Beveiligingsoverwegingen voor duurzame workloads in Azure

Het ontwerpen van duurzame workloads in Azure moet beveiliging omvatten. Dit is een fundamenteel principe in alle fasen van een project. Meer informatie over overwegingen en aanbevelingen die leiden tot een duurzamer beveiligingspostuur.

Belangrijk

Dit artikel maakt deel uit van de reeks azure Well-Architected duurzame workloads . Als u niet bekend bent met deze reeks, raden we u aan te beginnen met wat is een duurzame workload?

Beveiligingsbewaking

Gebruik cloudeigen beveiligingsbewakingsoplossingen om te optimaliseren voor duurzaamheid.

Gebruik waar van toepassing cloudeigen methoden voor het verzamelen van logboeken

Normaal gesproken was voor het verzamelen van logboeken voor opname naar een SIEM-oplossing (Security Information and Event Management) het gebruik van een tussenliggende resource vereist om logboeken te verzamelen, te parseren, te filteren en door te verzenden naar het centrale verzamelingssysteem. Het gebruik van dit ontwerp kan een overhead met meer infrastructuur en bijbehorende financiële en koolstofgerelateerde kosten met zich meebrengen.

Green Software Foundation-uitlijning: Hardware-efficiëntie, Energie-efficiëntie

Aanbeveling:

• Het gebruik van cloudeigen service-naar-service-connectors vereenvoudigt de integratie tussen de services en de SIEM en verwijdert de overhead van extra infrastructuur.
• Het is mogelijk om logboekgegevens op te nemen uit bestaande rekenresources met behulp van eerder geïmplementeerde agents, zoals de Azure Monitor Analytics-agent. Bekijk hoe u migreert naar de Azure Monitor-agent vanuit de Log Analytics-agent.
• Houd rekening met deze afweging: het implementeren van meer bewakingsagents verhoogt de overhead bij de verwerking omdat er meer rekenresources nodig zijn. Ontwerp en plan zorgvuldig hoeveel informatie er nodig is om de beveiligingsvereisten van de oplossing te dekken en een geschikt niveau van informatie te vinden om op te slaan en te bewaren.
  • Een mogelijke oplossing om onnodige gegevensverzameling te verminderen, is om te vertrouwen op de Azure Monitor-regels voor gegevensverzameling (DCR).

Vermijd overdracht van grote ongefilterde gegevenssets van de ene cloudserviceprovider naar de andere

Voor conventionele SIEM-oplossingen moesten alle logboekgegevens worden opgenomen en opgeslagen op een centrale locatie. In een omgeving met meerdere clouds kan deze oplossing ertoe leiden dat een grote hoeveelheid gegevens wordt overgedragen van een cloudservice naar een andere, waardoor het netwerk en de opslaginfrastructuur zwaarder belast worden.

Uitlijning van Green Software Foundation: Koolstofefficiëntie, Energie-efficiëntie

Aanbeveling:

• Cloudeigen beveiligingsservices kunnen gelokaliseerde analyses uitvoeren op relevante beveiligingsgegevensbron. Met deze analyse kan het grootste deel van de logboekgegevens binnen de bronomgeving van de cloudserviceprovider blijven. Cloudeigen SIEM-oplossingen kunnen via een API of connector worden verbonden met deze beveiligingsservices om alleen de relevante beveiligingsincident- of gebeurtenisgegevens te verzenden. Deze oplossing kan de hoeveelheid gegevens die wordt overgedragen aanzienlijk verminderen, terwijl een hoog beveiligingsniveau wordt gehandhaafd om te reageren op een incident.

Op termijn helpt het gebruik van de beschreven benadering om het uitgaand verkeer van gegevens en de opslagkosten te verminderen, wat inherent is om de uitstoot te verminderen.

Logboekbronnen filteren of uitsluiten vóór verzending of opname in een SIEM

Houd rekening met de complexiteit en kosten van het opslaan van alle logboeken van alle mogelijke bronnen. Bijvoorbeeld toepassingen, servers, diagnostische gegevens en platformactiviteit.

