Sicherheitsüberlegungen für nachhaltige Workloads in Azure
Das Entwerfen nachhaltiger Workloads in Azure muss die Sicherheit umfassen, die ein grundlegendes Prinzip in allen Phasen eines Projekts ist. Erfahren Sie mehr über Überlegungen und Empfehlungen, die zu einem nachhaltigeren Sicherheitsstatus führen.
Wichtig
Dieser Artikel ist Teil der Azure Well-Architected nachhaltigen Workloadreihe . Wenn Sie mit dieser Reihe nicht vertraut sind, empfehlen wir Ihnen, mit einer nachhaltigen Workload zu beginnen?
Sicherheitsüberwachung
Verwenden Sie cloudnative Sicherheitsüberwachungslösungen, um die Nachhaltigkeit zu optimieren.
Verwenden von cloudnativen Protokollsammlungsmethoden, falls zutreffend
In der Regel erforderten Protokollsammlungsmethoden für die Erfassung in einer SIEM-Lösung (Security Information and Event Management) die Verwendung einer zwischengeschalteten Ressource zum Sammeln, Analysieren, Filtern und Übertragen von Protokollen an das zentrale Sammlungssystem. Die Verwendung dieses Entwurfs kann einen Mehraufwand mit mehr Infrastruktur und damit verbundenen finanziellen und KOHLENSTOFF-bezogenen Kosten verursachen.
Ausrichtung von Green Software Foundation: Hardwareeffizienz, Energieeffizienz
Empfehlung:
- Die Verwendung cloudnativer Service-to-Service-Connectors vereinfacht die Integration zwischen den Diensten und dem SIEM und beseitigt den Mehraufwand für zusätzliche Infrastruktur.
- Es ist möglich, Protokolldaten aus vorhandenen Computeressourcen mit zuvor bereitgestellten Agents wie dem Azure Monitor Analytics-Agent zu erfassen. Erfahren Sie, wie Sie vom Log Analytics-Agent zum Azure Monitor-Agent migrieren.
- Berücksichtigen Sie diesen Kompromiss: Die Bereitstellung von mehr Überwachungs-Agents erhöht den Mehraufwand bei der Verarbeitung, da mehr Computeressourcen benötigt werden. Entwerfen und planen Sie sorgfältig, wie viele Informationen benötigt werden, um die Sicherheitsanforderungen der Lösung abzudecken und ein geeignetes Maß an Informationen zu finden, die gespeichert und gespeichert werden sollen.
- Eine mögliche Lösung zum Reduzieren unnötiger Datensammlungen ist die Verwendung von Azure Monitor Data Collection Rules (DCR).
Vermeiden Sie die Übertragung großer ungefilterter Datasets von einem Clouddienstanbieter auf einen anderen.
Bei herkömmlichen SIEM-Lösungen mussten alle Protokolldaten an einem zentralen Ort erfasst und gespeichert werden. In einer Multicloudumgebung kann diese Lösung dazu führen, dass eine große Menge von Daten aus einem Clouddienst und in einen anderen übertragen wird, was zu einer erhöhten Belastung für das Netzwerk und die Speicherinfrastruktur führt.
Ausrichtung der Green Software Foundation: Co2-Effizienz, Energieeffizienz
Empfehlung:
- Cloudnative Sicherheitsdienste können lokalisierte Analysen für die relevante Sicherheitsdatenquelle durchführen. Diese Analyse ermöglicht es, dass der Großteil der Protokolldaten innerhalb der Quellclouddienstanbieterumgebung verbleiben kann. Cloudnative SIEM-Lösungen können über eine API oder einen Connector mit diesen Sicherheitsdiensten verbunden werden, um nur die relevanten Sicherheitsvorfälle oder Ereignisdaten zu übertragen. Diese Lösung kann die Menge der übertragenen Daten erheblich reduzieren und gleichzeitig ein hohes Maß an Sicherheitsinformationen beibehalten, um auf einen Vorfall zu reagieren.
Die Verwendung des beschriebenen Ansatzes trägt mit der Zeit dazu bei, die Dateneingangs- und Speicherkosten zu reduzieren, was von Natur aus zur Verringerung der Emissionen beiträgt.
Filtern oder Ausschließen von Protokollquellen vor der Übertragung oder Erfassung in ein SIEM
Berücksichtigen Sie die Komplexität und die Kosten der Speicherung aller Protokolle aus allen möglichen Quellen. Für instance, Anwendungen, Server, Diagnose und Plattformaktivitäten.
Ausrichtung der Green Software Foundation: Co2-Effizienz, Energieeffizienz
Empfehlung:
- Berücksichtigen Sie beim Entwerfen einer Protokollsammlungsstrategie für cloudnative SIEM-Lösungen die Anwendungsfälle, die auf den für Ihre Umgebung erforderlichen Microsoft Sentinel-Analyseregeln basieren, und stimmen Sie die erforderlichen Protokollquellen ab, um diese Regeln zu unterstützen.
- Diese Option kann dazu beitragen, die unnötige Übertragung und Speicherung von Protokolldaten zu entfernen und die CO2-Emissionen in der Umwelt zu reduzieren.
Archivieren von Protokolldaten zur langfristigen Speicherung
Viele Kunden müssen Protokolldaten aus Gründen der Einhaltung gesetzlicher Bestimmungen über einen längeren Zeitraum speichern. In diesen Fällen ist das Speichern von Protokolldaten am primären Speicherort des SIEM-Systems eine kostspielige Lösung.
Ausrichtung der Green Software Foundation: Energieeffizienz
Empfehlung:
- Protokolldaten können in eine kostengünstigere langfristige Speicheroption verschoben werden, die die Aufbewahrungsrichtlinien des Kunden berücksichtigt, aber die Kosten durch die Verwendung separater Speicherorte senkt.
Netzwerkarchitektur
Erhöhen Sie die Effizienz, und vermeiden Sie unnötigen Datenverkehr, indem Sie bewährte Methoden für Netzwerksicherheitsarchitekturen befolgen.
Verwenden von cloudnativen Netzwerksicherheitskontrollen, um unnötigen Netzwerkdatenverkehr zu vermeiden
Wenn Sie einen zentralisierten Routing- und Firewallentwurf verwenden, wird der gesamte Netzwerkdatenverkehr zur Überprüfung, Filterung und Weiterleitung an den Hub gesendet. Dieser Ansatz zentralisiert zwar die Richtlinienerzwingung, kann jedoch zu einem Mehraufwand im Netzwerk von unnötigem Datenverkehr aus den Quellressourcen führen.
Ausrichtung von Green Software Foundation: Hardwareeffizienz, Energieeffizienz
Empfehlung:
- Verwenden Sie Netzwerksicherheitsgruppen und Anwendungssicherheitsgruppen , um den Datenverkehr an der Quelle zu filtern und die unnötige Datenübertragung zu entfernen. Die Verwendung dieser Funktionen kann dazu beitragen, den Aufwand für die Cloudinfrastruktur zu verringern, da die Bandbreitenanforderungen geringer sind und weniger Infrastruktur zu besitzen und zu verwalten ist.
Minimieren des Routings von Endpunkten zum Ziel
In vielen Kundenumgebungen, insbesondere bei Hybridbereitstellungen, wird der gesamte Netzwerkdatenverkehr für Endbenutzergeräte über lokale Systeme weitergeleitet, bevor er das Internet erreichen darf. In der Regel geschieht dies aufgrund der Anforderung, den gesamten Internetdatenverkehr zu überprüfen. Häufig erfordern dies Netzwerksicherheitsgeräte mit höherer Kapazität innerhalb der lokalen Umgebung oder mehr Appliances innerhalb der Cloudumgebung.
Ausrichtung der Green Software Foundation: Energieeffizienz
Empfehlung:
- Minimieren Sie Routings von Endpunkten an das Ziel.
- Nach Möglichkeit sollten Endbenutzergeräte optimiert werden, um bekannten Datenverkehr direkt an Clouddienste aufzuteilen und gleichzeitig den Datenverkehr für alle anderen Ziele weiterzuleiten und zu überprüfen. Wenn Sie diese Funktionen und Richtlinien näher an das Endbenutzergerät bringen, vermeiden Sie unnötigen Netzwerkdatenverkehr und den damit verbundenen Mehraufwand.
Verwenden von Netzwerksicherheitstools mit Funktionen für die automatische Skalierung
Basierend auf dem Netzwerkdatenverkehr wird es Vorkommen geben, in denen die Anforderung der Sicherheits-Anwendung hoch ist, und andere Zeiten, in denen sie niedriger ist. Viele Netzwerksicherheitsgeräte werden in einer Größenordnung bereitgestellt, um die höchste erwartete Nachfrage zu bewältigen, was zu Ineffizienzen führt. Darüber hinaus erfordert die Neukonfiguration dieser Tools häufig einen Neustart, was zu inakzeptablen Ausfallzeiten und Verwaltungsaufwand führt.
Ausrichtung von Green Software Foundation: Hardwareeffizienz
Empfehlung:
- Die Verwendung der automatischen Skalierung ermöglicht die Rechteanpassung der Back-End-Ressourcen, um den Bedarf ohne manuelles Eingreifen zu erfüllen.
- Dieser Ansatz reduziert die Zeit, um auf Änderungen des Netzwerkdatenverkehrs zu reagieren, was zu einer geringeren Verschwendung unnötiger Ressourcen führt, und erhöht Ihren Nachhaltigkeitseffekt.
