Segurança em ambientes de nuvem híbrida

  • 10 minutos

A Tailwind Traders planeja adotar uma postura de nuvem híbrida. Essa mudança tornará o ambiente dela mais complicado do que quando as cargas de trabalho eram implantadas apenas localmente. Além disso, a configuração de segurança e a telemetria dessas cargas de trabalho serão cada vez mais complexas.

Nesta unidade, você aprenderá como a Tailwind Traders pode monitorar a configuração das cargas de trabalho locais e na nuvem e ser alertada sobre qualquer atividade suspeita. Você também aprenderá como a Tailwind Traders pode simplificar as atualizações nos sistemas operacionais de servidor de nuvem e locais.

O que é o Microsoft Defender para Nuvem?

O Microsoft Defender para Nuvem permite avaliar a configuração de segurança de várias cargas de trabalho. Você pode usar o Microsoft Defender para Nuvem para:

  • Implementar práticas recomendadas de segurança em recursos de IaaS (infraestrutura como serviço), de PaaS (plataforma como serviço), de dados e locais.
  • Acompanhar a conformidade da configuração de segurança em relação aos padrões regulatórios.
  • Proteger os dados identificando atividades suspeitas, como padrões associados à exfiltração dos dados.
  • Classificar dados hospedados em bancos de dados SQL.

Em ambientes híbridos, o Defender para Nuvem pode ser integrado ao agente do Log Analytics para coletar eventos de log de eventos, telemetria de rastreamento de eventos e arquivos de despejo de memória. O Defender para Nuvem pode executar uma análise desses dados para fazer recomendações ou gerar alertas que podem ser encaminhados para o sistema SIEM (Gerenciamento de Evento e Incidentes de Segurança) da sua organização.

No momento, a Tailwind Traders usa uma variedade de ferramentas para avaliar se a configuração de segurança das cargas de trabalho do Windows Server e do Linux está em conformidade com os padrões de terceiros publicados. Ao adotar o Microsoft Defender para Nuvem, a Tailwind Traders pode monitorar e corrigir a configuração de segurança dos próprios sistemas operacionais de servidor locais e a implantação crescente de cargas de trabalho na nuvem conforme ela adota tecnologias mais híbridas.

O que é o Microsoft Sentinel?

O Microsoft Sentinel permite que as organizações com soluções de nuvem híbrida ingiram telemetria de logs de evento de segurança locais e na nuvem. O Microsoft Sentinel é uma solução SIEM e SOAR (Orquestração de Segurança, Resposta e Automação).

As soluções SIEM armazenam e analisam dados de log e telemetria de eventos que elas ingerem de fontes externas. O Microsoft Sentinel dá suporte à ingestão de dados do local, do Azure e de locais de nuvem de terceiros, incluindo de outros sistemas SIEM. As soluções SOAR permitem orquestrar a análise de dados. Elas ajudam a criar uma resposta automatizada a ameaças conhecidas.

A imagem a seguir mostra uma arquitetura híbrida do Sentinel.

Diagrama que mostra a telemetria de logs para cargas de trabalho locais e em nuvens de terceiros encaminhadas ao Microsoft Defender para Nuvem e o Microsoft Sentinel.

O Microsoft Sentinel pode executar as seguintes tarefas ao dar suporte a ambientes híbridos:

  • Colete dados nos usuários, dados, aplicativos e infraestrutura baseados em nuvem e locais.
  • Use a IA e o aprendizado profundo para identificar atividades potencialmente mal-intencionadas em dados de evento.
  • Detecte ameaças por meio da análise de dados de eventos com base em assinaturas de ataque geradas pela pesquisa de segurança da Microsoft.
  • Automatize a resposta a incidentes com características conhecidas usando guias estratégicos de segurança.

O Sentinel inclui pastas de trabalho internas que auxiliam na análise de dados e podem fornecer recomendações para você. Com isso, você poderá compreender rapidamente a telemetria de segurança suspeita em vez de classificá-la para tentar entender o significado dela. Você também pode importar ou usar pastas de trabalho personalizadas com base nas experiências de outros pesquisadores de segurança que encontraram métodos efetivos de análise de telemetria de segurança que diferem dos que estão incluídos no Sentinel.

