика и активность платформы.
Выравнивание green Software Foundation: Углеродная эффективность, Энергоэффективность
Рекомендация.
- При разработке стратегии сбора журналов для облачных решений SIEM учитывайте варианты использования на основе правил аналитики Microsoft Sentinel, необходимых для вашей среды, и сопоставляйте необходимые источники журналов для поддержки этих правил.
- Этот вариант может помочь устранить ненужную передачу и хранение данных журналов, сокращая выбросы углерода в окружающую среду.
Архивация данных журнала в долгосрочное хранилище
Многие клиенты должны хранить данные журнала в течение длительного периода из-за нормативных требований. В таких случаях хранение данных журнала в основном расположении хранилища системы SIEM является дорогостоящим решением.
Выравнивание green Software Foundation: энергоэффективность
Рекомендация.
- Данные журнала можно переместить в более дешевый вариант долгосрочного хранения , который учитывает политики хранения клиента, но снижает затраты за счет использования отдельных расположений хранения.
Сетевая архитектура
Повысьте эффективность и избежать ненужного трафика, следуя рекомендациям по архитектуре сетевой безопасности.
Использование собственных средств управления сетевой безопасностью облака для устранения ненужного сетевого трафика
При использовании централизованной маршрутизации и брандмауэра весь сетевой трафик отправляется в концентратор для проверки, фильтрации и маршрутизации. Хотя этот подход централизует принудительное применение политики, он может создать накладные расходы на сеть, связанные с ненужным трафиком от исходных ресурсов.
Выравнивание green Software Foundation: эффективность оборудования, энергоэффективность
Рекомендация.
- Используйте группы безопасности сети и группы безопасности приложений , чтобы фильтровать трафик в источнике и удалять ненужные данные. Использование этих возможностей может помочь снизить нагрузку на облачную инфраструктуру с более низкими требованиями к пропускной способности и меньшей инфраструктурой для владения и управления.
Минимизация маршрутизации от конечных точек к месту назначения
Во многих клиентских средах, особенно в гибридных развертываниях, весь сетевой трафик конечных пользователей устройств направляется через локальные системы, прежде чем ему будет разрешен доступ к Интернету. Обычно это происходит из-за необходимости проверить весь интернет-трафик. Часто для этого требуются устройства безопасности сети более высокой емкости в локальной среде или больше устройств в облачной среде.
Выравнивание green Software Foundation: энергоэффективность
Рекомендация.
- Сведите к минимуму маршрутизацию от конечных точек к месту назначения.
- По возможности устройства конечных пользователей должны быть оптимизированы для разделения известного трафика непосредственно в облачные службы , продолжая маршрутизировать и проверять трафик для всех остальных направлений. Приближение этих возможностей и политик к устройству пользователя позволяет предотвратить ненужный сетевой трафик и связанные с ним издержки.
Использование средств сетевой безопасности с возможностями автоматического масштабирования
В зависимости от сетевого трафика могут возникнуть случаи, когда спрос на (модуль) безопасности будет высоким, а в других случаях он будет ниже. Многие устройства безопасности сети развертываются в масштабе, чтобы справиться с самым высоким ожидаемым спросом, что приводит к неэффективности. Кроме того, для перенастройки этих средств часто требуется перезагрузка, приводящая к неприемлемым простоям и издержкам на управление.
Выравнивание green Software Foundation: эффективность оборудования
Рекомендация.
- Использование автоматического масштабирования позволяет разрешить ресурсы серверной части для удовлетворения спроса без вмешательства вручную.
- Такой подход значительно сократит время реагирования на изменения сетевого трафика, что приведет к сокращению расходов ненужных ресурсов и повышению устойчивости.
- Дополнительные сведения о соответствующих службах см. в статье о том, как включить Брандмауэр веб-приложений (WAF) на Шлюз приложений, а также развернуть и настроить Брандмауэр Azure Premium.
Оценка использования завершения TLS
Завершение и восстановление TLS — это потребление ЦП, которое может быть ненужным в определенных архитектурах.
Выравнивание green Software Foundation: энергоэффективность
Рекомендация.
- Подумайте, можно ли завершить tls в пограничном шлюзе и продолжить работу с не-TLS для подсистемы балансировки нагрузки рабочей нагрузки и более поздних версий для рабочей нагрузки.
- Просмотрите сведения о завершении TLS , чтобы лучше понять влияние на производительность и использование, которое оно предлагает.
- Рассмотрите компромисс: сбалансированный уровень безопасности может обеспечить более устойчивую и энергоэффективную рабочую нагрузку, а более высокий уровень безопасности может повысить требования к вычислительным ресурсам.
Использование защиты от атак DDoS
Распределенные атаки типа "отказ в обслуживании" (DDoS) направлены на нарушение работы операционных систем, подавляя их, создавая значительное влияние на ресурсы в облаке. Успешные атаки переполняют сетевые и вычислительные ресурсы, что приводит к ненужного всплеску использования и затрат.
Выравнивание green software Foundation: энергоэффективность, эффективность оборудования
Рекомендация.
- Защита от атак DDoS направлена на устранение атак на абстрактном уровне, поэтому атака устраняется, прежде чем получить доступ к любым службам, управляемым клиентом.
- Устранение рисков любого вредоносного использования вычислительных и сетевых служб в конечном итоге поможет сократить ненужные выбросы углерода.
безопасность конечных точек.
Крайне важно обеспечить защиту рабочих нагрузок и решений в облаке. Понимание того, как мы можем оптимизировать нашу тактику устранения рисков вплоть до клиентских устройств, может иметь положительный результат для сокращения выбросов.
Интеграция Microsoft Defender для конечной точки
Многие атаки на облачную инфраструктуру направлены на неправильное использование развернутых ресурсов для прямой выгоды злоумышленника. Двумя такими случаями неправильного использования являются ботнеты и майнинг криптографии.
Оба этих случая связаны с получением контроля над управляемыми клиентом вычислительными ресурсами и их использованием либо для создания новых криптовалютных монет, либо в качестве сети ресурсов для запуска дополнительных действий, таких как атака DDoS или массовая рассылка спама по электронной почте.
Выравнивание green Software Foundation: эффективность оборудования
Рекомендации
- Интеграция Microsoft Defender для конечной точки с Defender для облака для выявления и завершения интеллектуального анализа криптографии и ботнетов.
- Возможности EDR обеспечивают расширенное обнаружение атак и позволяют принимать ответные меры для устранения этих угроз. Ненужное использование ресурсов, созданное этими распространенными атаками, можно быстро обнаружить и исправить, часто без вмешательства аналитика безопасности.
Отчеты
Получение нужной информации и аналитических сведений в нужное время важно для создания отчетов о выбросах от устройств безопасности.
Добавление тегов к ресурсам безопасности
Быстрый поиск всех устройств безопасности в клиенте и создание отчетов о нем может оказаться сложной задачей. Определение ресурсов безопасности может помочь при разработке стратегии для более устойчивой операционной модели для вашего бизнеса.
Согласование Green Software Foundation: измерение устойчивости
Рекомендация.
- Пометка ресурсов безопасности для записи влияния ресурсов безопасности на выбросы.
Следующий шаг
Ознакомьтесь с принципами проектирования для обеспечения устойчивости.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по