Azure 上永續性工作負載的安全性考慮

在 Azure 上設計永續性工作負載必須包含安全性，這是專案所有階段的基本準則。 瞭解導致更永續性安全性狀態的考慮和建議。

重要

本文是 Azure Well-Architected永續性工作負載 系列的一部分。 如果您不熟悉此系列，建議您從 什麼是永續性工作負載開始？

安全性監控

使用雲端原生安全性監視解決方案來優化永續性。

如果適用，請使用雲端原生記錄收集方法

傳統上，擷取至安全性資訊和事件管理 (SIEM 的記錄收集方法) 解決方案需要使用中繼資源來收集、剖析、篩選和傳輸記錄到中央收集系統。 使用此設計可能會負擔更多基礎結構和相關聯的財務和碳相關成本。

綠色軟體基礎對齊方式： 硬體效率、 能源效率

建議：

• 使用雲端原生 服務對服務連接器可 簡化服務與 SIEM 之間的整合，並移除額外基礎結構的額外負荷。
• 您可以使用先前部署的代理程式，例如 Azure 監視器分析代理程式，從現有的計算資源擷取記錄資料。 檢閱如何 從 Log Analytics 代理程式移轉至 Azure 監視器代理程式。
• 請考慮此取捨：部署更多監視代理程式會增加處理的額外負荷，因為它需要更多計算資源。 仔細設計和規劃需要多少資訊，以涵蓋解決方案的安全性需求，並尋找適當的資訊層級來儲存和保留。
  • 減少不必要的資料收集的可能解決方案是依賴 Azure 監視器資料收集規則 (DCR) 。

避免將大型未篩選資料集從一個雲端服務提供者傳輸到另一個雲端服務提供者

傳統的 SIEM 解決方案需要將所有記錄資料擷取並儲存在集中式位置。 在多雲端環境中，此解決方案可能會導致大量資料從雲端服務提供和傳輸至另一個雲端服務，進而增加網路和儲存體基礎結構的負擔。

綠色軟體基礎對齊方式： 碳效率、 能源效率

建議：

• 雲端原生安全性服務可以在相關的安全性資料來源上執行當地語系化的分析。 此分析可讓大量記錄資料保留在來源雲端服務提供者環境中。 雲端原生 SIEM 解決方案可以 透過 API 或連接器 連線到這些安全性服務，只傳輸相關的安全性事件或事件資料。 此解決方案可大幅減少傳輸的資料量，同時維護高階的安全性資訊以回應事件。

使用所述的方法可協助減少資料輸出和儲存體成本，這原本有助於降低產生量。

在傳輸或擷取到 SIEM 之前篩選或排除記錄來源

請考慮從所有可能來源儲存所有記錄的複雜度和成本。 例如，應用程式、伺服器、診斷和平臺活動。

綠色軟體基礎對齊方式： 碳效率、 能源效率

建議：

• 設計雲端原生 SIEM 解決方案的記錄收集策略時，請考慮根據環境所需的 Microsoft Sentinel 分析規則 使用案例，並符合所需的記錄來源以支援這些規則。
• 此選項可協助移除記錄資料的不必要的傳輸和儲存，以減少環境中的碳量。

將記錄資料封存到長期儲存體

許多客戶因為法規合規性原因而需要長時間儲存記錄資料。 在這些情況下，將記錄資料儲存在 SIEM 系統的主要儲存位置是昂貴的解決方案。

綠色軟體基礎對齊方式： 能源效率

建議：

• 記錄資料可以 移至較便宜的長期儲存體選項 ，以遵守客戶的保留原則，但利用個別的儲存位置來降低成本。

網路架構

遵循網路安全性架構的良好作法，提高效率並避免不必要的流量。

使用雲端原生網路安全性控制來消除不必要的網路流量

當您使用集中式路由和防火牆設計時，所有網路流量都會傳送至中樞，以進行檢查、篩選和更新路由。 雖然這種方法會集中強制執行原則，但可能會對來自來源資源的不必要的流量網路產生額外負荷。

綠色軟體基礎對齊方式： 硬體效率、 能源效率

建議：

• 使用 網路安全性群組 和 應用程式安全性群組 來協助篩選來源的流量，以及移除不必要的資料傳輸。 使用這些功能有助於降低雲端基礎結構的負擔，並降低頻寬需求，以及較少的基礎結構來擁有和管理。

