Considerações de segurança para cargas de trabalho sustentáveis no Azure
A conceção de cargas de trabalho sustentáveis no Azure tem de abranger a segurança, que é um princípio fundamental em todas as fases de um projeto. Saiba mais sobre considerações e recomendações que levam a uma postura de segurança mais sustentável.
Importante
Este artigo faz parte da série de cargas de trabalho sustentáveis Well-Architected do Azure . Se não estiver familiarizado com esta série, recomendamos que comece com o que é uma carga de trabalho sustentável?
Monitorização de segurança
Utilize soluções de monitorização de segurança nativa da cloud para otimizar a sustentabilidade.
Utilizar métodos de recolha de registos nativos da cloud, quando aplicável
Tradicionalmente, os métodos de recolha de registos para ingestão para uma solução de Gestão de Informações e Eventos de Segurança (SIEM) exigiam a utilização de um recurso intermediário para recolher, analisar, filtrar e transmitir registos para o sistema de recolha central. A utilização deste design pode suportar uma sobrecarga com mais infraestruturas e custos financeiros e relacionados com carbono associados.
Alinhamento do Green Software Foundation: Eficiência de hardware, Eficiência energética
Recomendação:
- A utilização de conectores serviço a serviço nativos da cloud simplifica a integração entre os serviços e o SIEM e remove a sobrecarga da infraestrutura adicional.
- É possível ingerir dados de registo de recursos de computação existentes com agentes implementados anteriormente, como o agente do Azure Monitor Analytics. Veja como migrar para o agente do Azure Monitor a partir do agente do Log Analytics.
- Considere esta desvantagem: implementar mais agentes de monitorização irá aumentar a sobrecarga no processamento, uma vez que precisa de mais recursos de computação. Crie cuidadosamente e planeie a quantidade de informações necessárias para abranger os requisitos de segurança da solução e encontrar um nível adequado de informações para armazenar e manter.
- Uma solução possível para reduzir a recolha de dados desnecessária é depender das Regras de Recolha de Dados (DCR) do Azure Monitor.
Evite transferir grandes conjuntos de dados não filtrados de um fornecedor de serviços cloud para outro
As soluções SIEM convencionais exigiam que todos os dados de registo fossem ingeridos e armazenados numa localização centralizada. Num ambiente multicloud, esta solução pode levar à transferência de uma grande quantidade de dados de um serviço cloud para outro, o que causa um aumento da carga sobre a rede e a infraestrutura de armazenamento.
Alinhamento do Green Software Foundation: Eficiência de carbono, Eficiência energética
Recomendação:
- Os serviços de segurança nativos da cloud podem realizar análises localizadas na origem de dados de segurança relevante. Esta análise permite que a maior parte dos dados de registo permaneça no ambiente do fornecedor de serviços cloud de origem. As soluções SIEM nativas da cloud podem ser ligadas através de uma API ou conector a estes serviços de segurança para transmitir apenas os dados de eventos ou incidentes de segurança relevantes. Esta solução pode reduzir consideravelmente a quantidade de dados transferidos, mantendo um elevado nível de informações de segurança para responder a um incidente.
Com o tempo, a utilização da abordagem descrita ajuda a reduzir os custos de saída e armazenamento de dados, o que ajuda inerentemente a reduzir as emissões.
Filtrar ou excluir origens de registo antes da transmissão ou ingestão num SIEM
Considere a complexidade e o custo de armazenar todos os registos de todas as origens possíveis. Por exemplo, aplicações, servidores, diagnósticos e atividade da plataforma.
Alinhamento do Green Software Foundation: Eficiência de carbono, Eficiência energética
Recomendação:
- Ao conceber uma estratégia de recolha de registos para soluções SIEM nativas da cloud, considere os casos de utilização com base nas regras de análise do Microsoft Sentinel necessárias para o seu ambiente e corresponda às origens de registo necessárias para suportar essas regras.
- Esta opção pode ajudar a remover a transmissão desnecessária e o armazenamento de dados de registo, reduzindo as emissões de carbono no ambiente.
Arquivar dados de registo para armazenamento de longo prazo
Muitos clientes têm o requisito de armazenar dados de registo por um período prolongado devido a razões de conformidade regulamentar. Nestes casos, armazenar dados de registo na localização de armazenamento primária do sistema SIEM é uma solução dispendiosa.
Alinhamento do Green Software Foundation: eficiência energética
Recomendação:
- Os dados de registo podem ser movidos para uma opção de armazenamento de longo prazo mais barata que respeita as políticas de retenção do cliente, mas reduz o custo ao utilizar localizações de armazenamento separadas.
Arquitetura de rede
Aumente a eficiência e evite tráfego desnecessário ao seguir boas práticas para arquiteturas de segurança de rede.
Utilizar controlos de segurança de rede nativos da cloud para eliminar o tráfego de rede desnecessário
Quando utiliza uma estrutura centralizada de encaminhamento e firewall, todo o tráfego de rede é enviado para o hub para inspeção, filtragem e encaminhamento para a frente. Embora esta abordagem centralize a imposição de políticas, pode criar uma sobrecarga na rede de tráfego desnecessário dos recursos de origem.
Alinhamento do Green Software Foundation: Eficiência de hardware, Eficiência energética
Recomendação:
- Utilize Grupos de segurança de rede e Grupos de segurança de aplicações para ajudar a filtrar o tráfego na origem e para remover a transmissão de dados desnecessária. A utilização destas capacidades pode ajudar a reduzir a carga sobre a infraestrutura de cloud, com requisitos de largura de banda mais baixos e menos infraestrutura para possuir e gerir.
