Sicherheit in Hybrid Cloud-Umgebungen

  • 10 Minuten

Tailwind Traders plant die Einführung eines Hybrid Cloud-Status. Durch diese Entscheidung wird die Umgebung erheblich komplizierter als sie es war, als Workloads nur lokal bereitgestellt wurden. Außerdem werden Sicherheitskonfiguration und Telemetrie dieser Workloads zunehmend komplexer.

In dieser Einheit erfahren Sie, wie Tailwind Traders die Konfiguration der lokalen und cloudbasierten Workloads überwachen und sich über jede verdächtige Aktivität benachrichtigen lassen kann. Außerdem erfahren Sie, wie Tailwind Traders Updates für die lokalen und cloudbasierten Serverbetriebssysteme optimieren kann.

Was ist Microsoft Defender für Cloud?

Mit Microsoft Defender für Cloud können Sie die Sicherheitskonfiguration verschiedener Workloads bewerten. Sie können Microsoft Defender für Cloud für Folgendes verwenden:

  • Implementieren von Best Practices zum Thema Sicherheit für IaaS (Infrastructure-as-a-Service), Paas (Platform-as-a-Service), Daten und lokale Ressourcen.
  • Nachverfolgen der Konformität von Sicherheitskonfigurationen mit den behördlichen Vorschriften.
  • Schutz von Daten durch Identifizieren verdächtiger Aktivitäten, wie etwa der Muster, die mit der Exfiltration von Daten einhergehen.
  • Klassifizieren der in SQL-Datenbanken gehosteten Daten.

In Hybridumgebungen kann Microsoft Defender für Cloud mit dem Log Analytics-Agent integriert werden, um Ereignisprotokollereignisse, die Telemetrie der Ereignisablaufverfolgung und Absturzabbilddateien zu sammeln. Microsoft Defender für Cloud kann dann eine Analyse dieser Daten durchführen, um Empfehlungen zu geben oder Warnungen zu generieren, die an das Security Information & Event Management-System (SIEM) einer Organisation weitergeleitet werden können.

Tailwind Traders verwendet aktuell eine Reihe von Tools, um zu bewerten, ob die Sicherheitskonfiguration der Windows Server- und Linux-Workloads den veröffentlichten Standards von Drittanbietern entspricht. Durch die Einführung von Microsoft Defender für Cloud ist Tailwind Traders in der Lage, die Sicherheitskonfiguration seiner lokalen Serverbetriebssysteme und die wachsende Bereitstellung von Workloads in der Cloud zu überwachen und zu korrigieren, da das Unternehmen immer mehr Hybridtechnologien einsetzt.

Was ist Microsoft Sentinel?

Mit Microsoft Sentinel können Organisationen mit Hybrid-Cloud-Lösungen Telemetrie aus Sicherheitsereignisprotokollen sowohl für lokale Standorte als auch für die Cloud erfassen. Microsoft Sentinel ist sowohl eine SIEM-Technologie als auch eine SOAR-Lösung (Security Orchestration, Automation and Response).

SIEM-Lösungen speichern und analysieren Protokolldaten und Ereignistelemetriedaten, die sie aus externen Quellen erfassen. Microsoft Sentinel unterstützt die Erfassung von Daten aus lokalen, Azure- und Drittanbieter-Cloudstandorten, einschließlich anderer SIEM-Systeme. SOAR-Lösungen ermöglichen es Ihnen, die Analyse von Daten zu orchestrieren. Sie unterstützen Sie dabei, eine automatisierte Reaktion auf bekannte Bedrohungen zu entwickeln.

Auf der folgenden Abbildung ist eine Sentinel-Hybridarchitektur dargestellt.

Diagramm: Protokolltelemetrie für lokale Workloads und Workloads in Clouds von Drittanbietern werden an Microsoft Defender for Cloud und Microsoft Sentinel weitergeleitet

Microsoft Sentinel kann die folgenden Aufgaben durchführen, wenn hybride Umgebungen unterstützt werden:

  • Übergreifende Erfassung von Daten über cloudbasierte und lokale Benutzer, Geräte, Anwendungen und Infrastruktur hinweg.
  • Verwenden von KI und Deep Learning zum Erkennen potenziell bösartiger Aktivitäten in Ereignisdaten.
  • Erkennen von Bedrohungen durch die Analyse von Ereignisdaten auf der Grundlage von Angriffssignaturen, die von der Microsoft-Sicherheitsforschung generiert werden.
  • Automatisieren der Reaktion auf Vorfälle mit bekannten Merkmalen mithilfe von Sicherheitsplaybooks.

Sentinel beinhaltet integrierte Workbooks, die bei der Analyse von Daten unterstützend wirken und Ihnen Empfehlungen geben können. Dies erlaubt es Ihnen, verdächtige Sicherheitstelemetriedaten schnell zu verstehen, statt sie in dem Versuch durchzusehen, ihre Bedeutung zu erschließen. Darüber hinaus können Sie auch benutzerdefinierte Workbooks importieren oder verwenden, die auf den Erfahrungen anderer Sicherheitsforscher basieren, die wirksame Methoden der Analyse von Sicherheitstelemetriedaten gefunden haben, die sich von den in Sentinel enthaltenen unterscheiden.