Uitlijning van Green Software Foundation: Koolstofefficiëntie, Energie-efficiëntie

Aanbeveling:

• Houd bij het ontwerpen van een strategie voor het verzamelen van logboeken voor cloudeigen SIEM-oplossingen rekening met de gebruiksvoorbeelden op basis van de Microsoft Sentinel-analyseregels die vereist zijn voor uw omgeving en koppel de vereiste logboekbronnen om deze regels te ondersteunen.
• Deze optie kan helpen bij het verwijderen van onnodige overdracht en opslag van logboekgegevens, waardoor de koolstofuitstoot in het milieu wordt verminderd.

Logboekgegevens archiveren naar langetermijnopslag

Veel klanten hebben een vereiste om logboekgegevens gedurende een langere periode op te slaan vanwege wettelijke nalevingsredenen. In dergelijke gevallen is het opslaan van logboekgegevens op de primaire opslaglocatie van het SIEM-systeem een dure oplossing.

Uitlijning van Green Software Foundation: Energie-efficiëntie

Aanbeveling:

• Logboekgegevens kunnen worden verplaatst naar een goedkopere langetermijnopslagoptie die het bewaarbeleid van de klant respecteert, maar de kosten verlaagt door gebruik te maken van afzonderlijke opslaglocaties.

Netwerkarchitectuur

Verhoog de efficiëntie en voorkom onnodig verkeer door goede procedures voor netwerkbeveiligingsarchitecturen te volgen.

Cloudeigen netwerkbeveiligingsbesturingselementen gebruiken om onnodig netwerkverkeer te elimineren

Wanneer u een gecentraliseerd routerings- en firewallontwerp gebruikt, wordt al het netwerkverkeer naar de hub verzonden voor inspectie, filtering en verdere routering. Hoewel deze benadering beleidshandhaving centraliseert, kan het een overhead op het netwerk van onnodig verkeer van de bronresources creëren.

Green Software Foundation-uitlijning: Hardware-efficiëntie, Energie-efficiëntie

Aanbeveling:

• Gebruik Netwerkbeveiligingsgroepen en Toepassingsbeveiligingsgroepen om verkeer bij de bron te filteren en om onnodige gegevensoverdracht te verwijderen. Het gebruik van deze mogelijkheden kan helpen de belasting van de cloudinfrastructuur te verminderen, met lagere bandbreedtevereisten en minder infrastructuur om eigenaar en beheer van te maken.

Routering van eindpunten naar de bestemming minimaliseren

In veel klantomgevingen, met name bij hybride implementaties, wordt al het netwerkverkeer van eindgebruikersapparaten gerouteerd via on-premises systemen voordat het internet wordt bereikt. Meestal gebeurt dit vanwege de vereiste om al het internetverkeer te inspecteren. Dit vereist vaak netwerkbeveiligingsapparaten met een hogere capaciteit binnen de on-premises omgeving of meer apparaten binnen de cloudomgeving.

Uitlijning van Green Software Foundation: Energie-efficiëntie

Aanbeveling:

• Minimaliseer routering van eindpunten naar de bestemming.
  • Waar mogelijk moeten apparaten van eindgebruikers worden geoptimaliseerd om bekend verkeer rechtstreeks naar cloudservices te splitsen , terwijl verkeer voor alle andere bestemmingen wordt gerouteerd en geïnspecteerd. Door deze mogelijkheden en beleidsregels dichter bij het apparaat van de eindgebruiker te brengen, voorkomt u onnodig netwerkverkeer en de bijbehorende overhead.

Hulpprogramma's voor netwerkbeveiliging gebruiken met mogelijkheden voor automatisch schalen

Op basis van netwerkverkeer zijn er momenten waarop de vraag naar het beveiligingsapparaat hoog is en op andere momenten waarop het lager is. Veel netwerkbeveiligingsapparaten worden op schaal geïmplementeerd om aan de hoogste verwachte vraag te voldoen, wat leidt tot inefficiëntie. Bovendien vereist herconfiguratie van deze hulpprogramma's vaak opnieuw opstarten, wat leidt tot onaanvaardbare downtime en beheeroverhead.

