Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Проектирование устойчивых рабочих нагрузок в Azure должно охватывать безопасность, которая является основным принципом на всех этапах проекта. Узнайте о соображениях и рекомендациях, которые ведут к более устойчивой стратегии безопасности.
Это важно
Эта статья является частью серии устойчивых рабочих нагрузок Azure Well-Architected . Если вы не знакомы с этой серией, рекомендуем начать с того, что такое устойчивая рабочая нагрузка?
Мониторинг безопасности
Используйте решения для мониторинга безопасности в облаке для оптимизации устойчивости.
Использование методов сбора собственных журналов в облаке, где применимо
Традиционно методы сбора журналов для приема в решение "Информация безопасности и управление событиями" (SIEM) требуют использования промежуточного ресурса для сбора, анализа, фильтрации и передачи журналов в центральную систему сбора данных. Использование этой конструкции может привести к накладным расходам из-за необходимости более масштабной инфраструктуры и связанных с ней финансовых и углеродных затрат.
Согласование с Зеленым программным фондом: эффективность оборудования, энергоэффективность
Рекомендация:
- Использование нативных облачных соединителей для связи служб упрощает интеграцию между службами и SIEM, а также избавляет от необходимости в дополнительной инфраструктуре.
- Вы можете получить данные журнала из существующих вычислительных ресурсов с помощью ранее развернутых агентов, таких как агент Azure Monitor Analytics. Узнайте, как перейти к агенту Azure Monitor из агента Log Analytics.
- Рассмотрим этот компромисс. Развертывание дополнительных агентов мониторинга увеличит затраты на обработку, так как ей требуется больше вычислительных ресурсов. Тщательно разрабатывайте и планируйте, сколько информации необходимо для удовлетворения требований безопасности решения и определения подходящего уровня информации для хранения.
- Возможное решение для уменьшения ненужных сборов данных заключается в том, чтобы полагаться на правила сбора данных Azure Monitor (DCR).
Избегайте передачи больших нефильтрованных наборов данных из одного поставщика облачных служб в другой
Обычные решения SIEM требуют приема и хранения всех данных журнала в централизованном расположении. В многооблачной среде это решение может привести к большому объему передаваемых данных из облачной службы и в другую, что приводит к увеличению нагрузки на инфраструктуру сети и хранилища.
Выравнивание Green Software Foundation: Углеродоэффективность, Энергоэффективность
Рекомендация:
- Облачные собственные службы безопасности могут выполнять локализованный анализ соответствующих источников данных безопасности. Этот анализ позволяет массовому объему данных журнала оставаться в исходной среде поставщика облачных служб. Облачные собственные решения SIEM можно подключить через API или соединитель к этим службам безопасности для передачи только соответствующих инцидентов безопасности или данных событий. Это решение может значительно сократить объем передаваемых данных, сохраняя высокий уровень информации безопасности для реагирования на инцидент.
Вовремя использование описанного подхода помогает сократить исходящие данные и затраты на хранение, которые по своей сути помогают сократить выбросы.
Фильтрация или исключение источников журналов перед передачей или приемом в SIEM
Рассмотрим сложность и стоимость хранения всех журналов из всех возможных источников. Например, приложения, серверы, диагностика и активность платформы.
Выравнивание Green Software Foundation: Углеродоэффективность, Энергоэффективность
Рекомендация:
- При разработке стратегии сбора журналов для облачных решений SIEM следует учитывать варианты использования, основанные на правилах аналитики Microsoft Sentinel , необходимых для вашей среды, и сопоставить необходимые источники журналов для поддержки этих правил.
- Этот параметр может помочь удалить ненужные передачи и хранение данных журнала, уменьшая выбросы углерода в окружающей среде.
Архивирование данных журнала в долгосрочное хранилище
Многие клиенты должны хранить данные журнала в течение длительного периода из-за причин соответствия нормативным требованиям. В этих случаях хранение данных журнала в основном расположении хранилища системы SIEM является дорогостоящим решением.
Совместимость с принципами Green Software Foundation: энергоэффективность
Рекомендация:
- Данные журнала можно переместить в более дешевый вариант долгосрочного хранения , который учитывает политики хранения клиента, но снижает затраты, используя отдельные расположения хранилища.
Сетевая архитектура
Увеличьте эффективность и избежать ненужных трафика, следуя рекомендациям по архитектуре безопасности сети.
Использование средств управления безопасностью сети в облаке для устранения ненужных сетевых трафика
При использовании централизованной структуры маршрутизации и брандмауэра весь сетевой трафик отправляется в центр для проверки, фильтрации и маршрутизации. Несмотря на то, что этот подход централизует исполнение политики, он может привести к избыточной нагрузке на сеть из-за ненужного трафика от исходных ресурсов.
Согласование с Зеленым программным фондом: эффективность оборудования, энергоэффективность
Рекомендация:
- Используйте группы безопасности сети и группы безопасности приложений , чтобы фильтровать трафик в источнике и удалять ненужные передачи данных. Использование этих возможностей может помочь снизить нагрузку на облачную инфраструктуру, с меньшими требованиями к пропускной способности и меньшей инфраструктурой для владения и управления ими.
