Säkerhet i miljöer med hybridmoln

  • 10 minuter

Tailwind Traders planerar att implementera en hybridmolnstrategi. Det här steget gör miljön mer komplicerad än när arbetsbelastningar endast distribuerades lokalt. Dessutom blir säkerhetskonfigurationen och telemetrin för dessa arbetsbelastningar alltmer komplexa.

I den här lektionen får du lära dig hur Tailwind Traders kan övervaka konfigurationen av sina lokala och molnbaserade arbetsbelastningar och få aviseringar om misstänkt aktivitet. Du får också lära dig hur Tailwind Traders kan effektivisera uppdateringar av sina lokala operativsystem och molnserveroperativsystem.

Vad är Microsoft Defender för molnet?

Microsoft Defender för molnet kan du utvärdera säkerhetskonfigurationen för olika arbetsbelastningar. Du kan använda Microsoft Defender för molnet för att:

  • Implementera rekommenderade säkerhetsmetoder för IaaS (infrastruktur som en tjänst), PaaS (plattform som en tjänst), data och lokala resurser.
  • Verifiera att säkerhetskonfigurationen följer myndighetsstandarder.
  • Skydda data genom att identifiera misstänkt aktivitet, till exempel mönster som är associerade med exfiltrering av data.
  • Klassificera data som finns i SQL-databaser.

I hybridmiljöer kan Defender för molnet integreras med Log Analytics-agenten för att samla in händelselogghändelser, händelsespårningstelemetri och kraschdumpfiler. Defender för molnet kan sedan utföra en analys av dessa data för att ge rekommendationer eller generera aviseringar som kan vidarebefordras till en organisations SIEM-system (Security Incident and Event Management).

Tailwind Traders har olika verktyg som de använder för att bedöma om säkerhetskonfigurationen för dess Windows Server- och Linux-arbetsbelastningar uppfyller publicerade standarder från tredje part. I takt med att tailwind Traders använder fler hybridtekniker kan de använda Microsoft Defender för molnet för att övervaka och åtgärda säkerhetskonfigurationen för sitt lokala serveroperativsystem och den växande distributionen av arbetsbelastningar i molnet.

Vad är Microsoft Sentinel?

Med Microsoft Sentinel kan organisationer med hybridmolnlösningar mata in telemetri från säkerhetshändelseloggar för både lokalt och molnet. Microsoft Sentinel är både en SIEM- och en SOAR-lösning (Security Orchestration, Automation och Response).

SIEM-lösningar lagrar och analyserar loggdata och händelsetelemetri som matas in från externa källor. Microsoft Sentinel stöder inmatning av data från lokala platser, Azure och molnplatser från tredje part, inklusive från andra SIEM-system. Med SOAR-lösningar kan du orkestrera dataanalyser. De hjälper dig att automatisera svar på kända hot.

Följande bild visar en Microsoft Sentinel-hybridarkitektur.

Diagram över loggtelemetri för lokala arbetsbelastningar och arbetsbelastningar i moln från tredje part som vidarebefordras till Microsoft Defender för molnet och Microsoft Sentinel.

Microsoft Sentinel kan utföra följande uppgifter när det stöder hybridmiljöer:

  • Samla in data från molnbaserade och lokala användare, enheter, program och infrastruktur.
  • Använda AI och djupinlärning för att identifiera potentiellt skadlig aktivitet i händelsedata.
  • Identifiera hot genom att analysera händelsedata baserat på attacksignaturer som genereras av Microsofts säkerhetsundersökningar.
  • Använda säkerhetsspelböcker för att hantera incidenter med kända egenskaper automatiskt.

Microsoft Sentinel innehåller inbyggda arbetsböcker som hjälper dig att analysera data och kan ge rekommendationer åt dig. Du kan snabbt förstå misstänkt säkerhetstelemetri och slipper gå igenom den manuellt för att försöka begripa vad den betyder. Du kan också importera eller använda anpassade arbetsböcker. Arbetsböckerna baseras på erfarenheter från andra säkerhetsforskare som hittade effektiva metoder för säkerhetstelemetrianalys som skiljer sig från de metoder som ingår i Microsoft Sentinel.

