Azure'da sürdürülebilir iş yükleri için güvenlikle ilgili dikkat edilmesi gerekenler
Azure'da sürdürülebilir iş yüklerinin tasarlanması, bir projenin tüm aşamalarında temel bir ilke olan güvenliği içermelidir. Daha sürdürülebilir bir güvenlik duruşu sağlamak için dikkat edilmesi gerekenler ve öneriler hakkında bilgi edinin.
Önemli
Bu makale, Azure Well-Architected sürdürülebilir iş yükü serisinin bir parçasıdır. Bu seriyi bilmiyorsanız sürdürülebilir iş yükü nedir?
Güvenliği izleme
Sürdürülebilirlik için iyileştirme yapmak için bulutta yerel güvenlik izleme çözümlerini kullanın.
Uygun olduğunda bulutta yerel günlük toplama yöntemlerini kullanma
Geleneksel olarak, bir Güvenlik Bilgileri ve Olay Yönetimi (SIEM) çözümüne veri alımı için günlük toplama yöntemleri, günlükleri toplamak, ayrıştırmak, filtrelemek ve merkezi toplama sistemine iletmek için ara kaynağın kullanılmasını gerektirirdi. Bu tasarımı kullanmak, daha fazla altyapı ve ilişkili finansal ve karbonla ilgili maliyetlerle ek yük oluşturabilir.
Yeşil Yazılım Temeli hizalaması: Donanım verimliliği, Enerji verimliliği
Öneri:
- Bulutta yerel hizmet-hizmet bağlayıcılarını kullanmak, hizmetlerle SIEM arasındaki tümleştirmeyi basitleştirir ve ek altyapı yükünü ortadan kaldırır.
- Azure İzleyici Analytics aracısı gibi daha önce dağıtılan aracıları kullanarak mevcut işlem kaynaklarından günlük verilerini almak mümkündür. Log Analytics aracısından Azure İzleyici aracısına geçmeyi gözden geçirin.
- Bu dezavantajı göz önünde bulundurun: Daha fazla izleme aracısının dağıtılması, daha fazla işlem kaynağına ihtiyaç duyduğundan işlem yükünü artırır. Çözümün güvenlik gereksinimlerini karşılamak ve depolamak ve saklamak için uygun bir bilgi düzeyi bulmak için ne kadar bilgi gerektiğini dikkatle tasarlayın ve planlayın.
- Gereksiz veri toplamayı azaltmaya yönelik olası bir çözüm , Azure İzleyici Veri Toplama Kuralları'na (DCR) güvenmektir.
Filtrelenmemiş büyük veri kümelerini bir bulut hizmeti sağlayıcısından diğerine aktarmaktan kaçının
Geleneksel SIEM çözümleri, tüm günlük verilerinin alınıp merkezi bir konumda depolanmasını gerektiriyor. Çok bulutlu bir ortamda bu çözüm, bir bulut hizmetinden çok fazla miktarda verinin sağlanıp diğerine aktarılmasına neden olarak ağ ve depolama altyapısı üzerinde daha fazla yüke neden olabilir.
Green Software Foundation hizalaması: Karbon verimliliği, Enerji verimliliği
Öneri:
- Buluta özel güvenlik hizmetleri, ilgili güvenlik veri kaynağında yerelleştirilmiş analiz gerçekleştirebilir. Bu analiz, günlük verilerinin büyük bir kısmının kaynak bulut hizmeti sağlayıcısı ortamında kalmasını sağlar. Buluta özel SIEM çözümleri, yalnızca ilgili güvenlik olayı veya olay verilerini iletmek için bir API veya bağlayıcı aracılığıyla bu güvenlik hizmetlerine bağlanabilir. Bu çözüm, bir olaya yanıt vermek için yüksek düzeyde güvenlik bilgilerini korurken aktarılan veri miktarını büyük ölçüde azaltabilir.
Zaman içinde, açıklanan yaklaşımın kullanılması veri çıkışını ve depolama maliyetlerini azaltmaya yardımcı olur ve bu da doğal olarak emisyonların azaltılmasına yardımcı olur.
SIEM'e iletim veya veri alımı öncesinde günlük kaynaklarını filtreleme veya hariç tutma
Tüm olası kaynaklardan tüm günlükleri depolamanın karmaşıklığını ve maliyetini göz önünde bulundurun. Örneğin, uygulamalar, sunucular, tanılama ve platform etkinliği.
