混合云环境中的安全性

已完成

Tailwind Traders 计划采用混合云态势。 与仅在本地部署工作负载时相比,此举将使他们的环境变得更加复杂。 此外,这些工作负载的安全配置和遥测将变得越来越复杂。

在本单元中,你将了解 Tailwind Traders 如何监视其本地和云工作负载的配置以及如何在发生任何可疑活动时收到警报。 还将了解 Tailwind Traders 如何简化其本地和云服务器操作系统的更新。

什么是 Microsoft Defender for Cloud?

通过 Microsoft Defender for Cloud,可以评估各种工作负载的安全配置。 可使用 Microsoft Defender for Cloud 执行以下操作:

  • 在基础结构即服务 (IaaS)、平台即服务 (PaaS)、数据和本地资源中实现安全性最佳做法。
  • 跟踪安全配置是否符合法规标准。
  • 通过识别可疑活动(例如与数据泄露相关的模式)来保护数据。
  • 对 SQL 数据库中托管的数据进行分类。

在混合环境中,Defender for Cloud 可与 Log Analytics 代理集成,以收集事件日志事件、事件跟踪遥测和故障转储文件。 然后,Defender for Cloud 可以对该数据进行分析,以提出建议或生成可转发到组织的安全事件和事件管理 (SIEM) 系统的警报。

Tailwind Traders 当前使用各种工具来评估其 Windows Server 和 Linux 工作负载的安全配置是否符合已发布的第三方标准。 通过采用 Microsoft Defender for Cloud 和更多混合技术,Tailwind Traders 将能够监视和修正其本地服务器操作系统的安全配置及其在云中不断增长的工作负载部署。

什么是 Microsoft Sentinel?

Microsoft Sentinel 允许拥有混合云解决方案的组织从本地和云的安全事件日志中获取遥测信息。 Microsoft Sentinel 既是 SIEM,又是安全编排自动化响应 (Security Orchestration Automation and Response,SOAR) 解决方案。

SIEM 解决方案可存储和分析从外部来源引入的日志数据和事件遥测。 Microsoft Sentinel 支持从本地、Azure 和第三方云位置(包括从其他 SIEM 系统)引入数据。 SOAR 解决方案使你可以协调数据分析。 它们还有助于你创建对已知威胁的自动响应。

下图显示了 Sentinel 混合体系结构。

图中显示了本地工作负载和第三方云中的工作负载将日志遥测转发到 Microsoft Defender for Cloud 和 Microsoft Sentinel。

支持混合环境时,Microsoft Sentinel 可以执行以下任务:

  • 跨云和本地用户、设备、应用程序和基础结构收集数据。
  • 使用 AI 和深度学习来识别事件数据中潜在的恶意活动。
  • 基于 Microsoft 安全研究生成的攻击签名,通过分析事件数据来检测威胁。
  • 通过使用安全剧本,自动响应具有已知特征的事件。

Sentinel 包括内置的工作簿,用于帮助分析数据并提供建议。 然后,你可以快速理解可疑的安全遥测,而不必对其进行排序以试图理解其含义。 还可以根据其他安全研究人员的经验导入或使用自定义工作簿,他们发现了与 Sentinel 中包含的方法不同的高效安全遥测分析方法。

Tailwind Traders 当前拥有本地 SIEM 系统,该系统可以收集和分析来自各种计算机和设备的事件日志数据。 虽然当 Tailwind Traders 仅进行本地部署时,使用此 SIEM 系统就足够了,但采用 Microsoft Sentinel 将允许 Tailwind Traders 将此功能扩展到其混合云中。

Tailwind Traders 也有可能将其现有的 SIEM 解决方案连接到 Sentinel。 此连接为公司提供了 Sentinel 的 AI 和深度学习的好处,而无需对其现有的本地配置进行重大修改。

什么是 Azure 自动化更新管理?

通过 Azure 自动化更新管理,可以使用云中的单个控制台来管理对本地和云服务器操作系统的更新。 更新管理适用于 Microsoft Windows Server 工作负载以及通过物理和虚拟方式运行的受支持的 Linux 操作系统工作负载。

更新管理可以使用 Microsoft 更新或 Windows Server Update Services (WSUS) 作为 Windows Server 操作系统的更新源。 更新管理还可将公共或自定义 Linux 包系统存储库用于 Linux 操作系统更新。 通过更新管理,可以确定已注册的操作系统当前缺少哪些更新。

下图显示了更新管理与 Azure 自动化和 Log Analytics 工作区的集成方法。

图中显示了本地和 Azure VM 的集合,它们通过混合更新管理体系结构中的 TCP 端口 443 连接到 Azure 自动化 runbook、Log Analytics 工作区和自动化混合辅助角色解决方案。

配置更新部署时,请指定以下项:

  • 更新部署面向 Windows 计算机还是 Linux 计算机。 不能同时针对这两种类型。
  • 要作为部署目标的特定已注册服务器。
  • 应安装的更新分类。
  • 应包括特定更新还是应将其排除。
  • 部署计划,包括是否应定期进行部署。
  • 任何应运行的更新前和更新后脚本。
  • 维护时段的最大长度,该时段的最后 20 分钟专门用于系统重启。
  • 重启选项,用于确定是否需要更新才能完成更新,以完成安装。

Tailwind Traders 当前使用 WSUS 和其他工具来管理对其本地 Windows 和 Linux 操作系统的更新。 通过为 IaaS 虚拟机(本地和云中)配置操作系统工作负载以连接到 Azure 软件更新,Tailwind Traders 可以确保托管关键工作负载的所有操作系统保持最新。

知识检查

1.

Tailwind Traders 希望确保 Windows 和 Linux 服务器的测试组在每周发布时自动获取更新。 此外,该公司希望 Windows 和 Linux 服务器的生产组每个月仅获取一次更新,因为他们知道它们不会对测试组服务器造成问题。 需要配置多少个更新部署才能支持此计划?

2.

Tailwind Traders 可以使用以下哪种混合安全技术来评估运行 Windows Server 2019 操作系统的本地服务器和 IaaS VM 的安全配置?