Minimizar o encaminhamento dos pontos finais para o destino
Em muitos ambientes de cliente, especialmente em implementações híbridas, todo o tráfego de rede de dispositivos do utilizador final é encaminhado através de sistemas no local antes de ser autorizado a aceder à Internet. Normalmente, isto acontece devido ao requisito de inspecionar todo o tráfego da Internet. Muitas vezes, isto requer aplicações de segurança de rede de maior capacidade no ambiente no local ou mais aplicações no ambiente da cloud.
Alinhamento do Green Software Foundation: eficiência energética
Recomendação:
- Minimizar o encaminhamento dos pontos finais para o destino.
- Sempre que possível, os dispositivos de utilizador final devem ser otimizados para dividir o tráfego conhecido diretamente para os serviços cloud enquanto continuam a encaminhar e inspecionar o tráfego de todos os outros destinos. Aproximar estas capacidades e políticas do dispositivo do utilizador final impede o tráfego de rede desnecessário e a sobrecarga associada.
Utilizar ferramentas de segurança de rede com capacidades de dimensionamento automático
Com base no tráfego de rede, haverá alturas em que a procura da aplicação de segurança será elevada e noutras alturas em que será mais baixa. Muitas aplicações de segurança de rede são implementadas numa escala para fazer face à procura mais elevada esperada, o que resulta em ineficiências. Além disso, muitas vezes, a reconfiguração destas ferramentas requer um reinício que conduz a um período de inatividade inaceitável e a uma sobrecarga de gestão.
Alinhamento do Green Software Foundation: eficiência de hardware
Recomendação:
- Utilizar o dimensionamento automático permite que o rightsizing dos recursos de back-end satisfaça a procura sem intervenção manual.
- Esta abordagem reduzirá significativamente o tempo de reação às alterações de tráfego de rede, o que resultará num desperdício reduzido de recursos desnecessários e aumentará o seu efeito de sustentabilidade.
- Saiba mais sobre os serviços relevantes ao ler como ativar um Firewall de Aplicações Web (WAF) num Gateway de Aplicação e implementar e configurar Azure Firewall Premium.
Avaliar se deve utilizar a terminação TLS
Terminar e restabelecer o TLS é um consumo da CPU que pode ser desnecessário em determinadas arquiteturas.
Alinhamento do Green Software Foundation: eficiência energética
Recomendação:
- Considere se pode terminar o TLS no gateway de limite e continuar com o não TLS para o balanceador de carga de trabalho e avançar para a carga de trabalho.
- Reveja as informações sobre a terminação do TLS para compreender melhor o impacto no desempenho e na utilização que oferece.
- Considere a desvantagem: um nível equilibrado de segurança pode oferecer uma carga de trabalho mais sustentável e eficiente em termos energéticos, enquanto um nível mais elevado de segurança pode aumentar os requisitos em recursos de computação.
Utilizar a proteção contra DDoS
Os ataques Denial of Service distribuídos (DDoS) visam perturbar os sistemas operacionais ao sobrecarregá-los, criando um impacto significativo nos recursos na cloud. Ataques bem-sucedidos inundam a rede e os recursos de computação, o que leva a um pico desnecessário na utilização e nos custos.
Alinhamento do Green Software Foundation: Eficiência energética, Eficiência de hardware
Recomendação:
- A proteção contra DDoS procura mitigar ataques numa camada abstrata, para que o ataque seja mitigado antes de chegar a quaisquer serviços operados pelo cliente.
- Mitigar qualquer utilização maliciosa de serviços de computação e de rede irá, em última análise, ajudar a reduzir as emissões de carbono desnecessárias.
Endpoint security (Segurança de pontos finais)
É imperativo protegermos as nossas cargas de trabalho e soluções na cloud. Compreender como podemos otimizar as nossas táticas de mitigação até aos dispositivos cliente pode ter um resultado positivo para reduzir as emissões.
Integrar Microsoft Defender para Endpoint
Muitos ataques à infraestrutura de cloud procuram utilizar indevidamente recursos implementados para obter ganhos diretos do atacante. Dois desses casos de utilização indevida são botnets e extração criptográfica.
Ambos os casos envolvem assumir o controlo dos recursos de computação operados pelo cliente e utilizá-los para criar novas moedas de criptomoeda ou como uma rede de recursos a partir da qual iniciar uma ação secundária como um ataque DDoS ou campanhas de spam de e-mail em massa.
Alinhamento do Green Software Foundation: eficiência de hardware
Recomendações:
- Integre Microsoft Defender para Endpoint com o Defender para Cloud para identificar e encerrar a extração criptográfica e botnets.
- As capacidades EDR fornecem deteções de ataque avançadas e são capazes de tomar medidas de resposta para remediar essas ameaças. A utilização desnecessária de recursos criada por estes ataques comuns pode ser rapidamente detetada e remediada, muitas vezes sem a intervenção de um analista de segurança.
Relatórios
Obter as informações e informações certas no momento certo é importante para produzir relatórios sobre as emissões dos seus dispositivos de segurança.
Etiquetar recursos de segurança
Pode ser um desafio encontrar e comunicar rapidamente todas as aplicações de segurança no seu inquilino. Identificar os recursos de segurança pode ajudar ao conceber uma estratégia para um modelo operacional mais sustentável para a sua empresa.
Alinhamento da Green Software Foundation: Medir a sustentabilidade
Recomendação:
- Etiquetar recursos de segurança para registar o impacto das emissões dos recursos de segurança.
Passo seguinte
Reveja os princípios de conceção da sustentabilidade.