Green Software Foundation hizalaması: Karbon verimliliği, Enerji verimliliği
Öneri:
- Buluta özel SIEM çözümleri için günlük toplama stratejisi tasarlarken, ortamınız için gereken Microsoft Sentinel analiz kurallarına göre kullanım örneklerini göz önünde bulundurun ve bu kuralları desteklemek için gerekli günlük kaynaklarını eşleştirin.
- Bu seçenek, günlük verilerinin gereksiz iletimini ve depolanmasını ortadan kaldırarak ortamdaki karbon emisyonlarını azaltmaya yardımcı olabilir.
Günlük verilerini uzun vadeli depolamaya arşivle
Birçok müşteri, mevzuat uyumluluğu nedeniyle günlük verilerini uzun süre depolama gereksinimine sahiptir. Böyle durumlarda günlük verilerini SIEM sisteminin birincil depolama konumunda depolamak maliyetli bir çözümdür.
Green Software Foundation hizalaması: Enerji verimliliği
Öneri:
- Günlük verileri, müşterinin bekletme ilkelerine uygun, ancak ayrı depolama konumları kullanılarak maliyeti düşüren daha ucuz bir uzun vadeli depolama seçeneğine taşınabilir .
Ağ mimarisi
Ağ güvenlik mimarileri için iyi uygulamaları izleyerek verimliliği artırın ve gereksiz trafikten kaçının.
Gereksiz ağ trafiğini ortadan kaldırmak için bulutta yerel ağ güvenlik denetimlerini kullanma
Merkezi bir yönlendirme ve güvenlik duvarı tasarımı kullandığınızda, tüm ağ trafiği inceleme, filtreleme ve ileri yönlendirme için merkeze gönderilir. Bu yaklaşım ilke zorlamayı merkezileştirse de, kaynak kaynaklardan gelen gereksiz trafik ağında bir ek yük oluşturabilir.
Yeşil Yazılım Temeli hizalaması: Donanım verimliliği, Enerji verimliliği
Öneri:
- Kaynakta trafiği filtrelemeye yardımcı olmak ve gereksiz veri iletimini kaldırmak için Ağ güvenlik gruplarını ve Uygulama güvenlik gruplarını kullanın. Bu özelliklerin kullanılması, daha düşük bant genişliği gereksinimleri ve sahip olunacak ve yönetilmesi gereken daha az altyapı ile bulut altyapısının yükünü azaltmaya yardımcı olabilir.
Uç noktalardan hedefe yönlendirmeyi en aza indirme
Birçok müşteri ortamı, özellikle de karma dağıtımlarda tüm son kullanıcı cihaz ağ trafiği, İnternet'e ulaşmadan önce şirket içi sistemler üzerinden yönlendirilir. Bu durum genellikle tüm İnternet trafiğinin denetlenmesi gereğidir. Bu genellikle şirket içi ortamda daha yüksek kapasiteli ağ güvenlik gereçleri veya bulut ortamında daha fazla alet gerektirir.
Green Software Foundation hizalaması: Enerji verimliliği
Öneri:
- Uç noktalardan hedefe yönlendirmeyi en aza indirin.
- Mümkün olduğunda, son kullanıcı cihazları diğer tüm hedefler için trafiği yönlendirmeye ve incelemeye devam ederken bilinen trafiği doğrudan bulut hizmetlerine bölmek için iyileştirilmelidir. Bu özellikleri ve ilkeleri son kullanıcı cihazına yaklaştırmak, gereksiz ağ trafiğini ve ilgili ek yükünü önler.
Otomatik ölçeklendirme özellikleriyle ağ güvenlik araçlarını kullanma
Ağ trafiğine bağlı olarak, güvenlik gerecinin talebinin yüksek olduğu zamanlar, diğer zamanlarda ise daha düşük olacaktır. Birçok ağ güvenlik aleti, beklenen en yüksek taleple başa çıkmak için bir ölçeğe dağıtılır ve verimsizliklere yol açar. Ayrıca, bu araçların yeniden yapılandırılması genellikle kabul edilemez kapalı kalma süresine ve yönetim ek yüküne yol açan bir yeniden başlatma gerektirir.
Yeşil Yazılım Temeli hizalaması: Donanım verimliliği
Öneri:
- Otomatik ölçeklendirmeyi kullanmak, arka uç kaynaklarının el ile müdahale edilmeden talebi karşılaması için hakların benimsilmesine olanak tanır.
- Bu yaklaşım ağ trafiği değişikliklerine tepki verme süresini büyük ölçüde azaltarak gereksiz kaynakların israfının azalmasına neden olur ve sürdürülebilirlik etkinizi artırır.
