Säkerhetsöverväganden för hållbara arbetsbelastningar i Azure

Att utforma hållbara arbetsbelastningar i Azure måste omfatta säkerhet, vilket är en grundläggande princip genom alla faser i ett projekt. Lär dig mer om överväganden och rekommendationer som leder till en mer hållbar säkerhetsstatus.

Viktigt

Den här artikeln är en del av serien med hållbara arbetsbelastningar i Azure Well-Architected . Om du inte är bekant med den här serien rekommenderar vi att du börjar med vad som är en hållbar arbetsbelastning?

Säkerhetsövervakning

Använd molnbaserade säkerhetsövervakningslösningar för att optimera för hållbarhet.

Använd molnbaserade logginsamlingsmetoder där det är tillämpligt

Traditionellt krävde logginsamlingsmetoder för inmatning till en SIEM-lösning (Security Information and Event Management) användning av en mellanliggande resurs för att samla in, parsa, filtrera och överföra loggar vidare till det centrala insamlingssystemet. Den här designen kan medföra mer infrastruktur och tillhörande ekonomiska och koldioxidrelaterade kostnader.

Green Software Foundation-anpassning: Maskinvarueffektivitet, Energieffektivitet

Rekommendation:

  • Användning av molnbaserade tjänst-till-tjänst-anslutningar förenklar integreringen mellan tjänsterna och SIEM och tar bort kostnaden för extra infrastruktur.
  • Det går att mata in loggdata från befintliga beräkningsresurser med hjälp av tidigare distribuerade agenter, till exempel Azure Monitor Analytics-agenten. Läs om hur du migrerar till Azure Monitor-agenten från Log Analytics-agenten.
  • Överväg den här kompromissen: Om du distribuerar fler övervakningsagenter ökar bearbetningskostnaderna eftersom det behövs fler beräkningsresurser. Utforma och planera noggrant hur mycket information som behövs för att täcka säkerhetskraven för lösningen och hitta en lämplig informationsnivå att lagra och behålla.

Undvik att överföra stora ofiltrerade datamängder från en molntjänstleverantör till en annan

Konventionella SIEM-lösningar krävde att alla loggdata matades in och lagrades på en central plats. I en miljö med flera moln kan den här lösningen leda till att en stor mängd data överförs från en molntjänst och till en annan, vilket orsakar ökad belastning på nätverket och lagringsinfrastrukturen.

Green Software Foundation-anpassning: Koldioxideffektivitet, Energieffektivitet

Rekommendation:

  • Molnbaserade säkerhetstjänster kan utföra lokaliserad analys av relevant säkerhetsdatakälla. Den här analysen gör att huvuddelen av loggdata kan finnas kvar i molntjänstleverantörens källmiljö. Molnbaserade SIEM-lösningar kan anslutas via ett API eller anslutningsprogram till dessa säkerhetstjänster för att endast överföra relevanta säkerhetsincidenter eller händelsedata. Den här lösningen kan avsevärt minska mängden data som överförs samtidigt som en hög säkerhetsinformationsnivå bibehålls för att svara på en incident.

Med den beskrivna metoden kan du med tiden minska kostnaderna för utgående data och lagring, vilket i sig bidrar till att minska utsläppen.

Filtrera eller exkludera loggkällor före överföring eller inmatning till en SIEM

Överväg komplexiteten och kostnaden för att lagra alla loggar från alla möjliga källor. Till exempel program, servrar, diagnostik och plattformsaktivitet.

Green Software Foundation-anpassning: Koldioxideffektivitet, Energieffektivitet

Rekommendation:

  • När du utformar en strategi för logginsamling för molnbaserade SIEM-lösningar bör du överväga användningsfallen baserat på de Microsoft Sentinel-analysregler som krävs för din miljö och matcha de loggkällor som krävs för att stödja dessa regler.
  • Det här alternativet kan hjälpa till att ta bort onödig överföring och lagring av loggdata, vilket minskar koldioxidutsläppen i miljön.

Arkivera loggdata till långsiktig lagring

Många kunder har ett krav på att lagra loggdata under en längre period på grund av regelefterlevnadsskäl. I dessa fall är lagring av loggdata på SIEM-systemets primära lagringsplats en kostsam lösning.

Green Software Foundation-anpassning: Energieffektivitet

Rekommendation:

Nätverksarkitektur

Öka effektiviteten och undvik onödig trafik genom att följa god praxis för nätverkssäkerhetsarkitekturer.

Använd molnbaserade nätverkssäkerhetskontroller för att eliminera onödig nätverkstrafik

När du använder en centraliserad routnings- och brandväggsdesign skickas all nätverkstrafik till hubben för kontroll, filtrering och vidare routning. Även om den här metoden centraliserar principtillämpningen kan den skapa ett omkostnader i nätverket med onödig trafik från källresurserna.

Green Software Foundation-anpassning: Maskinvarueffektivitet, Energieffektivitet

Rekommendation:

  • Använd Nätverkssäkerhetsgrupper och Programsäkerhetsgrupper för att filtrera trafik vid källan och för att ta bort onödig dataöverföring. Med dessa funktioner kan du minska belastningen på molninfrastrukturen, med lägre bandbreddskrav och mindre infrastruktur att äga och hantera.

