Zagadnienia dotyczące zabezpieczeń dla zrównoważonych obciążeń na platformie Azure
Projektowanie zrównoważonych obciążeń na platformie Azure musi obejmować zabezpieczenia, co jest podstawową zasadą we wszystkich fazach projektu. Dowiedz się więcej o zagadnieniach i zaleceniach prowadzących do bardziej zrównoważonego stanu zabezpieczeń.
Ważne
Ten artykuł jest częścią serii zrównoważonych obciążeń platformy Azure Well-Architected . Jeśli nie znasz tej serii, zalecamy rozpoczęcie od tego, co to jest zrównoważone obciążenie?
Monitorowanie zabezpieczeń
Użyj natywnych rozwiązań do monitorowania zabezpieczeń w chmurze, aby zoptymalizować zrównoważony rozwój.
Używanie natywnych metod zbierania dzienników w chmurze, jeśli ma to zastosowanie
Tradycyjnie metody zbierania dzienników na potrzeby pozyskiwania do rozwiązania do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM) wymagały użycia zasobu pośredniego do zbierania, analizowania, filtrowania i przesyłania dzienników do centralnego systemu zbierania. Użycie tego projektu może przenieść koszty związane z większą infrastrukturą i powiązanymi z nimi kosztami finansowymi i węglowymi.
Dopasowanie Green Software Foundation: Wydajność sprzętowa, Efektywność energetyczna
Zalecenie:
- Użycie natywnych łączników usług w chmurze upraszcza integrację między usługami a rozwiązaniem SIEM i eliminuje obciążenie dodatkowej infrastruktury.
- Istnieje możliwość pozyskiwania danych dziennika z istniejących zasobów obliczeniowych przy użyciu wcześniej wdrożonych agentów, takich jak agent usługi Azure Monitor Analytics. Zobacz, jak przeprowadzić migrację do agenta usługi Azure Monitor z agenta usługi Log Analytics.
- Rozważmy tę kompromis: wdrożenie większej liczby agentów monitorowania zwiększy obciążenie związane z przetwarzaniem, ponieważ wymaga większej ilości zasobów obliczeniowych. Starannie zaprojektuj i zaplanuj, ile informacji jest potrzebnych do pokrycia wymagań dotyczących zabezpieczeń rozwiązania i znajdź odpowiedni poziom informacji do przechowywania i przechowywania.
- Możliwe rozwiązanie do zmniejszenia niepotrzebnego zbierania danych polega na regułach zbierania danych usługi Azure Monitor (DCR).
Unikaj przesyłania dużych niefiltrowanych zestawów danych z jednego dostawcy usług w chmurze do innego
Konwencjonalne rozwiązania SIEM wymagały pozyskiwania i przechowywania wszystkich danych dziennika w centralnej lokalizacji. W środowisku wielochmurowym to rozwiązanie może prowadzić do dużej ilości danych przesyłanych z usługi w chmurze i do innej, powodując zwiększone obciążenie sieci i infrastruktury magazynu.
Dopasowanie Green Software Foundation: Efektywność węglowa, Efektywność energetyczna
Zalecenie:
- Natywne usługi zabezpieczeń w chmurze mogą wykonywać zlokalizowane analizy na odpowiednim źródle danych zabezpieczeń. Dzięki tej analizie dane dziennika mogą pozostać w źródłowym środowisku dostawcy usług w chmurze. Rozwiązania SIEM natywne dla chmury mogą być połączone za pośrednictwem interfejsu API lub łącznika z tymi usługami zabezpieczeń w celu przesyłania tylko odpowiednich danych dotyczących zdarzeń lub zdarzeń zabezpieczeń. To rozwiązanie może znacznie zmniejszyć ilość przesyłanych danych przy zachowaniu wysokiego poziomu informacji zabezpieczających, aby reagować na zdarzenie.
W czasie użycie opisanego podejścia pomaga zmniejszyć koszty ruchu wychodzącego i magazynowania danych, które z natury pomagają zmniejszyć emisje.
Filtrowanie lub wykluczanie źródeł dzienników przed przesłaniem lub pozyskiwaniem do rozwiązania SIEM
Rozważ złożoność i koszt przechowywania wszystkich dzienników ze wszystkich możliwych źródeł. Na przykład aplikacje, serwery, diagnostyka i aktywność platformy.
Dopasowanie Green Software Foundation: Efektywność węglowa, Efektywność energetyczna
Zalecenie:
- Podczas projektowania strategii zbierania dzienników dla natywnych rozwiązań SIEM w chmurze należy wziąć pod uwagę przypadki użycia oparte na regułach analizy usługi Microsoft Sentinel wymaganych dla danego środowiska i dopasować wymagane źródła dzienników do obsługi tych reguł.