- Application Gateway bir Web Uygulaması Güvenlik Duvarı (WAF) etkinleştirmeyi ve Azure Güvenlik DuvarıPremium'Azure Güvenlik Duvarı dağıtmayı ve yapılandırmayı okuyarak ilgili hizmetler hakkında daha fazla bilgi edinin.
TLS sonlandırmanın kullanılıp kullanılmayacağını değerlendirme
TLS'yi sonlandırmak ve yeniden kurmak, belirli mimarilerde gereksiz olabilecek CPU tüketimidir.
Green Software Foundation hizalaması: Enerji verimliliği
Öneri:
- TlS'yi sınır ağ geçidinizde sonlandırıp sonlandırabileceğinizi ve tls olmayan iş yükü yük dengeleyicinize ve iş yükünüzle devam edip etmeyebileceğinizi düşünün.
- Sunduğu performans ve kullanım etkisini daha iyi anlamak için TLS sonlandırma bilgilerini gözden geçirin.
- Şu dengeyi göz önünde bulundurun: Dengeli bir güvenlik düzeyi daha sürdürülebilir ve enerji açısından verimli bir iş yükü sunabilirken, daha yüksek bir güvenlik düzeyi işlem kaynaklarındaki gereksinimleri artırabilir.
DDoS korumasını kullanma
Dağıtılmış Hizmet Reddi (DDoS) saldırıları, işletim sistemlerini bunaltarak kesintiye uğratmayı ve buluttaki kaynaklar üzerinde önemli bir etki yaratmayı hedefler. Başarılı saldırılar ağ ve işlem kaynaklarını sular altında tutar ve kullanım ve maliyette gereksiz bir artışa neden olur.
Yeşil Yazılım Temeli hizalaması: Enerji verimliliği, Donanım verimliliği
Öneri:
- DDoS koruması , soyutlanmış bir katmandaki saldırıları azaltmaya çalışır, bu nedenle saldırı müşteri tarafından sağlanan hizmetlere ulaşmadan önce azaltılır.
- İşlem ve ağ hizmetlerinin kötü amaçlı kullanımını azaltmak sonuçta gereksiz karbon emisyonlarını azaltmaya yardımcı olacaktır.
Uç nokta güvenliği
Buluttaki iş yüklerimizin ve çözümlerimizin güvenliğini sağlamamız şarttır. Azaltma taktiklerimizi istemci cihazlarına kadar nasıl iyileştirebileceğimizi anlamak, emisyonları azaltmak için olumlu bir sonuç verebilir.
Uç Nokta için Microsoft Defender tümleştirme
Bulut altyapısına yönelik birçok saldırı, dağıtılan kaynakları saldırganın doğrudan kazancı için kötüye kullanmayı amaçlar. Bu tür iki kötüye kullanım örneği botnet ve kripto madenciliğidir.
Bu durumların her ikisi de müşteri tarafından çalıştırılan işlem kaynaklarının kontrolünü ele almayı ve bunları yeni kripto para birimleri oluşturmak için veya DDoS saldırısı veya toplu e-posta istenmeyen posta kampanyaları gibi ikincil bir eylem başlatacak bir kaynak ağı olarak kullanmayı içerir.
Yeşil Yazılım Temeli hizalaması: Donanım verimliliği
Öneriler:
- Şifreleme madenciliği ve botnet'leri belirlemek ve kapatmak için Uç Nokta için Microsoft Defender Bulut için Defender ile tümleştirin.
- EDR özellikleri gelişmiş saldırı algılamaları sağlar ve bu tehditleri düzeltmek için yanıt eylemleri gerçekleştirebiliyor. Bu yaygın saldırılar tarafından oluşturulan gereksiz kaynak kullanımı, genellikle bir güvenlik analistinin müdahalesi olmadan hızla bulunabilir ve düzeltilebilir.
Raporlama
Doğru zamanda doğru bilgileri ve içgörüleri almak, güvenlik gereçlerinizden gelen emisyonlarla ilgili raporlar oluşturmak için önemlidir.
Güvenlik kaynaklarını etiketleme
Kiracınızdaki tüm güvenlik gereçlerini hızla bulup raporlamak zor olabilir. Güvenlik kaynaklarının tanımlanması, işletmeniz için daha sürdürülebilir bir çalışma modeline yönelik bir strateji tasarlarken yardımcı olabilir.
Green Software Foundation hizalaması: Sürdürülebilirlik ölçümü
Öneri:
- Güvenlik kaynaklarının emisyon etkisini kaydetmek için güvenlik kaynaklarını etiketleyin.
Sonraki adım
Sürdürülebilirlik için tasarım ilkelerini gözden geçirin.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin