Säkerhet i miljöer med hybridmoln

  • 10 minuter

Tailwind Traders planerar att implementera en hybridmolnstrategi. Det innebär att miljön blir mer komplex jämfört med när arbetsbelastningarna endast distribuerades lokalt. Även säkerhetskonfigurationen och telemetrin för dessa arbetsbelastningar blir mer komplex.

I den här lektionen får du lära dig hur Tailwind Traders kan övervaka konfigurationen av lokala och molnbaserade arbetsbelastningar och få aviseringar om misstänkt aktivitet. Du lär dig också hur Tailwind Traders kan effektivisera uppdateringen av operativsystemen på företagets lokala och molnbaserade servrar.

Vad är Microsoft Defender för molnet?

Microsoft Defender för molnet kan du utvärdera säkerhetskonfigurationen för olika arbetsbelastningar. Du kan använda Microsoft Defender för molnet för att:

  • Implementera rekommenderade säkerhetsmetoder för IaaS (infrastruktur som en tjänst), PaaS (plattform som en tjänst), data och lokala resurser.
  • Verifiera att säkerhetskonfigurationen följer myndighetsstandarder.
  • Skydda data genom att identifiera misstänkt aktivitet, till exempel mönster som är associerade med exfiltrering av data.
  • Klassificera data som finns i SQL-databaser.

I hybridmiljöer kan Defender för molnet integreras med Log Analytics-agenten för att samla in händelselogghändelser, händelsespårningstelemetri och kraschdumpfiler. Defender för molnet kan sedan utföra en analys av dessa data för att ge rekommendationer eller generera aviseringar som kan vidarebefordras till en organisations SIEM-system (Security Incident and Event Management).

För närvarande använder Tailwind Traders flera olika verktyg för att avgöra om säkerhetskonfigurationen för Windows Server- och Linux-arbetsbelastningarna följer publicerade tredjepartsstandarder. Genom att använda Microsoft Defender för molnet kommer Tailwind Traders att kunna övervaka och åtgärda säkerhetskonfigurationen för sina serveroperativsystem lokalt och den växande distributionen av arbetsbelastningar i molnet när de inför fler hybridtekniker.

Vad är Microsoft Sentinel?

Med Microsoft Sentinel kan organisationer med hybridmolnlösningar mata in telemetri från säkerhetshändelseloggar för både lokalt och molnet. Microsoft Sentinel är både en SIEM- och en SOAR-lösning (Security Orchestration, Automation och Response).

SIEM-lösningar lagrar och analyserar loggdata och händelsetelemetri som matas in från externa källor. Microsoft Sentinel stöder inmatning av data från lokala platser, Azure och molnplatser från tredje part, inklusive från andra SIEM-system. Med SOAR-lösningar kan du orkestrera dataanalyser. De hjälper dig att automatisera svar på kända hot.

I följande bild ser du en Sentinel-hybridarkitektur.

Diagram som visar loggtelemetri för lokala arbetsbelastningar och arbetsbelastningar i moln från tredje part som vidarebefordras till Microsoft Defender för molnet och Microsoft Sentinel.

Microsoft Sentinel kan utföra följande uppgifter när det stöder hybridmiljöer:

  • Samla in data från molnbaserade och lokala användare, enheter, program och infrastruktur.
  • Använda AI och djupinlärning för att identifiera potentiellt skadlig aktivitet i händelsedata.
  • Identifiera hot genom att analysera händelsedata baserat på attacksignaturer som genereras av Microsofts säkerhetsundersökningar.
  • Använda säkerhetsspelböcker för att hantera incidenter med kända egenskaper automatiskt.

De inbyggda arbetsböckerna i Sentinel gör det enkelt att analysera data och kan ge användbara rekommendationer. Du kan snabbt förstå misstänkt säkerhetstelemetri och slipper gå igenom den manuellt för att försöka begripa vad den betyder. Du kan också importera eller använda anpassade arbetsböcker från annan säkerhetspersonal som har hittat andra effektiva metoder att analysera säkerhetsrelaterad telemetri än de som är tillgängliga i Sentinel.

Tailwind Traders har för närvarande ett lokalt SIEM-system som samlar in och analyserar händelseloggdata från olika datorer och enheter. Även om detta SIEM-system var tillräckligt när Tailwind Traders bara hade en lokal distribution, gör införandet av Microsoft Sentinel att Tailwind Traders kan utöka kapaciteten till sitt hybridmoln.

Tailwind Traders kan förmodligen också ansluta sin befintliga SIEM-lösning till Sentinel. Den här anslutningen gör att företaget kan dra nytta av Sentinels AI och djupinlärning, utan att behöva ändra den befintliga lokala konfigurationen så mycket.

Vad är Azure Automation Update Management?

Med Azure Automation Update Management kan du hantera uppdateringarna till dina lokala och molnbaserade serveroperativsystem med hjälp av en enda konsol i molnet. Uppdateringshantering kan användas med Microsoft Windows Server-arbetsbelastningar och med arbetsbelastningar för Linux-operativsystem som stöds och som körs fysiskt eller virtuellt.

Uppdateringshantering kan använda Microsoft Update eller Windows Server Update Services (WSUS) som uppdateringskälla för Windows Server-operativsystem. Uppdateringshantering kan också använda en offentlig eller anpassad lagringsplats för Linux-paket till att uppdatera Linux-operativsystem. Med Uppdateringshantering kan du ta reda på vilka uppdateringar som saknas i registrerade operativsystem.

I följande diagram ser du hur Uppdateringshantering integrerar med Azure Automation- och Log Analytics-arbetsytor.

Diagram som visar en samling lokala och virtuella Azure-datorer som ansluter till Azure Automation-runbooks, Log Analytics-arbetsytor och Automation Hybrid Worker-lösningar via TCP-port 443 i en hybridarkitektur för uppdateringshantering.

När du konfigurerar en uppdateringsdistribution anger du:

  • Om uppdateringsdistributionen ska köras mot Windows-eller Linux-datorer. Du kan inte rikta in dig mot båda typerna samtidigt.
  • De specifika registrerade servrar du vill köra distributionen mot.
  • Uppdateringsklassificeringarna som ska installeras.
  • Om vissa uppdateringar ska tas med eller undantas.
  • Schemat för distributionen, t.ex. om distributionen ska ske regelbundet.
  • Skript som ska köras före eller efter uppdateringen.
  • Den maximala underhållsperioden, där de sista 20 minuterna går till att starta om systemet.
  • Alternativ för omstart som avgör om systemet ska startas om, om det är nödvändigt för att slutföra installationen.

För närvarande använder Tailwind Traders WSUS och andra verktyg för att hantera uppdateringarna av lokala Windows- och Linux-operativsystem. Genom att konfigurera företagets arbetsbelastningar på virtuella IaaS-datorer (både lokala och molnbaserade) så att de ansluter till Azures programuppdateringstjänst kan Tailwind Traders enkelt hålla alla operativsystem med kritiska arbetsbelastningar uppdaterade.

Kontrollera dina kunskaper

1.

Tailwind Traders vill att en testgrupp med Windows- och Linux-servrar automatiskt ska få uppdateringar när de publiceras, vilket sker varje vecka. De vill också att produktionsgrupperna med Windows- och Linux-servrar endast ska få uppdateringar en gång i månaden, när det bekräftats att de inte orsakar problem på servrarna i testgruppen. Hur många uppdateringsdistributioner krävs i det här upplägget?

2.

Vilken av följande säkerhetstekniker för hybridmoln kan Tailwind Traders använda för att utvärdera säkerhetskonfigurationen på lokala servrar och virtuella IaaS-datorer som kör Windows Server 2019?