- Ta opcja może pomóc w usunięciu niepotrzebnej transmisji i przechowywania danych dziennika, zmniejszając emisję dwutlenku węgla w środowisku.
Archiwizowanie danych dziennika w magazynie długoterminowym
Wielu klientów musi przechowywać dane dzienników przez dłuższy okres ze względu na zgodność z przepisami. W takich przypadkach przechowywanie danych dziennika w podstawowej lokalizacji magazynu systemu SIEM jest kosztownym rozwiązaniem.
Dopasowanie Green Software Foundation: Efektywność energetyczna
Zalecenie:
- Dane dzienników można przenieść do tańszej opcji długoterminowego przechowywania , która uwzględnia zasady przechowywania klienta, ale obniża koszt, korzystając z oddzielnych lokalizacji magazynu.
Architektura sieci
Zwiększ wydajność i unikaj niepotrzebnego ruchu, postępując zgodnie z dobrymi rozwiązaniami dotyczącymi architektur zabezpieczeń sieci.
Używanie natywnych mechanizmów zabezpieczeń sieci w chmurze w celu wyeliminowania niepotrzebnego ruchu sieciowego
W przypadku korzystania ze scentralizowanego routingu i zapory cały ruch sieciowy jest wysyłany do centrum w celu przeprowadzania inspekcji, filtrowania i routingu dalej. Chociaż takie podejście umożliwia scentralizowanie wymuszania zasad, może to spowodować narzut na sieć niepotrzebnego ruchu z zasobów źródłowych.
Dopasowanie Green Software Foundation: Wydajność sprzętowa, Efektywność energetyczna
Zalecenie:
- Użyj sieciowych grup zabezpieczeń i grup zabezpieczeń aplikacji , aby ułatwić filtrowanie ruchu w źródle oraz usuwanie niepotrzebnej transmisji danych. Korzystanie z tych możliwości może pomóc zmniejszyć obciążenie infrastruktury chmury z niższymi wymaganiami dotyczącymi przepustowości i mniejszą infrastrukturą do posiadania i zarządzania nią.
Minimalizowanie routingu z punktów końcowych do miejsca docelowego
W wielu środowiskach klientów, zwłaszcza w przypadku wdrożeń hybrydowych, cały ruch sieciowy urządzenia użytkownika końcowego jest kierowany przez systemy lokalne przed zezwoleniem na dostęp do Internetu. Zwykle dzieje się tak ze względu na wymaganie inspekcji całego ruchu internetowego. Często wymaga to większej pojemności urządzeń zabezpieczeń sieciowych w środowisku lokalnym lub większej liczby urządzeń w środowisku chmury.
Dopasowanie Green Software Foundation: Efektywność energetyczna
Zalecenie:
- Minimalizuj routing z punktów końcowych do miejsca docelowego.
- Jeśli to możliwe, urządzenia użytkowników końcowych powinny być zoptymalizowane pod kątem dzielenia znanego ruchu bezpośrednio do usług w chmurze przy jednoczesnym kierowania i inspekcji ruchu dla wszystkich innych miejsc docelowych. Przybliżenie tych możliwości i zasad do urządzenia użytkownika końcowego zapobiega niepotrzebnemu ruchowi sieciowemu i powiązanym z nim obciążeniem.
Korzystanie z narzędzi zabezpieczeń sieci z funkcjami automatycznego skalowania
W oparciu o ruch sieciowy będą występować czasy, gdy zapotrzebowanie urządzenia zabezpieczeń będzie wysokie, a w innych przypadkach będzie niższe. Wiele urządzeń zabezpieczeń sieciowych jest wdrażanych w skali, aby poradzić sobie z najwyższym oczekiwanym zapotrzebowaniem, co prowadzi do nieefektywności. Ponadto ponowna konfiguracja tych narzędzi często wymaga ponownego uruchomienia, co prowadzi do niedopuszczalnego przestoju i nakładu pracy z zarządzaniem.
Wyrównanie green Software Foundation: Wydajność sprzętu
Zalecenie:
- Korzystanie z automatycznego skalowania umożliwia prawa do zasobów zaplecza w celu zaspokojenia zapotrzebowania bez ręcznej interwencji.
- Takie podejście znacznie skróci czas reagowania na zmiany ruchu sieciowego, co skutkuje zmniejszeniem strat niepotrzebnych zasobów i zwiększeniem efektu zrównoważonego rozwoju.
