Zabezpečení v hybridních cloudových prostředích

  • 10 min

Společnost Tailwind Traders plánuje začít používat hybridní cloud. Tímto krokem se prostředí stane složitějším, než když byly úlohy nasazeny jenom v místním prostředí. Bude také narůstat složitost konfigurace zabezpečení a telemetrie těchto úloh.

V této lekci se dozvíte, jak může společnost Tailwind Traders monitorovat konfiguraci místních a cloudových úloh a být upozorňována na podezřelou aktivitu. Dále se dozvíte, jak může zjednodušit aktualizace místních a cloudových serverových operačních systémů.

Co je Microsoft Defender for Cloud?

Microsoft Defender pro cloud umožňuje vyhodnotit konfiguraci zabezpečení různých úloh. Microsoft Defender for Cloud můžete použít k:

  • Implementovat osvědčené bezpečnostní postupy do infrastruktury jako služby (IaaS), platformy jako služby (PaaS), dat a místních prostředků.
  • Sledovat dodržování předpisů u konfigurace zabezpečení vzhledem k regulatorním standardům.
  • Chránit data identifikováním podezřelých aktivit, jako jsou například vzory spojené s exfiltrací dat.
  • Klasifikovat data hostovaná v databázích SQL.

V hybridních prostředích je možné program Defender for Cloud integrovat s agentem Log Analytics, který shromažďuje události protokolu událostí, telemetrii trasování událostí a soubory s výpisem stavu systému. Defender for Cloud pak může provést analýzu těchto dat a vytvořit doporučení nebo vygenerovat výstrahy, které je možné předat systému SIEM (Security Incident and Event Management) organizace.

Společnost Tailwind Traders v současnosti používá celou řadu nástrojů, kterými vyhodnocuje, jestli konfigurace zabezpečení úloh v systémech Windows Server a Linux vyhovuje publikovaným standardům třetích stran. Přijetím programu Microsoft Defender for Cloud bude společnost Tailwind Traders schopna monitorovat a opravovat konfiguraci zabezpečení místních serverových operačních systémů a rostoucí nasazování úloh v cloudu, protože přijímá více hybridních technologií.

Co je Microsoft Sentinel?

Microsoft Sentinel umožňuje organizacím s hybridními cloudovými řešeními ingestovat telemetrii z protokolů událostí zabezpečení pro místní i cloud. Microsoft Sentinel je řešení SIEM i řešení orchestrace zabezpečení, automatizace a reakce (SOAR).

Řešení SIEM ukládají a analyzují data protokolů a telemetrii událostí, které ingestují z externích zdrojů. Microsoft Sentinel podporuje příjem dat z místních cloudových umístění, Azure a cloudových umístění třetích stran, včetně z jiných systémů SIEM. V řešeních SOAR můžete organizovat analýzu dat. Pomáhají vytvářet automatické reakce na známé hrozby.

Na následujícím obrázku je hybridní architektura Sentinel.

Diagram that shows log telemetry for on-premises workloads and workloads in third-party clouds forwarded to Microsoft Defender for Cloud and Microsoft Sentinel.

Microsoft Sentinel může při podpoře hybridních prostředí provádět následující úlohy:

  • Shromažďovat data o cloudových a místních uživatelích, zařízeních a infrastruktuře.
  • Pomocí umělé inteligence a hlubokého učení identifikovat potenciálně škodlivou aktivitu v datech událostí.
  • Rozpoznává hrozby prostřednictvím analýzy dat událostí na základě signatur útoků generovaných Microsoftem v rámci výzkumu zabezpečení.
  • Automatizovat reakci na incidenty se známými charakteristikami pomocí playbooků zabezpečení.

Sentinel obsahuje integrované sešity, které pomáhají při analýze dat a můžou vám poskytovat doporučení. Díky nim rychle rozpoznáte podezřelé telemetrické údaje týkající se zabezpečení, takže data nemusíte řadit, abyste pochopili jejich význam. Můžete také importovat nebo používat vlastní sešity založené na zkušenostech jiných oborníků na zabezpečení, kteří našli účinné metody analýzy bezpečnostních telemetrických údajů. Jedná se o jiné metody, než jsou zahrnuté ve službě Sentinel.