Минимизация маршрутизации от конечных точек до назначения
Во многих клиентских средах, особенно в гибридных развертываниях, весь сетевой трафик устройства конечного пользователя направляется через локальные системы, прежде чем разрешить доступ к Интернету. Как правило, это происходит из-за требования к проверке всего интернет-трафика. Часто это требует более высокого уровня емкости сетевых устройств в локальной среде или нескольких устройств в облачной среде.
Совместимость с принципами Green Software Foundation: энергоэффективность
Рекомендация:
- Свести к минимуму маршрутизацию с конечных точек в место назначения.
- По возможности устройства конечных пользователей должны быть оптимизированы для разделения известного трафика непосредственно в облачные службы , продолжая маршрутизировать и проверять трафик для всех остальных направлений. Приведение этих возможностей и политик ближе к устройству конечного пользователя предотвращает ненужный сетевой трафик и связанные с ней издержки.
Использование средств безопасности сети с возможностями автоматического масштабирования
Исходя из сетевого трафика, будут периоды, когда спрос на устройство безопасности возрастёт, а в другие периоды он уменьшится. Многие устройства безопасности сети масштабируются для того, чтобы справиться с наибольшим ожидаемым спросом, что способствует возникновению неэффективности. Кроме того, перенастройка этих средств часто требует перезагрузки, что приводит к неприемлемым простоям и затратам на управление.
Соответствие Green Software Foundation: эффективность оборудования
Рекомендация:
- Использование автоматического масштабирования позволяет правильно настраивать ресурсы серверной части для удовлетворения спроса без ручного вмешательства.
- Этот подход значительно сокращает время реагирования на изменения сетевого трафика, что приводит к снижению объема ненужных ресурсов и повышает эффективность устойчивого развития.
- Дополнительные сведения о соответствующих службах см. в руководстве по включению брандмауэра веб-приложений (WAF) в шлюзе приложений и развертывании и настройке брандмауэра Azure Premium.
Оцените, следует ли использовать разрыв TLS-соединения.
Завершение и повторная установка TLS — это потребление ЦП, которое может быть ненужным в определенных архитектурах.
Совместимость с принципами Green Software Foundation: энергоэффективность
Рекомендация:
- Рассмотрите возможность завершения обработки TLS на пограничном шлюзе и далее переключиться на соединение без TLS к балансировщику нагрузки, а затем к рабочей нагрузке.
- Просмотрите сведения о завершении сессии TLS, чтобы лучше понять влияние на производительность и использование.
- Рассмотрим компромисс: сбалансированный уровень безопасности может предложить более устойчивую и энергетическую рабочую нагрузку, а более высокий уровень безопасности может увеличить требования к вычислительным ресурсам.
Использование защиты от атак DDoS
Распределенные атаки типа "отказ в обслуживании" (DDoS) направлены на нарушение операционных систем, подавляя их, создавая значительное влияние на ресурсы в облаке. Успешные атаки затопляют сеть и вычислительные ресурсы, что приводит к ненужному увеличению использования и затрат.
Соответствие Green Software Foundation: энергоэффективность, эффективность оборудования
Рекомендация:
- Защита от атак DDoS стремится смягчить атаки на абстрактном уровне, чтобы атака была смягчена до достижения клиентских служб.
- Устранение вредоносных операций использования вычислительных ресурсов и сетевых служб в конечном итоге поможет сократить ненужные выбросы углерода.
Безопасность конечных точек
Очень важно обеспечить безопасность рабочих нагрузок и решений в облаке. Понимание того, как мы можем оптимизировать тактику устранения рисков вплоть до клиентских устройств, может иметь положительный результат для снижения выбросов.
Интеграция Microsoft Defender для конечной точки
Многие атаки на облачную инфраструктуру стремятся использовать развернутые ресурсы для прямой выгоды злоумышленника. Два таких случаев неправильного использования — ботнеты и криптографический анализ.
Оба из этих случаев включают контроль над вычислительными ресурсами, управляемыми клиентом, и использовать их для создания новых монет криптовалют или в качестве сети ресурсов, из которых следует запустить вторичные действия, такие как атака DDoS, или массовую кампанию нежелательной почты.
Соответствие Green Software Foundation: эффективность оборудования
Рекомендации.
- Интегрируйте Microsoft Defender для конечной точки с Defender для облака, чтобы выявлять и останавливать криптомайнинг и ботнеты.
- Возможности EDR обеспечивают расширенные обнаружения атак и могут принимать меры реагирования для устранения этих угроз. Ненужные ресурсы, созданные этими общими атаками, можно быстро обнаруживать и устранять без вмешательства аналитика безопасности.
Отчётность
Получение правильной информации и аналитических сведений в нужное время важно для создания отчетов о выбросах от ваших устройств безопасности.
Теги ресурсов безопасности
Это может быть проблема, чтобы быстро найти и сообщить обо всех устройствах безопасности в вашем клиенте. Определение ресурсов безопасности может помочь при разработке стратегии для более устойчивой операционной модели для вашего бизнеса.
Выравнивание Green Software Foundation: оценка устойчивого развития
Рекомендация:
- Отметьте ресурсы безопасности для фиксации влияния этих ресурсов на выбросы.
Следующий шаг
Ознакомьтесь с рекомендациями по проектированию устойчивых рабочих нагрузок ИИ.