Tailwind Traders har ett lokalt SIEM-system som samlar in och analyserar händelseloggdata från olika datorer och enheter. Även om detta SIEM-system var tillräckligt när Tailwind Traders bara hade en lokal distribution, gör införandet av Microsoft Sentinel att Tailwind Traders kan utöka den här kapaciteten till sitt hybridmoln.

Tailwind Traders kommer sannolikt att ansluta sin befintliga SIEM-lösning till Microsoft Sentinel. Den här anslutningen ger företaget fördelarna med Microsoft Sentinels AI och djupinlärning utan att behöva ändra den befintliga lokala konfigurationen avsevärt.

Vad är Azure Automation Update Management?

Med Azure Automation Update Management kan du hantera uppdateringarna till dina lokala och molnbaserade serveroperativsystem med hjälp av en enda konsol i molnet. Uppdateringshantering kan användas med Microsoft Windows Server-arbetsbelastningar och med arbetsbelastningar för Linux-operativsystem som stöds och som körs fysiskt eller virtuellt.

Uppdateringshantering kan använda Microsoft Update eller Windows Server Update Services (WSUS) som uppdateringskälla för Windows Server-operativsystem. Uppdateringshantering kan också använda en offentlig eller anpassad lagringsplats för Linux-paket till att uppdatera Linux-operativsystem. Med Uppdateringshantering kan du ta reda på vilka uppdateringar som saknas i registrerade operativsystem.

I följande diagram ser du hur Uppdateringshantering integrerar med Azure Automation- och Log Analytics-arbetsytor.

diagram över lokala datorer och virtuella Azure-datorer som ansluter till Azure Automation-runbooks via TCP-port 443 i en hybridarkitektur för uppdateringshantering.

När du konfigurerar en uppdateringsdistribution anger du:

  • Oavsett om uppdateringsdistributionen riktar sig mot Windows- eller Linux-datorer kan du inte rikta in dig på båda typerna samtidigt.
  • De specifika registrerade servrar du vill köra distributionen mot.
  • Uppdateringsklassificeringarna som ska installeras.
  • Om specifika uppdateringar ska inkluderas eller undantas från distributionen.
  • Schemat för distributionen, t.ex. om distributionen ska ske regelbundet.
  • Eventuella preupdate- och post-update-skript som ska köras.
  • Den maximala underhållsperioden, där de sista 20 minuterna går till att starta om systemet.
  • Omstartsalternativen som avgör om systemet ska startas om, om det är nödvändigt för att uppdateringarna ska slutföra installationen.

Företaget har WSUS och andra verktyg för att hantera uppdateringarna av sina lokala Windows- och Linux-operativsystem. Genom att konfigurera företagets arbetsbelastningar på virtuella IaaS-datorer (både lokala och molnbaserade) så att de ansluter till Azures programuppdateringstjänst kan Tailwind Traders enkelt hålla alla operativsystem med kritiska arbetsbelastningar uppdaterade.

Kontrollera dina kunskaper

1.

Tailwind Traders vill att en testgrupp med Windows- och Linux-servrar automatiskt ska få uppdateringar när de publiceras, vilket sker varje vecka. Dessutom vill företaget att produktionsgrupperna för Windows- och Linux-servrar bara ska få uppdateringar en gång i månaden, efter att de vet att uppdateringarna inte orsakar problem på testgruppsservrar. Hur många uppdateringsdistributioner krävs i det här upplägget?

2.

Vilken av följande säkerhetstekniker för hybridmoln kan Tailwind Traders använda för att utvärdera säkerhetskonfigurationen på lokala servrar och virtuella IaaS-datorer som kör Windows Server 2019?