Seguridad en los entornos de nube híbrida

  • 10 minutos

Tailwind Traders planea adoptar una posición de nube híbrida. Este cambio hará que su entorno sea más complicado de lo que era cuando las cargas de trabajo solo se implementaban en el entorno local. Además, la configuración de seguridad y la telemetría de estas cargas de trabajo serán cada vez más complejas.

En esta unidad, veremos cómo Tailwind Traders puede supervisar la configuración de sus cargas de trabajo locales y en la nube, y recibir alertas de cualquier actividad sospechosa. También veremos cómo Tailwind Traders puede optimizar las actualizaciones en sus sistemas operativos de servidor locales y en la nube.

¿Qué es Microsoft Defender for Cloud?

Microsoft Defender for Cloud permite evaluar la configuración de seguridad de varias cargas de trabajo. Puede usar Microsoft Defender for Cloud para lo siguiente:

  • Implementar procedimientos recomendados de seguridad en infraestructura como servicio (IaaS), plataforma como servicio (PaaS), datos y recursos locales
  • Realizar el seguimiento del cumplimiento de la configuración de seguridad frente a estándares normativos.
  • Proteger los datos mediante la identificación de actividades sospechosas, como patrones asociados con la exfiltración de datos.
  • Clasificar los datos hospedados en bases de datos SQL.

En entornos híbridos, Defender for Cloud se puede integrar con el agente de Log Analytics para recopilar eventos de registro de eventos, telemetría de seguimiento de eventos y archivos de volcado de memoria. Después, Defender for Cloud puede analizar los datos para realizar recomendaciones o generar alertas que se pueden reenviar a un sistema de administración de eventos e información de seguridad (SIEM) de la organización.

En la actualidad, Tailwind Traders usa una gran variedad de herramientas para evaluar si la configuración de seguridad de sus cargas de trabajo de Windows Server y Linux cumple con los estándares de terceros publicados. Al adoptar Microsoft Defender for Cloud, Tailwind Traders podrá supervisar y corregir la configuración de seguridad de sus sistemas operativos de servidor locales y su implementación cada vez mayor de cargas de trabajo en la nube a medida que adoptan tecnologías más híbridas.

¿Qué es Microsoft Sentinel?

Microsoft Sentinel permite a las organizaciones con soluciones de nube híbrida ingerir la telemetría de los registros de eventos de seguridad tanto locales como en la nube. Microsoft Sentinel es una solución de SIEM y de orquestación de seguridad, automatización y respuesta (SOAR).

Las soluciones de SIEM almacenan y analizan los datos de registro y la telemetría de eventos que ingieren desde orígenes externos. Microsoft Sentinel admite la ingesta de datos desde ubicaciones en la nube locales, de Azure y de terceros, incluidos otros sistemas de SIEM. Las soluciones SOAR permiten organizar análisis de los datos, y sirven de ayuda a la hora de crear una respuesta automatizada a amenazas conocidas.

En la siguiente imagen se muestra una arquitectura híbrida de Sentinel.

Diagrama que muestra la telemetría de registros para cargas de trabajo locales y cargas de trabajo en nubes de terceros que se reenvía a Microsoft Defender for Cloud y Microsoft Sentinel.

Microsoft Sentinel puede realizar las siguientes tareas al admitir entornos híbridos:

  • Recopilar datos de todos los usuarios, dispositivos, aplicaciones e infraestructura, tanto locales como basados en la nube.
  • Usar inteligencia artificial y aprendizaje profundo para identificar actividades potencialmente malintencionadas en los datos de eventos.
  • Detectar amenazas con análisis de los datos de eventos en función de las firmas de ataque generadas por la investigación de seguridad de Microsoft
  • Automatizar la respuesta a incidentes con características conocidas mediante el uso de cuadernos de estrategias de seguridad.