- Dowiedz się więcej o odpowiednich usługach, czytając, jak włączyć zaporę Web Application Firewall (WAF) w Application Gateway oraz wdrożyć i skonfigurować Azure Firewall Premium.
Ocena, czy używać kończenia protokołu TLS
Kończenie i ponowne ustanawianie protokołu TLS to użycie procesora CPU, które może być niepotrzebne w niektórych architekturach.
Dopasowanie Green Software Foundation: Efektywność energetyczna
Zalecenie:
- Rozważ, czy możesz zakończyć protokół TLS w bramie obramowania i kontynuować pracę z modułem równoważenia obciążenia obciążenia bez protokołu TLS i nowszym niż obciążenie.
- Zapoznaj się z informacjami na temat kończenia żądań protokołu TLS , aby lepiej zrozumieć wydajność i wpływ na wykorzystanie, które oferuje.
- Rozważ kompromis: Zrównoważony poziom zabezpieczeń może oferować bardziej zrównoważone i wydajne obciążenie energetyczne, podczas gdy wyższy poziom zabezpieczeń może zwiększyć wymagania dotyczące zasobów obliczeniowych.
Korzystanie z ochrony przed atakami DDoS
Ataki typu "rozproszona odmowa usługi" (DDoS) mają na celu zakłócanie systemów operacyjnych przez przeciążenie ich, co stwarza znaczący wpływ na zasoby w chmurze. Udane ataki zalewają zasoby sieciowe i obliczeniowe, co prowadzi do niepotrzebnego wzrostu użycia i kosztów.
Dopasowanie Green Software Foundation: Efektywność energetyczna, Wydajność sprzętowa
Zalecenie:
- Ochrona przed atakami DDoS ma na celu ograniczenie ataków w warstwie abstrakcyjnej, dlatego atak jest ograniczany przed dotarciem do wszystkich usług obsługiwanych przez klienta.
- Ograniczenie złośliwego użycia usług obliczeniowych i sieciowych ostatecznie pomoże zmniejszyć niepotrzebne emisje dwutlenku węgla.
Zabezpieczenia punktu końcowego
Konieczne jest zabezpieczenie obciążeń i rozwiązań w chmurze. Zrozumienie, jak możemy zoptymalizować naszą taktykę ograniczania ryzyka aż do urządzeń klienckich, może mieć pozytywny wynik w celu zmniejszenia emisji.
Integrowanie Ochrona punktu końcowego w usłudze Microsoft Defender
Wiele ataków na infrastrukturę chmury dąży do nieprawidłowego użycia wdrożonych zasobów w celu uzyskania bezpośredniego zysku osoby atakującej. Dwa takie przypadki nieprawidłowego użycia to botnety i górnictwo kryptograficzne.
Oba te przypadki obejmują przejęcie kontroli nad zasobami obliczeniowymi obsługiwanymi przez klienta i użycie ich do tworzenia nowych monet kryptowalutowych lub jako sieci zasobów, z których można uruchomić dodatkowe działania, takie jak atak DDoS, lub masowe kampanie spamowe e-mail.
Wyrównanie green Software Foundation: Wydajność sprzętu
Zalecenia:
- Zintegruj Ochrona punktu końcowego w usłudze Microsoft Defender z usługą Defender for Cloud, aby zidentyfikować i zamknąć wyszukiwanie kryptograficzne i botnety.
- Możliwości EDR zapewniają zaawansowane wykrywanie ataków i umożliwiają podjęcie działań reagowania w celu skorygowania tych zagrożeń. Niepotrzebne użycie zasobów utworzone przez te typowe ataki można szybko odnaleźć i skorygować, często bez interwencji analityka zabezpieczeń.
Raportowanie
Uzyskiwanie odpowiednich informacji i szczegółowych informacji w odpowiednim czasie jest ważne w przypadku tworzenia raportów dotyczących emisji z urządzeń zabezpieczeń.
Tagowanie zasobów zabezpieczeń
Może to być wyzwanie, aby szybko znaleźć i zgłosić wszystkie urządzenia zabezpieczające w dzierżawie. Identyfikowanie zasobów zabezpieczeń może pomóc podczas projektowania strategii dla bardziej zrównoważonego modelu operacyjnego dla twojej firmy.
Wyrównanie Green Software Foundation: Mierzenie zrównoważonego rozwoju
Zalecenie:
- Tagowanie zasobów zabezpieczeń w celu rejestrowania wpływu zasobów zabezpieczeń na emisje.
Następny krok
Zapoznaj się z zasadami projektowania dla zrównoważonego rozwoju.