Безопасность в гибридных облачных средах

  • 10 мин

Tailwind Traders планируют внедрить гибридное облако. Этот переход сделает их среду более сложной, чем в случае, когда рабочие нагрузки развернуты только в локальной среде. Кроме того, настройка безопасности и данные телеметрии этих рабочих нагрузок будут все более сложными.

В этом модуле вы узнаете, как компания Tailwind Traders может отслеживать конфигурацию локальных и облачных рабочих нагрузок и получать оповещения о любых подозрительных действиях. Вы также узнаете, как компания Tailwind Traders может упростить обновление в локальных и облачных серверных операционных системах.

Что такое Microsoft Defender для облака?

Microsoft Defender для облака позволяет оценивать конфигурацию безопасности различных рабочих нагрузок. Microsoft Defender для облака можно использовать в целях, приведенных ниже.

  • Реализация рекомендаций по обеспечению безопасности для моделей "инфраструктура как услуга" (IaaS) и "платформа как услуга" (PaaS), данных и локальных ресурсов.
  • Отслеживание соответствия конфигурации безопасности стандартам нормативных требований.
  • Защита данных с помощью определения подозрительных действий, например по шаблонам утечки данных.
  • Классификация данных, размещенных в базах данных SQL.

В гибридных средах Defender для облака можно интегрировать с агентом Log Analytics, чтобы собирать события журнала событий, телеметрические данные трассировки событий и файлов аварийного дампа. После этого Defender для облака сможет выполнять анализ этих данных, чтобы получать рекомендации или создать оповещения, которые можно переадресовывать в систему управления инцидентами и событиями безопасности вашей организации (SIEM).

В настоящее время Tailwind Traders использует разнообразные средства для оценки соответствия конфигурации безопасности рабочих нагрузок Windows Server и Linux опубликованным стандартам сторонних производителей. Используя Microsoft Defender для облака, компания Tailwind Traders сможет отслеживать и исправлять конфигурацию безопасности серверных операционных систем в локальной среде, а также увеличивающееся развертывание рабочих нагрузок в облаке по мере добавления гибридных технологий.

Что такое Microsoft Sentinel?

Microsoft Sentinel позволяет организациям с гибридными облачными решениями получать данные телеметрии из локальных и облачных журналов событий безопасности. Microsoft Sentinel сочетает в себе систему управления информационной безопасностью и событиями безопасности (SIEM) и систему оркестрации, автоматизации и реагирования на проблемы безопасности (SOAR).

Решения SIEM хранят и анализируют данные журнала и телеметрии событий, полученные из внешних источников. Microsoft Azure поддерживает прием данных из локальных и сторонних облачных расположений, в том числе из других SIEM-систем. Решения SOAR служат для оркестрации процессов анализа данных. Они помогают автоматически реагировать на известные угрозы.

На следующем рисунке показана гибридная архитектура Sentinel.

Схема телеметрии журналов для локальных рабочих нагрузок и рабочих нагрузок в сторонних облаках, перенаправляемых в Microsoft Defender для облака и Microsoft Sentinel.

В случае поддержки гибридных сред Microsoft Sentinel может выполнять приведенные ниже задачи.

  • Собирать данные по всем пользователям, устройствам, приложениям и инфраструктуре как локально, так и из нескольких облаков.
  • Использовать искусственный интеллект и глубокое обучение для обнаружения потенциально вредоносных действий в данных о событиях.
  • Выявлять угрозы путем анализа данных событий на основе подписей атак, созданных исследованием безопасности Майкрософт.
  • Автоматизировать ответ на инциденты с известными характеристиками с помощью модуля безопасности PlayBook.

Sentinel включает встроенные книги, которые помогают в анализе данных и могут предоставить рекомендации. Это позволяет быстро определить подозрительные данные телеметрии системы безопасности, а не выполнять их сортировку, чтобы понять ее смысл. Можно также импортировать или использовать пользовательские книги на основе работы других исследователей безопасности, которые обнаружили эффективные методы анализа телеметрии безопасности, отличающиеся от тех, которые включены в Sentinel.

В настоящее время у Tailwind Traders есть локальная SIEM-система, которая собирает и анализирует данные журнала событий с различных компьютеров и устройств. Хотя этой SIEM-системы было достаточно, когда компания Tailwind Traders использовала только развертывание в локальной среде, Microsoft Sentinel позволит Tailwind Traders расширить возможности благодаря гибридному облаку.

Также вполне вероятно, что Tailwind Traders подключит существующее решение SIEM к Sentinel. Это даст компании преимущества искусственного интеллекта и глубокого обучения Sentinel без существенного изменения существующей локальной конфигурации.

Что такое управление обновлениями служба автоматизации Azure?

служба автоматизации Azure управление обновлениями позволяет управлять обновлениями локальных и облачных операционных систем сервера с помощью одной консоли в облаке. Управление обновлениями работает с рабочими нагрузками Microsoft Windows Server и с поддерживаемыми рабочими нагрузками операционных систем Linux, работающими физически и виртуально.

Управление обновлениями может использовать Центр обновления Майкрософт или Windows Server Update Services (WSUS) в качестве источника обновлений для операционных систем Windows Server. Управление обновлениями также может использовать общедоступный или пользовательский репозиторий пакетов Linux для обновлений операционной системы Linux. Управление обновлениями позволяет определить, какие обновления в настоящее время отсутствуют в зарегистрированных операционных системах.

На схеме ниже показано, как управление обновлениями интегрируется со службой автоматизации Azure и рабочими областями Log Analytics.

Схема, показывающая коллекцию локальных и виртуальных машин Azure, подключающихся к служба автоматизации Azure модулям Runbook, рабочим областям Log Analytics и решениям гибридной рабочей роли службы автоматизации через TCP-порт 443 в архитектуре гибридного управления обновлениями.

При настройке развертывания обновлений необходимо указать следующее.

  • Предназначены ли для развертывания обновлений компьютеры Windows или Linux. Выбрать одновременно оба варианта нельзя.
  • Конкретные зарегистрированные серверы, которые вы хотите использовать для развертывания.
  • Классификацию обновлений, которые следует установить.
  • Следует ли включать или исключать конкретные обновления.
  • Расписание развертывания, в том числе необходимость периодического выполнения развертывания.
  • Все сценарии, выполняемые перед обновлением и после него, должны выполняться.
  • Максимальная продолжительность периода обслуживания (последние 20 минут периода должны быть отведены на перезагрузку системы).
  • Параметры перезагрузки, определяющие необходимость перезагрузки системы, если это необходимо для завершения установки.

В настоящее время Tailwind Traders использует службы WSUS и другие средства для управления обновлениями в локальных операционных системах Windows и Linux. Настроив рабочие нагрузки операционной систем для виртуальных машин IaaS (локальные и облачные) для подключения к обновлению программного обеспечения Azure, компания Tailwind Traders может убедиться, что все операционные системы, на которых размещаются критически важные рабочие нагрузки, актуальны.

Проверьте свои знания

1.

Компания Tailwind Traders хочет убедиться, что тестовая группа серверов Windows и Linux будет автоматически получать еженедельно публикуемые обновления. Кроме того, компания хочет, чтобы производственные группы серверов Windows и Linux получали обновления только раз в месяц, после того как станет известно, что они не вызывают проблем на тестовых серверах групп. Сколько развертываний обновлений необходимо настроить для поддержки этого плана?

2.

Какие из следующих гибридных технологий безопасности могут использовать Tailwind Traders для оценки конфигурации безопасности локальных серверов и виртуальных машин IaaS под управлением операционной системы Windows Server 2019?