Společnost Tailwind Traders má v současnosti místní systém SIEM, který shromažďuje a analyzuje data protokolů událostí z různých počítačů a zařízení. I když byl tento systém SIEM adekvátní, když společnost Tailwind Traders měla pouze místní nasazení, přijetí služby Microsoft Sentinel umožní společnosti Tailwind Traders rozšířit tuto kapacitu do svého hybridního cloudu.

Je také pravděpodobné, že společnost Tailwind Traders připojí své stávající řešení SIEM ke službě Sentinel. Tímto připojením získá společnost výhody umělé inteligence a hlubokého učení služby Sentinel, aniž by musela výrazně měnit stávající místní konfiguraci.

Co je Azure Automation Update Management?

Azure Automation Update Management umožňuje spravovat aktualizace místních a cloudových serverových operačních systémů pomocí jedné konzoly v cloudu. Update Management spolupracuje s úlohami Microsoft Windows Serveru a s podporovanými úlohami operačního systému Linux spuštěnými fyzicky a virtuálně.

Update Management může jako zdroj aktualizací pro operační systém Windows Server používat službu Microsoft Update nebo Windows Server Update Services (WSUS). Update Management také může používat veřejné nebo vlastní úložiště linuxových balíčků pro aktualizace operačního systému Linux. Update Management vám umožní určit, které aktualizace v registrovaných operačních systémech momentálně chybí.

Na následujícím obrázku je znázorněna integrace Update Managementu do služby Azure Automation a pracovních prostorů služby Log Analytics.

Diagram that shows a collection of on-premises and Azure VMs connecting to Azure Automation runbooks, Log Analytics workspaces, and Automation Hybrid Worker solutions over TCP port 443 in a hybrid Update Management architecture.

Při konfigurování nasazení aktualizací určujete následující:

  • Jestli nasazení aktualizací cílí na počítače se systémem Windows nebo Linux. Nasazení nemůže být současně určeno pro oba typy operačních systémů.
  • Konkrétní registrované servery, pro které je nasazení určeno.
  • Klasifikaci aktualizací, která by se měla nainstalovat.
  • Jestli mají být zahrnuty nebo vyloučeny konkrétní aktualizace.
  • Časový rozvrh nasazení včetně toho, jestli se má nasazení provádět pravidelně.
  • Všechny skripty, které by měly být spouštěny před aktualizací a po aktualizaci.
  • Maximální délku časového období údržby s tím, že posledních 20 minut je určených k restartování systému.
  • Možnosti restartování, které určují, jestli se má systém restartovat, když je to vyžadováno k dokončení instalace aktualizací.

Společnost Tailwind Traders v současnosti používá službu WSUS a další nástroje ke správě aktualizací svých místních operačních systémů Windows a Linux. Společnost Tailwind Traders nakonfiguruje úlohy v operačních systémech na virtuálních počítačích IaaS (místních i cloudových) tak, aby se připojovaly ke službě Azure Software Update. Tím zajistí, že všechny operační systémy, které hostují důležité úlohy, zůstanou i nadále aktuální.

Prověřte si své znalosti

1.

Společnost Tailwind Traders chce, aby se testovací skupina serverů se systémy Windows a Linux automaticky aktualizovala každý týden, když jsou publikované aktualizace. Společnost dále chce, aby se provozní skupiny serverů se systémy Windows a Linux aktualizovaly jenom jednou za měsíc poté, co se ověří, že nezpůsobují problémy na serverech testovací skupiny. Kolik nasazení aktualizací je potřeba nakonfigurovat pro podporu tohoto plánu?

2.

Kterou z následujících hybridních technologií zabezpečení může společnost Tailwind Traders používat k vyhodnocení konfigurace zabezpečení místních serverů a virtuálních počítačů IaaS s operačním systémem Windows Server 2019?