Zabezpieczenia w środowiskach chmury hybrydowej

  • 10 min

Firma Tailwind Traders planuje przyjęcie modelu chmury hybrydowej. W efekcie jej środowisko będzie bardziej złożone niż wcześniej, gdy obciążenia były wdrażane tylko lokalnie. Ponadto wzrośnie złożoność konfiguracji zabezpieczeń i danych telemetrycznych tych obciążeń.

Podczas tej lekcji dowiesz się, jak firma Tailwind Traders może monitorować konfigurację swoich obciążeń lokalnych i chmurowych oraz otrzymywać alerty o wszelkich podejrzanych działaniach. Dowiesz się także, jak firma Tailwind Traders może zoptymalizować proces aktualizowania systemów operacyjnych serwerów lokalnych i chmurowych.

Co to jest Microsoft Defender dla Chmury?

Microsoft Defender dla Chmury umożliwia ocenę konfiguracji zabezpieczeń różnych obciążeń. Za pomocą Microsoft Defender dla Chmury można wykonywać następujące czynności:

  • Wdrażanie najlepszych rozwiązań w zakresie zabezpieczeń na potrzeby usług typu „infrastruktura jako usługa” (IaaS) i „platforma jako usługa” (PaaS), danych oraz zasobów lokalnych.
  • Śledzenie zgodności konfiguracji zabezpieczeń z normami prawnymi.
  • Ochronę danych przez rozpoznawanie podejrzanych działań, na przykład wzorców związanych z eksfiltracją danych.
  • Klasyfikowanie danych hostowanych w bazach danych SQL.

W środowiskach hybrydowych można zintegrować Defender dla Chmury z agentem usługi Log Analytics w celu zbierania zdarzeń dziennika zdarzeń, telemetrii śledzenia zdarzeń i plików zrzutu awaryjnego. Defender dla Chmury następnie przeprowadzić analizę tych danych w celu utworzenia zaleceń lub wygenerowania alertów, które mogą być przekazywane do systemu zarządzania zdarzeniami i zdarzeniami zabezpieczeń (SIEM) organizacji.

Firma Tailwind Traders aktualnie używa różnych narzędzi do oceny, czy konfiguracja zabezpieczeń jej obciążeń z systemami Windows Server i Linux zgodna z normami publikowanymi przez inne firmy. Dzięki wdrożeniu Microsoft Defender dla Chmury firma Tailwind Traders będzie mogła monitorować i korygować konfigurację zabezpieczeń swoich systemów operacyjnych serwerów lokalnie oraz rosnące wdrażanie obciążeń w chmurze w miarę wdrażania większej liczby technologii hybrydowych.

Co to jest usługa Microsoft Sentinel?

Usługa Microsoft Sentinel umożliwia organizacjom z rozwiązaniami chmury hybrydowej pozyskiwanie danych telemetrycznych z dzienników zdarzeń zabezpieczeń zarówno w środowisku lokalnym, jak i w chmurze. Usługa Microsoft Sentinel jest rozwiązaniem SIEM i rozwiązaniem do orkiestracji zabezpieczeń, automatyzacji i odpowiedzi (SOAR).

Rozwiązania SIEM przechowują i analizują dane dzienników oraz dane telemetryczne zdarzeń, które pobierają ze źródeł zewnętrznych. Usługa Microsoft Sentinel obsługuje pozyskiwanie danych z lokalizacji lokalnych, platformy Azure i innych firm w chmurze, w tym z innych systemów SIEM. Rozwiązania SOAR umożliwiają orkiestrację analizy danych. Ułatwiają tworzenie automatycznych reakcji na znane zagrożenia.

Na poniższej ilustracji pokazano architekturę hybrydową usługi Sentinel.

Diagram przedstawiający dane telemetryczne dzienników dla obciążeń lokalnych i obciążeń w chmurach innych firm przekazanych do Microsoft Defender dla Chmury i usługi Microsoft Sentinel.

Usługa Microsoft Sentinel może wykonywać następujące zadania w przypadku obsługi środowisk hybrydowych:

  • Zbieranie danych dotyczących użytkowników, urządzeń, aplikacji i infrastruktury w środowiskach lokalnych i w chmurze.
  • Rozpoznawanie potencjalnie złośliwych działań w danych o zdarzeniach z zastosowaniem sztucznej inteligencji i uczenia głębokiego.
  • Wykrywanie zagrożeń przez analizę danych o zdarzeniach na podstawie sygnatur ataków generowanych przez zespół firmy Microsoft ds. badań w dziedzinie zabezpieczeń.
  • Automatyzowanie reagowania na zdarzenia o znanych cechach przy użyciu podręczników zabezpieczeń.