No momento, a Tailwind Traders tem um sistema SIEM local que coleta e analisa dados de log de eventos de uma variedade de computadores e dispositivos. Embora esse sistema SIEM fosse adequado quando a Tailwind Traders só tinha uma implantação local, a adoção do Microsoft Sentinel permitirá que a Tailwind Traders estenda essa funcionalidade para a nuvem híbrida.

Também é provável que a Tailwind Traders se conecte a solução SIEM existente ao Sentinel. Essa conexão dá a empresa os benefícios da IA e do aprendizado profundo do Sentinel sem a necessidade de modificar substancialmente a configuração local existente.

O que é o Gerenciamento de Atualizações da Automação do Azure?

O Gerenciamento de Atualizações da Automação do Azure permite que você gerencie as atualizações para seus sistemas operacionais de servidor de nuvem e locais usando um único console na nuvem. O Gerenciamento de Atualizações trabalha com cargas de trabalho do Microsoft Windows Server e com cargas de trabalho do sistema operacional Linux com suporte executadas física e virtualmente.

O Gerenciamento de Atualizações pode usar o Microsoft Update ou o WSUS (Windows Server Update Services) como uma fonte de atualizações para sistemas operacionais Windows Server. O Gerenciamento de Atualizações também pode usar um repositório de pacotes do Linux público ou personalizado para atualizações do sistema operacional Linux. O Gerenciamento de Atualizações permite que você determine quais atualizações estão ausentes no momento em sistemas operacionais registrados.

O diagrama abaixo mostra como o Gerenciamento de Atualizações se integra à Automação do Azure e aos workspaces do Log Analytics.

Diagrama que mostra uma coleção de VMs locais e do Azure se conectando a runbooks da Automação do Azure, de workspaces do Log Analytics e de soluções Hybrid Worker de Automação pela porta TCP 443 em uma arquitetura de Gerenciamento de Atualizações híbrida.

Ao configurar uma implantação de atualização, você especifica:

  • Se a implantação da atualização se destina a computadores Windows ou Linux. Você não pode direcionar ambos os tipos ao mesmo tempo.
  • Os servidores registrados específicos que você deseja direcionar com a implantação.
  • As classificações de atualização que devem ser instaladas.
  • Se as atualizações específicas devem ser incluídas ou excluídas.
  • O agendamento da implantação, incluindo se a implantação deve ocorrer periodicamente.
  • Os scripts de pré-atualização e pós-atualização que devem ser executados.
  • O comprimento máximo da janela de manutenção, com os últimos 20 minutos da janela dedicados à reinicialização do sistema.
  • Opções de reinicialização que determinam se o sistema deve ser reiniciado, se necessário, para que as atualizações concluam a instalação.

No momento, a Tailwind Traders usa o WSUS e outras ferramentas para gerenciar as atualizações nos sistemas operacionais Windows e Linux locais. Ao configurar as cargas de trabalho de sistema operacional de máquinas virtuais de IaaS (locais e na nuvem) para se conectarem à Atualização de Software do Azure, a Tailwind Traders pode garantir que todos os sistemas operacionais que hospedam cargas de trabalho críticas sejam mantidos atualizados.

Verificar seu conhecimento

1.

A Tailwind Traders deseja garantir que um grupo de teste de servidores Windows e Linux receba atualizações automaticamente conforme elas são publicadas a cada semana. Além disso, a empresa quer que os grupos de produção de servidores Windows e Linux recebam atualizações apenas uma vez por mês, depois de saber que elas não causam problemas em servidores do grupo de teste. Quantas implantações de atualização precisam ser configuradas para dar suporte a esse plano?

2.

Qual das tecnologias de segurança híbrida a seguir a Tailwind Traders pode usar para avaliar a configuração de segurança de servidores locais e VMs IaaS que executam o sistema operacional Windows Server 2019?