Green Software Foundation-uitlijning: Hardware-efficiëntie

Aanbeveling:

• Door gebruik te maken van automatisch schalen kunnen de back-endresources rechten krijgen om aan de vraag te voldoen zonder handmatige tussenkomst.
• Deze aanpak verkort de tijd om te reageren op wijzigingen in het netwerkverkeer aanzienlijk, wat resulteert in een verminderde verspilling van onnodige resources en verhoogt uw duurzaamheidseffect.
• Lees hoe u een Web Application Firewall (WAF) inschakelt op een Application Gateway en hoe u Azure Firewall Premium implementeert en configureert voor meer informatie over relevante services.

Evalueren of TLS-beëindiging moet worden gebruikt

Tls beëindigen en opnieuw tot stand brengen is CPU-verbruik dat mogelijk niet nodig is in bepaalde architecturen.

Uitlijning van Green Software Foundation: Energie-efficiëntie

Aanbeveling:

• Overweeg of u TLS op uw randgateway kunt beëindigen en kunt doorgaan met niet-TLS naar uw workload load balancer en verder naar uw workload.
• Bekijk de informatie over TLS-beëindiging om meer inzicht te krijgen in de gevolgen voor prestaties en gebruik.
• Houd rekening met de afweging: een evenwichtig beveiligingsniveau kan een duurzamere en energiezuinigere workload bieden, terwijl een hoger beveiligingsniveau de vereisten voor rekenresources kan verhogen.

DDoS-beveiliging gebruiken

DDoS-aanvallen (Distributed Denial of Service) zijn bedoeld om operationele systemen te verstoren door ze te overweldigen, wat een aanzienlijke impact heeft op de resources in de cloud. Succesvolle aanvallen overspoelen netwerk- en rekenresources, wat leidt tot een onnodige piek in gebruik en kosten.

Green Software Foundation-uitlijning: Energie-efficiëntie, Hardware-efficiëntie

Aanbeveling:

• DDoS-beveiliging is bedoeld om aanvallen op een geabstraheerde laag te beperken, zodat de aanval wordt verzacht voordat de door de klant beheerde services worden bereikt.
  • Het beperken van elk schadelijk gebruik van reken- en netwerkservices helpt uiteindelijk onnodige koolstofuitstoot te verminderen.

Eindpuntbeveiliging

Het is absoluut noodzakelijk dat we onze workloads en oplossingen in de cloud beveiligen. Inzicht in hoe we onze risicobeperkingstactieken tot aan de clientapparaten kunnen optimaliseren, kan een positief resultaat hebben voor het verminderen van emissies.

Integreren Microsoft Defender voor Eindpunt

Veel aanvallen op de cloudinfrastructuur proberen geïmplementeerde resources te misbruiken voor het directe voordeel van de aanvaller. Twee van dergelijke gevallen van misbruik zijn botnets en crypto-mining.

Beide gevallen hebben betrekking op het overnemen van de controle over door de klant beheerde rekenresources en deze gebruiken om nieuwe cryptovalutamunten te maken, of als een netwerk van resources van waaruit een secundaire actie kan worden gestart, zoals een DDoS-aanval of massa-e-mailspamcampagnes.

Green Software Foundation-uitlijning: Hardware-efficiëntie

Aanbevelingen:

• Integreer Microsoft Defender voor Eindpunt met Defender voor Cloud om crypto-mining en botnets te identificeren en af te sluiten.
  • De EDR-mogelijkheden bieden geavanceerde aanvalsdetecties en kunnen reactieacties uitvoeren om deze bedreigingen te herstellen. Het onnodige resourcegebruik dat door deze veelvoorkomende aanvallen wordt gemaakt, kan snel worden gedetecteerd en hersteld, vaak zonder tussenkomst van een beveiligingsanalist.

Rapporten

Het verkrijgen van de juiste informatie en inzichten op het juiste moment is belangrijk voor het produceren van rapporten over emissies van uw beveiligingsapparaten.

Beveiligingsresources taggen

Het kan een uitdaging zijn om snel alle beveiligingsapparaten in uw tenant te vinden en te rapporteren. Het identificeren van de beveiligingsresources kan helpen bij het ontwerpen van een strategie voor een duurzamer operationeel model voor uw bedrijf.

Green Software Foundation alignment: Measuring sustainability (Duurzaamheid meten)

Aanbeveling:

• Tag beveiligingsresources om de gevolgen van de emissies van beveiligingsresources vast te leggen.

Volgende stap

Bekijk de ontwerpprincipes voor duurzaamheid.

Ontwerpprincipes