Usługa Sentinel udostępnia wbudowane skoroszyty wspomagające analizowanie danych i może przedstawiać zalecenia. Dzięki temu można szybko rozpoznawać podejrzane dane telemetryczne zabezpieczeń, zamiast szczegółowo je przeglądać i interpretować. Możliwe jest także importowanie i używanie skoroszytów niestandardowych opracowanych na podstawie doświadczeń innych badaczy w dziedzinie zabezpieczeń, którzy znaleźli skuteczne metody analizowania danych telemetrycznych zabezpieczeń różniące się od tych stosowanych w usłudze Sentinel.

Firma Tailwind Traders ma obecnie lokalny system SIEM do zbierania i analizowania danych dzienników z różnych komputerów i urządzeń. Mimo że ten system SIEM był odpowiedni, gdy firma Tailwind Traders miała tylko wdrożenie lokalne, wdrożenie usługi Microsoft Sentinel umożliwi firmie Tailwind Traders rozszerzenie tej pojemności do chmury hybrydowej.

Prawdopodobnie firma Tailwind Traders połączy z usługą Sentinel aktualnie używane rozwiązanie SIEM. To połączenie umożliwi firmie skorzystanie z funkcji sztucznej inteligencji i uczenia głębokiego w usłudze Sentinel bez konieczności istotnego modyfikowania istniejącej konfiguracji lokalnej.

Co to jest usługa Azure Automation Update Management?

Usługa Azure Automation Update Management umożliwia zarządzanie aktualizacjami systemów operacyjnych lokalnych i w chmurze przy użyciu jednej konsoli w chmurze. Usługa Update Management współdziała z obciążeniami systemu operacyjnego Microsoft Windows Server oraz z obsługiwanymi obciążeniami systemu operacyjnego Linux, uruchomionymi fizycznie lub wirtualnie.

W usłudze Update Management jako źródło aktualizacji systemów operacyjnych Windows Server można wykorzystać usługę Microsoft Update lub usługi Windows Server Update Services (WSUS). Na potrzeby aktualizacji systemów operacyjnych Linux w usłudze Update Management można korzystać z publicznego lub niestandardowego repozytorium pakietów systemu Linux. Usługa Update Management umożliwia określenie, których aktualizacji brakuje obecnie w zarejestrowanych systemach operacyjnych.

Na poniższym diagramie przedstawiono, jak usługa Update Management integruje się z usługą Azure Automation i obszarami roboczymi usługi Log Analytics.

Diagram przedstawiający kolekcję lokalnych i maszyn wirtualnych platformy Azure łączących się z elementami Runbook usługi Azure Automation, obszarami roboczymi usługi Log Analytics i rozwiązaniami hybrydowych procesów roboczych automatyzacji za pośrednictwem portu TCP 443 w hybrydowej architekturze rozwiązania Update Management.

Konfigurując wdrożenie aktualizacji, określasz:

  • Czy wdrożenie aktualizacji dotyczy komputerów z systemem Windows, czy Linux. Nie można jednocześnie określić obu typów jako docelowych.
  • Których konkretnie zarejestrowanych serwerów dotyczy wdrożenie.
  • Jakie klasyfikacje aktualizacji mają być instalowane.
  • Czy uwzględnić lub wykluczyć określone aktualizacje.
  • Jaki będzie harmonogram wdrożenia oraz czy ma ono się odbywać okresowo.
  • Czy mają być uruchamiane określone skrypty przed aktualizacją lub po niej.
  • Jaka jest maksymalna długość okna konserwacji, z czego ostatnie 20 minut okna poświęcone jest na ponowne uruchomienie systemu.
  • Opcje ponownego uruchamiania, określające, czy system powinien być uruchamiany ponownie, jeśli jest to wymagane do ukończenia instalacji aktualizacji.

Firma Tailwind Traders obecnie zarządza aktualizacjami swoich lokalnych systemów operacyjnych Windows i Linux przy użyciu usług WSUS i innych narzędzi. Dzięki skonfigurowaniu połączenia obciążeń systemów operacyjnych maszyn lokalnych i maszyn wirtualnych typu IaaS (zarówno lokalnych, jak i w chmurze) z usługą aktualizacji oprogramowania platformy Azure firma Tailwind Traders może uzyskać pewność, że wszystkie systemy operacyjne hostujące obciążenia o znaczeniu krytycznym będą zawsze aktualne.

Sprawdź swoją wiedzę

1.

Firma Tailwind Traders chce, aby testowa grupa serwerów z systemami Windows i Linux automatycznie otrzymywała aktualizacje w miarę ich publikowania co tydzień. Ponadto firma oczekuje, że grupy produkcyjne serwerów z systemami Windows i Linux będą otrzymywały aktualizacje tylko raz w miesiącu, gdy będzie już wiadomo, że nie powodują one problemów na serwerach z grupy testowej. Ile wdrożeń aktualizacji należy skonfigurować, aby zrealizować ten plan?

2.

Którą z następujących hybrydowych technologii zabezpieczeń może zastosować firma Tailwind Traders, aby ocenić konfigurację zabezpieczeń serwerów lokalnych oraz maszyn wirtualnych typu IaaS z systemem operacyjnym Windows Server 2019?