將從端點到目的地的路由最小化

在許多客戶環境中，特別是在混合式部署中，所有使用者裝置網路流量都會透過內部部署系統路由傳送，再允許連線到網際網路。 這通常是因為檢查所有網際網路流量的需求而發生。 這通常需要內部部署環境內的容量較高網路安全性設備，或雲端環境內的更多設備。

綠色軟體基礎對齊方式： 能源效率

建議：

• 將從端點到目的地的路由降到最低。
  • 可能的話，使用者裝置應該優化，以 直接將已知的流量分割到雲端服務 ，同時繼續路由並檢查所有其他目的地的流量。 讓這些功能和原則更接近終端使用者裝置，可防止不必要的網路流量及其相關聯的額外負荷。

使用網路安全性工具搭配自動調整功能

根據網路流量，安全性設備的需求會很高，而其他時間則會降低。 許多網路安全性設備會部署至規模，以應付最高的預期需求，因而導致效率不佳。 此外，重新設定這些工具通常需要重新開機，導致無法接受的停機時間和管理額外負荷。

綠色軟體基礎對齊方式： 硬體效率

建議：

• 利用自動調整可讓後端資源的許可權調整，以符合需求，而不需要手動介入。
• 這種方法可大幅減少回應網路流量變更的時間，進而降低不必要的資源浪費，並增加您的永續性效果。
• 若要深入瞭解相關服務，請參閱如何在應用程式閘道上啟用Web 應用程式防火牆 (WAF) ，以及部署和設定 Azure 防火牆 Premium。

評估是否要使用 TLS 終止

終止和重新建立 TLS 是某些架構中可能不需要的 CPU 耗用量。

綠色軟體基礎對齊方式： 能源效率

建議：

• 請考慮您是否可以在邊界閘道終止 TLS，並繼續將非 TLS 傳送至工作負載負載平衡器，然後再到工作負載。
• 檢閱 TLS 終止 的相關資訊，以進一步瞭解其所提供的效能和使用率影響。
• 請考慮取捨：平衡的安全性層級可以提供更具持續性且有能源效率的工作負載，而較高層級的安全性可能會增加計算資源的需求。

使用 DDoS 保護

分散式阻斷服務 (DDoS) 攻擊的目標是讓作業系統受到壓倒，進而對雲端中的資源造成重大影響。 成功的攻擊會溢流網絡和計算資源，導致使用量和成本不必要的尖峰。

綠色軟體基礎對齊方式： 能源效率、 硬體效率

建議：

• DDoS 保護會尋求 降低抽象層的攻擊，因此在到達任何客戶操作的服務之前，會先減輕攻擊。
  • 降低計算和網路服務的任何惡意使用，最終有助於降低不必要的碳量。

端點安全性

我們必須保護雲端中的工作負載和解決方案。 瞭解我們如何將風險降低策略優化到用戶端裝置，可能會有可降低碳的正面結果。

整合適用於端點的 Microsoft Defender

雲端基礎結構上的許多攻擊會尋求誤用部署的資源，以取得攻擊者的直接收益。 有兩個這類誤用案例是 Botnet 和密碼編譯採礦。

這兩種情況都牽涉到控制客戶操作的計算資源，並使用這些資源來建立新的貨幣，或作為從中啟動次要動作的資源網路，例如 DDoS 攻擊，或大量電子郵件垃圾郵件活動。

綠色軟體基礎對齊方式： 硬體效率

建議：

• 將適用於端點的 Microsoft Defender與適用于雲端的 Defender 整合，以識別和關閉密碼編譯採礦和 Botnet。
  • EDR 功能提供進階攻擊偵測，而且能夠採取回應動作來補救這些威脅。 這些常見攻擊所建立的不必要的資源使用量可以快速探索並修復，通常不需要安全性分析師介入。

報告

在正確的時間取得正確的資訊和深入解析，對於從安全性設備產生有關碳的報告很重要。

標記安全性資源

快速尋找並報告租使用者中所有安全性設備是一項挑戰。 識別安全性資源有助於為企業設計更永續性營運模型的策略。

綠色軟體基礎對齊方式： 測量永續性

建議：

• 標記安全性資源以記錄安全性資源的發行量影響。

後續步驟

檢閱永續性的設計原則。

設計原則