Minimera routning från slutpunkter till målet

I många kundmiljöer, särskilt i hybriddistributioner, dirigeras all nätverkstrafik för slutanvändarens enhet via lokala system innan den tillåts nå Internet. Detta sker vanligtvis på grund av kravet på att inspektera all Internettrafik. Detta kräver ofta nätverkssäkerhetsenheter med högre kapacitet i den lokala miljön eller flera enheter i molnmiljön.

Green Software Foundation-anpassning: Energieffektivitet

Rekommendation:

  • Minimera routning från slutpunkter till målet.
    • Om möjligt bör slutanvändarenheter optimeras för att dela upp känd trafik direkt till molntjänster samtidigt som de fortsätter att dirigera och inspektera trafik för alla andra mål. Att föra dessa funktioner och principer närmare slutanvändarens enhet förhindrar onödig nätverkstrafik och tillhörande kostnader.

Använda nätverkssäkerhetsverktyg med funktioner för automatisk skalning

Baserat på nätverkstrafik kommer det att finnas tillfällen då efterfrågan på säkerhetsinstallationen kommer att vara hög och andra gånger då den blir lägre. Många nätverkssäkerhetsenheter distribueras i en skala för att hantera den högsta förväntade efterfrågan, vilket leder till ineffektivitet. Dessutom kräver omkonfiguration av dessa verktyg ofta en omstart som leder till oacceptabla driftstopp och hanteringskostnader.

Green Software Foundation-anpassning: Maskinvarueffektivitet

Rekommendation:

Utvärdera om TLS-avslutning ska användas

Att avsluta och återupprätta TLS är CPU-förbrukning som kan vara onödig i vissa arkitekturer.

Green Software Foundation-anpassning: Energieffektivitet

Rekommendation:

  • Överväg om du kan avsluta TLS vid din gränsgateway och fortsätta med icke-TLS till arbetsbelastningens lastbalanserare och vidare till din arbetsbelastning.
  • Granska informationen om TLS-avslutning för att bättre förstå vilken prestanda och användningspåverkan den erbjuder.
  • Överväg kompromissen: En balanserad säkerhetsnivå kan erbjuda en mer hållbar och energieffektiv arbetsbelastning medan en högre säkerhetsnivå kan öka kraven på beräkningsresurser.

Använda DDoS-skydd

DDoS-attacker (Distributed Denial of Service) syftar till att störa driftsystemen genom att överbelasta dem, vilket skapar en betydande inverkan på resurserna i molnet. Lyckade attacker översvämmar nätverks- och beräkningsresurser, vilket leder till en onödig ökning av användning och kostnad.

Green Software Foundation-anpassning: Energieffektivitet, Maskinvarueffektivitet

Rekommendation:

  • DDoS-skydd syftar till att minska attacker i ett abstrakt lager, så attacken minimeras innan du når några kunddrivna tjänster.
    • Om du minimerar skadlig användning av beräknings- och nätverkstjänster kan du i slutändan minska onödiga koldioxidutsläpp.

Slutpunktsskydd

Det är absolut nödvändigt att vi skyddar våra arbetsbelastningar och lösningar i molnet. Att förstå hur vi kan optimera våra riskreduceringstaktiker ända ner till klientenheterna kan ha ett positivt resultat för att minska utsläppen.

Integrera Microsoft Defender för Endpoint

Många attacker mot molninfrastrukturen försöker missbruka distribuerade resurser för angriparens direkta vinning. Två sådana missbruksfall är botnets och kryptoutvinning.

Båda dessa fall omfattar att ta kontroll över kunddrivna beräkningsresurser och använda dem för att antingen skapa nya kryptovalutamynt eller som ett nätverk av resurser som du kan starta en sekundär åtgärd från, till exempel en DDoS-attack, eller skräppostkampanjer med massmeddelanden.

Green Software Foundation-anpassning: Maskinvarueffektivitet

Rekommendationer:

  • Integrera Microsoft Defender för Endpoint med Defender för molnet för att identifiera och stänga av kryptoutvinning och botnät.
    • EDR-funktionerna ger avancerade attackidentifieringar och kan vidta åtgärder för att åtgärda dessa hot. Den onödiga resursanvändning som skapas av dessa vanliga attacker kan snabbt identifieras och åtgärdas, ofta utan att en säkerhetsanalytiker behöver ingripa.

Rapportering

Att få rätt information och insikter vid rätt tidpunkt är viktigt för att skapa rapporter kring utsläpp från dina säkerhetsutrustningar.

Tagga säkerhetsresurser

Det kan vara en utmaning att snabbt hitta och rapportera om alla säkerhetsenheter i din klientorganisation. Att identifiera säkerhetsresurserna kan vara till hjälp när du utformar en strategi för en mer hållbar driftsmodell för ditt företag.

Green Software Foundation-anpassning: Mäta hållbarhet

Rekommendation:

  • Tagga säkerhetsresurser för att registrera utsläppspåverkan från säkerhetsresurser.

Nästa steg

Granska designprinciperna för hållbarhet.