- Weitere Informationen zu relevanten Diensten finden Sie unter Aktivieren einer Web Application Firewall (WAF) auf einem Application Gateway sowie bereitstellen und konfigurieren Azure Firewall Premium.
Bewerten, ob TLS-Abschluss verwendet werden soll
Das Beenden und erneute Einrichten von TLS ist eine CPU-Auslastung, die in bestimmten Architekturen möglicherweise nicht erforderlich ist.
Ausrichtung der Green Software Foundation: Energieeffizienz
Empfehlung:
- Überlegen Sie, ob Sie TLS an Ihrem Border Gateway beenden und ohne TLS zu Ihrem Workload-Lastenausgleich und weiter zu Ihrer Workload fortfahren.
- Lesen Sie die Informationen zur TLS-Beendigung , um die Auswirkungen auf leistung und nutzung besser zu verstehen.
- Berücksichtigen Sie den Kompromiss: Ein ausgewogenes Sicherheitsniveau kann eine nachhaltigere und energieeffizientere Workload bieten, während ein höheres Maß an Sicherheit die Anforderungen an Computeressourcen erhöhen kann.
Verwenden des DDoS-Schutzes
DDoS-Angriffe (Distributed Denial of Service) zielen darauf ab, Betriebssysteme zu stören, indem sie überlastet werden, was erhebliche Auswirkungen auf die Ressourcen in der Cloud hat. Erfolgreiche Angriffe überfluten Netzwerk- und Computeressourcen, was zu einer unnötigen Auslastungs- und Kostenspitze führt.
Ausrichtung der Green Software Foundation: Energieeffizienz, Hardwareeffizienz
Empfehlung:
- DDoS-Schutz zielt darauf ab, Angriffe auf einer abstrahierten Ebene zu mindern, sodass der Angriff entschärft wird, bevor kundenseitig betriebene Dienste erreicht werden.
- Die Minderung schädlicher Nutzung von Compute- und Netzwerkdiensten trägt letztendlich dazu bei, unnötige CO2-Emissionen zu reduzieren.
Sicherheit des Endpunkts
Es ist unerlässlich, dass wir unsere Workloads und Lösungen in der Cloud schützen. Zu verstehen, wie wir unsere Risikominderungstaktiken bis hin zu den Clientgeräten optimieren können, kann ein positives Ergebnis zur Reduzierung der Emissionen haben.
Integrieren von Microsoft Defender for Endpoint
Bei vielen Angriffen auf die Cloudinfrastruktur wird versucht, bereitgestellte Ressourcen für den direkten Gewinn des Angreifers zu missbrauchen. Zwei solche Missbrauchsfälle sind Botnets und Krypto-Mining.
Beide Fälle umfassen die Übernahme der Kontrolle über kundengesteuerte Computeressourcen und deren Verwendung, um entweder neue Kryptowährungsmünzen zu erstellen oder als Netzwerk von Ressourcen, von denen aus eine sekundäre Aktion wie ein DDoS-Angriff oder Massen-E-Mail-Spamkampagnen gestartet werden kann.
Ausrichtung von Green Software Foundation: Hardwareeffizienz
Empfehlungen:
- Integrieren sie Microsoft Defender for Endpoint in Defender für Cloud, um Kryptomining und Botnets zu identifizieren und zu beenden.
- Die EDR-Funktionen bieten erweiterte Angriffserkennungen und sind in der Lage, Reaktionsaktionen zu ergreifen, um diese Bedrohungen zu beheben. Die unnötige Ressourcennutzung, die durch diese häufigen Angriffe verursacht wird, kann schnell erkannt und behoben werden, oft ohne das Eingreifen eines Sicherheitsanalysten.
Berichterstellung
Die richtigen Informationen und Erkenntnisse zur richtigen Zeit zu erhalten, ist wichtig, um Berichte über Emissionen Ihrer Sicherheitsgeräte zu erstellen.
Markieren von Sicherheitsressourcen
Es kann eine Herausforderung sein, alle Sicherheitsanwendungen in Ihrem Mandanten schnell zu finden und zu melden. Die Identifizierung der Sicherheitsressourcen kann beim Entwerfen einer Strategie für ein nachhaltigeres Betriebsmodell für Ihr Unternehmen hilfreich sein.
Ausrichtung von Green Software Foundation: Messen der Nachhaltigkeit
Empfehlung:
- Markieren Sie Sicherheitsressourcen, um die Emissionsauswirkungen von Sicherheitsressourcen aufzuzeichnen.
Nächster Schritt
Überprüfen Sie die Entwurfsprinzipien auf Nachhaltigkeit.