Безопасность в гибридных облачных средах

  • 10 мин

Tailwind Traders планируют внедрить гибридное облако. Этот шаг делает среду более сложной, чем когда рабочие нагрузки развертывались только в локальной среде. Кроме того, конфигурация безопасности и телеметрия этих рабочих нагрузок все сложнее.

В этом уроке вы узнаете, как Tailwind Traders может отслеживать конфигурацию локальных и облачных рабочих нагрузок и получать оповещения о любых подозрительных действиях. Вы также узнаете, как Tailwind Traders может упростить обновления для своих локальных и облачных операционных систем сервера.

Что такое Microsoft Defender для облака?

Microsoft Defender для облака позволяет оценивать конфигурацию безопасности различных рабочих нагрузок. Microsoft Defender для облака можно использовать в целях, приведенных ниже.

  • Реализация рекомендаций по обеспечению безопасности для моделей "инфраструктура как услуга" (IaaS) и "платформа как услуга" (PaaS), данных и локальных ресурсов.
  • Отслеживание соответствия конфигурации безопасности стандартам нормативных требований.
  • Защита данных с помощью определения подозрительных действий, например по шаблонам утечки данных.
  • Классификация данных, размещенных в базах данных SQL.

В гибридных средах Defender для облака можно интегрировать с агентом Log Analytics, чтобы собирать события журнала событий, телеметрические данные трассировки событий и файлов аварийного дампа. После этого Defender для облака сможет выполнять анализ этих данных, чтобы получать рекомендации или создать оповещения, которые можно переадресовывать в систему управления инцидентами и событиями безопасности вашей организации (SIEM).

Tailwind Traders имеет различные средства, которые используются для оценки того, соответствует ли конфигурация безопасности рабочих нагрузок Windows Server и Linux в соответствии с опубликованными сторонними стандартами. По мере внедрения более гибридных технологий Tailwind Traders может использовать Microsoft Defender для облака для отслеживания и исправления конфигурации безопасности локальной операционной системы сервера и растущего развертывания рабочих нагрузок в облаке.

Что такое Microsoft Sentinel?

Microsoft Sentinel позволяет организациям с гибридными облачными решениями получать данные телеметрии из локальных и облачных журналов событий безопасности. Microsoft Sentinel сочетает в себе систему управления информационной безопасностью и событиями безопасности (SIEM) и систему оркестрации, автоматизации и реагирования на проблемы безопасности (SOAR).

Решения SIEM хранят и анализируют данные журнала и телеметрии событий, полученные из внешних источников. Microsoft Azure поддерживает прием данных из локальных и сторонних облачных расположений, в том числе из других SIEM-систем. Решения SOAR служат для оркестрации процессов анализа данных. Они помогают автоматически реагировать на известные угрозы.

На следующем рисунке показана гибридная архитектура Microsoft Sentinel.

Диаграмма телеметрии логов для локальных рабочих нагрузок и нагрузок в сторонних облачных сервисах, которые пересылаются в Microsoft Defender для облачных сервисов и Microsoft Sentinel.

В случае поддержки гибридных сред Microsoft Sentinel может выполнять приведенные ниже задачи.

  • Собирать данные по всем пользователям, устройствам, приложениям и инфраструктуре как локально, так и из нескольких облаков.
  • Использовать искусственный интеллект и глубокое обучение для обнаружения потенциально вредоносных действий в данных о событиях.
  • Выявлять угрозы путем анализа данных событий на основе подписей атак, созданных исследованием безопасности Майкрософт.
  • Автоматизировать ответ на инциденты с известными характеристиками с помощью модуля безопасности PlayBook.

Microsoft Sentinel включает встроенные рабочие книги, которые помогают анализировать данные и давать вам рекомендации. Это позволяет быстро определить подозрительные данные телеметрии системы безопасности, а не выполнять их сортировку, чтобы понять ее смысл. Вы также можете импортировать или использовать пользовательские рабочие тетради. Книги основаны на опыте других исследователей безопасности, которые нашли эффективные методы анализа телеметрии безопасности, которые отличаются от методов, включенных в Microsoft Sentinel.

Tailwind Traders имеет локальную систему SIEM, которая собирает и анализирует данные журнала событий с различных компьютеров и устройств. Хотя эта система SIEM была достаточной, когда Tailwind Traders имела только локальное развертывание, внедрение Microsoft Sentinel позволяет Tailwind Traders расширить эту емкость в гибридном облаке.

Tailwind Traders, скорее всего, подключит существующее решение SIEM к Microsoft Sentinel. Это подключение дает компании преимущества искусственного интеллекта и глубокого обучения Microsoft Sentinel, не изменяя существующую локальную конфигурацию.

Что такое управление обновлениями служба автоматизации Azure?

служба автоматизации Azure управление обновлениями позволяет управлять обновлениями локальных и облачных операционных систем сервера с помощью одной консоли в облаке. Управление обновлениями работает с рабочими нагрузками Microsoft Windows Server и с поддерживаемыми рабочими нагрузками операционных систем Linux, работающими физически и виртуально.

Управление обновлениями может использовать Центр обновления Майкрософт или Windows Server Update Services (WSUS) в качестве источника обновлений для операционных систем Windows Server. Управление обновлениями также может использовать общедоступный или пользовательский репозиторий пакетов Linux для обновлений операционной системы Linux. Управление обновлениями позволяет определить, какие обновления в настоящее время отсутствуют в зарегистрированных операционных системах.

На схеме ниже показано, как управление обновлениями интегрируется со службой автоматизации Azure и рабочими областями Log Analytics.

схема локальных и виртуальных машин Azure, подключающихся к модулям Runbook службы автоматизации Azure через TCP-порт 443 в гибридной архитектуре управления обновлениями.

При настройке развертывания обновлений необходимо указать следующее.

  • Независимо от того, предназначено ли развертывание обновлений для компьютеров Windows или Linux, вы не можете одновременно использовать оба типа.
  • Конкретные зарегистрированные серверы, которые вы хотите использовать для развертывания.
  • Классификацию обновлений, которые следует установить.
  • Следует ли включать или исключать определенные обновления из развертывания.
  • Расписание развертывания, в том числе необходимость периодического выполнения развертывания.
  • Все скрипты подготовки и последующего обновления, которые должны выполняться.
  • Максимальная продолжительность периода обслуживания (последние 20 минут периода должны быть отведены на перезагрузку системы).
  • Параметры перезапуска, определяющие, должна ли система перезапускаться, если это необходимо для завершения установки обновлений.

Компания имеет службы WSUS и другие средства для управления обновлениями своих локальных операционных систем Windows и Linux. Настроив рабочие нагрузки операционной систем для виртуальных машин IaaS (локальные и облачные) для подключения к обновлению программного обеспечения Azure, компания Tailwind Traders может убедиться, что все операционные системы, на которых размещаются критически важные рабочие нагрузки, актуальны.

Проверьте свои знания

1.

Компания Tailwind Traders хочет убедиться, что тестовая группа серверов Windows и Linux будет автоматически получать еженедельно публикуемые обновления. Кроме того, компания хочет, чтобы рабочие группы серверов Windows и Linux получили обновления только один раз в месяц, после того как они знают, что обновления не вызывают проблем на серверах группы тестирования. Сколько развертываний обновлений необходимо настроить для поддержки этого плана?

2.

Какие из следующих гибридных технологий безопасности могут использовать Tailwind Traders для оценки конфигурации безопасности локальных серверов и виртуальных машин IaaS под управлением операционной системы Windows Server 2019?