Sentinel incluye libros integrados que ayudan en el análisis de datos y pueden proporcionarle recomendaciones. Esto permite comprender rápidamente la telemetría de seguridad sospechosa en lugar de tener que examinarla para tratar de comprender su significado. También permite importar o usar libros personalizados basados en experiencias de otros investigadores de seguridad que hayan encontrado métodos efectivos de análisis de telemetría de seguridad que difieren de los incluidos en Sentinel.

Tailwind Traders tiene actualmente un sistema de SIEM local que recopila y analiza datos de registro de eventos de una variedad de equipos y dispositivos. Aunque este sistema de SIEM era adecuado cuando Tailwind Traders tenía únicamente una implementación local, la adopción de Microsoft Sentinel les permitirá extender esta capacidad a su nube híbrida.

También es probable que Tailwind Traders conecte su solución de SIEM existente a Sentinel. Esta conexión les reportará ventajas de inteligencia artificial y aprendizaje profundo de Sentinel sin tener que modificar sustancialmente la configuración local existente.

¿Qué es Azure Automation Update Management?

Azure Automation Update Management permite administrar las actualizaciones de los sistemas operativos locales y de servidor de nube mediante una sola consola en la nube. Update Management funciona con cargas de trabajo de Microsoft Windows Server y con las del sistema operativo Linux compatibles que se ejecutan de manera física y virtual.

Update Management puede usar Microsoft Update o Windows Server Update Services (WSUS) como origen de las actualizaciones de los sistemas operativos Windows Server. Update Management también puede usar un repositorio de paquetes Linux público o personalizado para las actualizaciones del sistema operativo Linux. Update Management le permite determinar qué actualizaciones faltan actualmente en los sistemas operativos inscritos.

En el siguiente diagrama se muestra cómo Update Management se integra con las áreas de trabajo de Azure Automation y Log Analytics.

Diagrama que muestra una colección de máquinas virtuales locales y de Azure que se conectan a runbooks de Azure Automation, áreas de trabajo de log Analytics y soluciones de Automation Hybrid Worker a través del puerto TCP 443 en una arquitectura de Update Management híbrida.

Cuando se configura una implementación de actualizaciones, se especifica lo siguiente:

  • Si la implementación de actualizaciones tiene como destino equipos Windows o Linux. No se puede tener ambos como destino al mismo tiempo.
  • Los servidores inscritos específicos a los que se quiere dirigir con la implementación.
  • Las clasificaciones de actualizaciones que se deben instalar.
  • Si se deben incluir o excluir actualizaciones concretas.
  • La programación de la implementación, incluido si la implementación se debe realizar de forma periódica.
  • Los scripts anteriores y posteriores a la actualización que se deban ejecutar.
  • La longitud máxima del período de mantenimiento, con los últimos 20 minutos dedicados al reinicio del sistema.
  • Opciones de reinicio que determinan si el sistema debe reiniciarse si es necesario para que las actualizaciones finalicen la instalación.

Tailwind Traders usa actualmente WSUS y otras herramientas para administrar las actualizaciones en sus sistemas operativos Windows y Linux locales. Al configurar sus cargas de trabajo de sistema operativo de máquinas virtuales IaaS (tanto en la nube como locales) para conectarse a Azure Software Update, Tailwind Traders puede garantizar que todos los sistemas operativos que hospedan cargas de trabajo críticas van a mantenerse actualizados.

Comprobación de conocimientos

1.

Tailwind Traders quiere asegurarse de que un grupo de prueba de servidores Windows y Linux obtiene automáticamente las actualizaciones a medida que se publican cada semana. Además, la empresa quiere que los grupos de producción de servidores de Windows y Linux reciban actualizaciones solo una vez al mes, después de que se sepa que no causan problemas en los servidores de grupo de prueba. ¿Cuántas implementaciones de actualizaciones se deben configurar para admitir este plan?

2.

¿Cuál de las siguientes tecnologías de seguridad híbridas puede usar Tailwind Traders para evaluar la configuración de seguridad de los servidores locales y las máquinas virtuales IaaS que ejecutan el sistema operativo Windows Server 2019?