你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure 上可持续工作负载的安全注意事项
在 Azure 上设计可持续工作负载必须包含安全性,这是项目所有阶段的基本原则。 了解实现更可持续的安全态势的注意事项和建议。
重要
本文是 Azure Well-Architected可持续工作负载 系列的一部分。 如果不熟悉本系列,建议从 什么是可持续工作负载开始?
安全监视
使用云原生安全监视解决方案优化可持续性。
在适用的情况下使用云原生日志收集方法
传统上,用于引入安全信息和事件管理 (SIEM) 解决方案的日志收集方法需要使用中间资源来收集、分析、筛选日志并将其传输到中央收集系统。 使用此设计可能会产生更多的基础结构以及相关的财务和碳相关成本的开销。
建议:
- 使用云原生 服务到服务连接器 简化了服务和 SIEM 之间的集成,并消除了额外基础结构的开销。
- 可以使用以前部署的代理(例如 Azure Monitor Analytics 代理)从现有计算资源引入日志数据。 查看如何 从 Log Analytics 代理迁移到 Azure Monitor 代理。
- 请考虑以下权衡:部署更多监视代理会增加处理开销,因为它需要更多的计算资源。 仔细设计和规划满足解决方案的安全要求所需的信息量,并找到要存储和保留的适当级别的信息。
- 减少不必要的数据收集的可能解决方案是依赖于 Azure Monitor 数据收集规则 (DCR) 。
避免将大型未筛选数据集从一个云服务提供商传输到另一个云服务提供商
传统的 SIEM 解决方案要求将所有日志数据引入并存储在集中位置。 在多云环境中,此解决方案可能导致大量数据从云服务产品传输到另一个云服务,从而增加网络和存储基础结构的负担。
建议:
- 云原生安全服务可以对相关安全数据源执行本地化分析。 此分析允许将大量日志数据保留在源云服务提供商环境中。 云原生 SIEM 解决方案可以通过 API 或连接器连接到 这些安全服务,以仅传输相关的安全事件或事件数据。 此解决方案可以大大减少传输的数据量,同时保持高级别的安全信息以响应事件。
随着时间的推移,使用所述方法有助于降低数据流出量和存储成本,这本质上有助于减少排放。
在传输到 SIEM 或引入到 SIEM 之前筛选或排除日志源
请考虑存储来自所有可能源的所有日志的复杂性和成本。 例如,应用程序、服务器、诊断和平台活动。
建议:
- 为云原生 SIEM 解决方案设计日志收集策略时,请考虑基于环境所需的 Microsoft Sentinel 分析规则 的用例,并匹配所需的日志源以支持这些规则。
- 此选项有助于消除不必要的日志数据的传输和存储,从而减少环境中的碳排放量。
将日志数据存档到长期存储
由于法规遵从性的原因,许多客户都要求长时间存储日志数据。 在这些情况下,将日志数据存储在 SIEM 系统的主存储位置是一种成本高昂的解决方案。
绿色软件基金会的对齐方式: 能源效率
建议:
- 可以将日志数据 移出到更便宜的长期存储选项 ,该选项尊重客户的保留策略,但通过利用单独的存储位置来降低成本。
网络体系结构
遵循网络安全体系结构的良好做法,提高效率并避免不必要的流量。
使用云原生网络安全控制来消除不必要的网络流量
使用集中式路由和防火墙设计时,所有网络流量都会发送到中心进行检查、筛选和继续路由。 虽然此方法集中实施策略,但它可能会给来自源资源的不必要的流量在网络上造成开销。
建议:
最大程度地减少从终结点到目标的路由
在许多客户环境中,尤其是在混合部署中,所有最终用户设备网络流量都通过本地系统路由,然后才允许访问 Internet。 通常,发生这种情况是因为需要检查所有 Internet 流量。 通常,这需要本地环境中的较高容量网络安全设备,或云环境中的更多设备。
绿色软件基金会的对齐方式: 能源效率
建议:
- 最大限度地减少从终结点到目标的路由。
- 在可能的情况下,应优化最终用户设备,以 将已知流量直接拆分到云服务 ,同时继续路由和检查所有其他目标的流量。 使这些功能和策略更接近最终用户设备可以防止不必要的网络流量及其关联的开销。
将网络安全工具与自动缩放功能配合使用
根据网络流量,有时安全设备的需求会很高,而其他时候则较低。 许多网络安全设备被大规模部署,以应对最高的预期需求,导致效率低下。 此外,重新配置这些工具通常需要重新启动,从而导致不可接受的停机时间和管理开销。
绿色软件基础对齐: 硬件效率
建议:
- 利用自动缩放,可以正确调整后端资源的大小以满足需求,而无需手动干预。
- 此方法将大大缩短对网络流量更改做出反应的时间,从而减少不必要的资源的浪费,并提高可持续性效果。
- 阅读如何在应用程序网关上启用 Web 应用程序防火墙 (WAF) ,以及部署和配置 Azure 防火墙 Premium,详细了解相关服务。
评估是否使用 TLS 终止
终止和重新建立 TLS 是某些体系结构中可能不需要的 CPU 消耗。
绿色软件基金会的对齐方式: 能源效率
建议:
- 考虑是否可以在边界网关上终止 TLS,并继续在工作负载负载均衡器直到工作负载级别上使用非 TLS。
- 查看 有关 TLS 终止 的信息,以更好地了解它带来的性能和利用率影响。
- 考虑权衡:平衡的安全级别可以提供更可持续且更节能的工作负载,而更高的安全级别可能会增加对计算资源的需求。
使用 DDoS 防护
分布式拒绝服务 (DDoS) 攻击旨在通过压倒操作系统来破坏操作系统,从而对云中的资源产生重大影响。 成功的攻击会淹没网络和计算资源,导致不必要的使用量和成本激增。
建议:
- DDoS 防护旨在 缓解抽象层的攻击,因此攻击在到达任何客户运营的服务之前会得到缓解。
- 减少对计算和网络服务的任何恶意使用最终将有助于减少不必要的碳排放。
终结点安全性
我们必须保护云中的工作负载和解决方案。 了解如何一直优化到客户端设备的缓解策略可以产生减少排放的积极结果。
集成 Microsoft Defender for Endpoint
对云基础结构的许多攻击都试图滥用部署的资源来直接获取攻击者的收益。 两个这样的滥用案例是僵尸网络和加密挖掘。
这两种情况都涉及控制客户操作的计算资源,并使用它们创建新的加密货币硬币,或作为资源网络,从中启动辅助操作(如 DDoS 攻击或大规模电子邮件垃圾邮件活动)。
绿色软件基础对齐: 硬件效率
建议:
- 将 Microsoft Defender for Endpoint 与 Defender for Cloud 集成,以识别和关闭加密挖掘和僵尸网络。
- EDR 功能提供高级攻击检测,并能够采取响应操作来修正这些威胁。 这些常见攻击造成的不必要的资源使用情况可以快速发现和修正,通常无需安全分析师的干预。
报表
在正确的时间获取正确的信息和见解对于生成有关安全设备排放的报告非常重要。
标记安全资源
快速查找和报告租户中的所有安全设备可能是一项挑战。 在为企业设计更具可持续性的运营模型的策略时,确定安全资源会有所帮助。
绿色软件基金会的一致性: 衡量可持续性
建议:
- 标记安全资源以记录安全资源的排放影响。
后续步骤
查看可持续性的设计原则。