Tailwind Traders setzt aktuell ein lokales SIEM-System ein, das Ereignisprotokolldaten einer Vielzahl von Computern und Geräten erfasst und analysiert. Dieses SIEM-System war zwar ausreichend, als Tailwind Traders lediglich mit lokalen Bereitstellungen arbeitete, die Einführung von Microsoft Sentinel ermöglicht es Tailwind Traders jedoch, diese Fähigkeit auf die Hybrid Cloud-Infrastruktur auszuweiten.

Außerdem ist es wahrscheinlich, dass Tailwind Traders die Möglichkeit hat, die vorhandene SIEM-Lösung mit Sentinel zu verbinden. Durch diese Verbindung kann das Unternehmen die Vorzüge der KI- und Deep-Learning-Funktionalität von Sentinel nutzen, ohne seine vorhandene lokale Konfiguration substanziell ändern zu müssen.

Was ist Azure Automation-Updateverwaltung?

Mit der Azure Automation-Updateverwaltung können Sie die Betriebssystemupdates Ihrer lokalen und Cloud-Server mit nur einer einzelnen Konsole in der Cloud verwalten. Updateverwaltung funktioniert mit Microsoft Windows Server-Workloads und Workloads auf unterstützten Linux-Betriebssystemen, gleich ob sie physisch oder virtuell ausgeführt werden.

Die Updateverwaltung kann Microsoft Update oder Windows Server Update Services (WSUS) als Quelle für Updates für Windows Server-Betriebssysteme verwenden. Die Updateverwaltung kann außerdem ein öffentliches oder benutzerdefiniertes Linux-Paketrepository für Linux-Betriebssystemupdates nutzen. Mit der Updateverwaltung können Sie feststellen, welche Updates aktuell auf registrierten Betriebssystemen fehlen.

Die Abbildung unten zeigt, wie die Updateverwaltung mit Azure Automation und Log Analytics-Arbeitsbereichen integriert werden kann.

Das Diagramm zeigt eine Sammlung von lokalen und Azure-VMs, die in einer Hybridarchitektur zur Updateverwaltung eine Verbindung mit Azure Automation-Runbooks, Log Analytics-Arbeitsbereichen und Automation Hybrid Worker-Lösungen über TCP-Port 443 herstellen

Bei der Konfiguration einer Updatebereitstellung machen Sie die folgenden Angaben:

  • Ob die Updatebereitstellung für Windows- oder für Linux-Computer bestimmt ist. Eine Entwicklung für beide Betriebssysteme gleichzeitig ist nicht möglich.
  • Die spezifischen registrierten Server, die von der Bereitstellung berücksichtigt werden sollen.
  • Die Updateklassifizierungen, die installiert werden sollen.
  • Ob bestimmte Updates enthalten oder ausgeschlossen sein sollen.
  • Den Zeitplan für die Bereitstellung, einschließlich der Festlegung, ob die Bereitstellung regelmäßig erfolgen soll.
  • Alle Skripts, die vor dem Update oder nach dem Update ausgeführt werden sollen.
  • Die maximale Länge des Wartungsfensters, wobei die letzten 20 Minuten des Fensters Systemneustarts vorbehalten sind.
  • Neustartoptionen, mit denen festgelegt wird, ob das System bei Bedarf neu gestartet werden muss, um die Installation von Updates abzuschließen.

Tailwind Traders verwendet aktuell WSUS und andere Tools zur Verwaltung der Updates für seine lokalen Windows- und Linux-Betriebssysteme. Durch Konfigurieren der lokalen und cloudbasierten IaaS-VM-Betriebssystemworkloads für Verbindungen mit Softwareupdates in Azure kann Tailwind Traders sicherstellen, dass alle Betriebssysteme, auf denen kritische Workloads gehostet sind, auf dem aktuellen Stand gehalten werden.

Überprüfen Sie Ihr Wissen

1.

Tailwind Traders möchte sicherstellen, dass eine Testgruppe aus Windows- und Linux-Servern automatisch Updates erhält, wenn diese jede Woche veröffentlicht werden. Darüber hinaus möchte das Unternehmen, dass die Produktionsgruppen aus Windows- und Linux-Servern nur einmal im Monat Updates erhalten, nachdem als sicher gelten kann, dass sie auf den Servern der Testgruppe nicht zu Problemen geführt haben. Wie viele Updatebereitstellungen müssen konfiguriert werden, um diesen Plan zu unterstützen?

2.

Welche der folgenden hybriden Sicherheitstechnologien kann Tailwind Traders verwenden, um die Sicherheitskonfiguration der lokalen Server und der IaaS-VMs zu bewerten, die das Betriebssystem Windows Server 2019 ausführen?