混合式雲端環境中的安全性

  • 10 分鐘

Tailwind Traders 打算採用混合式雲端態勢。 相較於僅在內部部署中部署工作負載,這個舉動將使其環境變得更複雜。 此外,這些工作負載的安全性設定和遙測資料會變得越來越複雜。

在此單元中,您將了解 Tailwind Traders 如何監視其內部部署與雲端工作負載的設定,並收到任何可疑活動的警示。 您也會了解 Tailwind Traders 如何簡化其內部部署與雲端伺服器作業系統的更新。

什麼是適用於雲端的 Microsoft Defender?

適用於雲端的 Microsoft Defender 可讓您評定各種工作負載的安全性設定。 您可以使用適用於雲端的 Microsoft Defender:

  • 實作跨基礎結構即服務 (IaaS)、平台即服務 (PaaS)、資料與內部部署資源的安全性最佳做法。
  • 根據法規標準追蹤安全性設定合規性。
  • 透過識別可疑活動 (例如,與資料外流相關聯的模式) 來保護資料。
  • 將裝載於 SQL 資料庫的資料分類。

在混合式環境中,適用於雲端的 Defender 可以與 Log Analytics 代理程式整合,以收集事件記錄的事件、事件追蹤的遙測,以及損毀傾印檔案。 適用於雲端的 Defender 接著可執行該資料的分析,以提出建議或產生可轉送至組織安全性資訊與事件管理 (SIEM) 系統的警示。

Tailwind Traders 目前使用各種工具來評定其 Windows Server 與 Linux 工作負載的安全性設定是否符合已發佈第三方標準。 透過採用適用於雲端的 Microsoft Defender,Tailwind Traders 能夠監視及補救其內部部署伺服器作業系統的安全性設定,以及雲端中不斷成長的工作負載部署 (因為其採用更多混合式技術)。

什麼是 Microsoft Sentinel?

Microsoft Sentinel 可讓具有混合式雲端解決方案的組織,能夠針對內部部署與雲端,內嵌來自安全性事件記錄檔的遙測。 Microsoft Sentinel 是 SIEM 與安全性協調流程、自動化及回應 (SOAR) 解決方案。

SIEM 解決方案會儲存並分析其從外部來源內嵌的記錄資料和事件遙測。 Microsoft Sentinel 支援從內部部署、Azure 和第三方雲端位置 (包括來自其他 SIEM 系統) 內嵌資料。 SOAR 解決方案可讓您協調資料的分析。 其可協助您建立對已知威脅的自動化回應。

下圖顯示 Sentinel 混合式架構。

顯示針對內部部署工作負載與協力廠商雲端中工作負載的記錄遙測,會轉送到適用於雲端的 Microsoft Defender 與 Microsoft Sentinel 的圖表。

Microsoft Sentinel 在支援混合式環境時可執行下列工作:

  • 跨雲端式和內部部署使用者、裝置、應用程式和基礎結構收集資料。
  • 使用 AI 和深度學習來識別事件資料中可能惡意的活動。
  • 依據 Microsoft 安全性研究產生的攻擊特徵,透過分析事件資料來偵測威脅。
  • 使用安全性劇本,自動回應具有已知特性的事件。

Sentinel 包含可協助分析資料的內建活頁簿,並可為您提供建議。 然後,您可以快速理解可疑的安全性遙測,而非透過排序來嘗試了解其意義。 您也可以根據其他安全性研究人員的體驗來匯入或使用自訂活頁簿,這些研究人員發現了與 Sentinel 中所包含安全性遙測分析方法不同的有效方法。

Tailwind Traders 目前擁有內部部署 SIEM 系統,其可收集及分析來自各種電腦與裝置的事件記錄資料。 雖然此 SIEM 系統在 Tailwind Traders 只有內部部署的情況下就已足夠,但採用 Microsoft Sentinel,即允許 Tailwind Traders 將此容量延伸到其混合式雲端。

Tailwind Traders 也可能將其現有的 SIEM 解決方案連線至 Sentinel。 此連線讓公司無須大幅修改現有的內部部署設定,即可從 Sentinel AI 與深度學習中受益。

什麼是 Azure 自動化更新管理?

Azure 自動化更新管理可讓您使用雲端中的單一主控台,管理對您內部部署 與雲端伺服器作業系統的更新。 更新管理適用於 Microsoft Windows Server 工作負載,以及實際和虛擬執行的受支援 Linux 作業系統工作負載。

更新管理可以使用 Microsoft Update 或 Windows Server Update Services (WSUS) 作為 Windows Server 作業系統的更新來源。 更新管理也可以使用公用或自訂 Linux 套件存放庫,對 Linux 作業系統進行更新。 更新管理可讓您判斷已註冊的作業系統目前遺漏哪些更新。

下圖顯示更新管理如何與 Azure 自動化及 Log Analytics 工作區整合。

顯示內部部署和 Azure VM 集合的圖表,其可透過混合式更新管理結構中的 TCP 連接埠 443 連線至 Azure 自動化 Runbook、Log Analytics 工作區和自動化混合式背景工作角色解決方案。

當您設定更新部署時,可以指定:

  • 更新部署會以 Windows 還是 Linux 電腦為目標。 您無法同時以這兩種類型為目標。
  • 您想要作為部署目標的特定已註冊伺服器。
  • 應該安裝的更新分類。
  • 應包含或排除特定的更新。
  • 部署的排程,包括是否應定期進行部署。
  • 任何應該執行的更新前和更新後指令碼。
  • 最長的維護期間長度,該期間的最後 20 分鐘專門用於系統重新啟動。
  • 重新啟動選項,可判斷系統是否應該需要針對更新進行重新啟動,以完成安裝。

Tailwind Traders 目前使用 WSUS 和其他工具來管理其內部部署 Windows 和 Linux 作業系統的更新。 透過將其 IaaS 虛擬機器的作業系統工作負載 (內部部署與雲端) 設定為連線至 Azure 軟體更新,Tailwind Traders 可確定裝載重要工作負載的所有作業系統都保持最新狀態。

檢定您的知識

1.

Tailwind Traders 想要確定 Windows 與 Linux 伺服器的測試群組會在其每週發佈時,自動取得更新。 此外,公司希望 Windows 與 Linux 伺服器的生產群組每個月只會獲得一次更新,但前提是其不會對測試群組伺服器造成問題。 需要設定多少個更新部署,才能支援此方案?

2.

Tailwind Traders 可以使用下列哪一種混合式安全性技術,來評定執行 Windows Server 2019 作業系統之內部部署伺服器和 IaaS VM 的安全性設定?