Azure での持続可能なワークロードのセキュリティに関する考慮事項

Azure での持続可能なワークロードの設計には、プロジェクトのすべてのフェーズを通じた基本原則であるセキュリティが含まれている必要があります。 より持続可能なセキュリティ体制につながる考慮事項と推奨事項について説明します。

セキュリティの監視

クラウド ネイティブのセキュリティ監視ソリューションを使用して、持続可能性を最適化します。

必要に応じて、クラウド ネイティブのログ収集方法を使用する

従来、セキュリティ情報イベント管理 (SIEM) ソリューションに取り込むためのログ収集方法では、中央収集システム以降のログの収集、解析、フィルター処理、送信に中間リソースを使用する必要があります。 この設計を使用すると、より多くのインフラストラクチャと関連する財務および炭素関連のコストでオーバーヘッドが発生する可能性があります。

Green Software Foundation のアライメント: ハードウェア効率、 エネルギー効率

勧告：

• クラウド ネイティブ のサービス間コネクタを 使用すると、サービスと SIEM の統合が簡素化され、追加のインフラストラクチャのオーバーヘッドが排除されます。
• Azure Monitor Analytics エージェントなどの以前にデプロイされたエージェントを使用して、既存のコンピューティング リソースからログ データを取り込む可能性があります。 Log Analytics エージェントから Azure Monitor エージェントに移行する方法を確認します。
• このトレードオフを考慮してください。より多くの監視エージェントをデプロイすると、より多くのコンピューティング リソースが必要であるため、処理のオーバーヘッドが増加します。 ソリューションのセキュリティ要件を満たすのに必要な情報の量を慎重に設計し、計画し、保存して保持するための適切なレベルの情報を見つけます。
  • 不要なデータ収集を減らす考えられる解決策は、 Azure Monitor データ収集規則 (DCR) に依存することです。

フィルター処理されていない大きなデータ セットをクラウド サービス プロバイダー間で転送しないようにする

従来の SIEM ソリューションでは、すべてのログ データを一元的な場所に取り込んで格納する必要があります。 マルチクラウド環境では、このソリューションにより、クラウド サービスの提供から別のサービスに大量のデータが転送され、ネットワークとストレージ インフラストラクチャの負担が増える可能性があります。

グリーンソフトウェアファンデーションアライメント: 炭素効率、 エネルギー効率

勧告：

• クラウド ネイティブ セキュリティ サービスは、関連するセキュリティ データ ソースに対してローカライズされた分析を実行できます。 この分析により、ログ データの大部分をソース クラウド サービス プロバイダー環境内に保持できます。 クラウド ネイティブ SIEM ソリューションは、 API またはコネクタを介して これらのセキュリティ サービスに接続して、関連するセキュリティ インシデントまたはイベント データのみを送信できます。 このソリューションでは、インシデントに対応するために高レベルのセキュリティ情報を維持しながら、転送されるデータの量を大幅に削減できます。

時間の経過と同時に、説明されているアプローチを使用すると、データエグレスとストレージのコストが削減され、本質的に排出量の削減に役立ちます。

SIEM への送信またはインジェストの前にログ ソースをフィルター処理または除外する

考えられるすべてのソースからすべてのログを格納する場合の複雑さとコストを考慮してください。 たとえば、アプリケーション、サーバー、診断、プラットフォームアクティビティなどです。

グリーンソフトウェアファンデーションアライメント: 炭素効率、 エネルギー効率

勧告：

• クラウド ネイティブ SIEM ソリューションのログ収集戦略を設計する場合は、環境に必要な Microsoft Sentinel 分析ルール に基づいてユース ケースを検討し、それらのルールをサポートするために必要なログ ソースを照合します。
• このオプションは、不要なログ データの送信と保存を削除し、環境の炭素排出量を削減するのに役立ちます。

ログ データを長期ストレージにアーカイブする

多くのお客様には、規制コンプライアンス上の理由から、ログ データを長期間保存する必要があります。 このような場合、SIEM システムのプライマリ ストレージの場所にログ データを格納することは、コストのかかるソリューションです。

グリーンソフトウェアファンデーションのアライメント: エネルギー効率

勧告：

• ログ データは、顧客の保持ポリシーを考慮しながら、別のストレージの場所を利用することでコストを削減する、 より安価な長期ストレージ オプションに移動 できます。

ネットワーク アーキテクチャ

ネットワーク セキュリティ アーキテクチャの適切なプラクティスに従うことで、効率を高め、不要なトラフィックを回避します。

クラウド ネイティブ ネットワーク セキュリティ コントロールを使用して不要なネットワーク トラフィックを排除する

一元化されたルーティングとファイアウォールの設計を使用すると、検査、フィルター処理、以降のルーティングのために、すべてのネットワーク トラフィックがハブに送信されます。 このアプローチではポリシーの適用が一元化されますが、ソース リソースからの不要なトラフィックのネットワークにオーバーヘッドが発生する可能性があります。

Green Software Foundation のアライメント: ハードウェア効率、 エネルギー効率

勧告：

• ネットワーク セキュリティ グループとアプリケーション セキュリティ グループを使用して、ソースのトラフィックをフィルター処理し、不要なデータ転送を削除します。 これらの機能を使用すると、帯域幅要件が低く、所有および管理するインフラストラクチャが少なくなり、クラウド インフラストラクチャの負担を軽減できます。

エンドポイントから宛先へのルーティングを最小限に抑える

多くの顧客環境 (特にハイブリッド展開) では、すべてのエンド ユーザー デバイス ネットワーク トラフィックは、インターネットに到達する前にオンプレミス システム経由でルーティングされます。 通常、これはすべてのインターネット トラフィックを検査する必要があるために発生します。 多くの場合、これには、オンプレミス環境内のより高い容量のネットワーク セキュリティ アプライアンス、またはクラウド環境内のより多くのアプライアンスが必要です。

グリーンソフトウェアファンデーションのアライメント: エネルギー効率

勧告：

• エンドポイントから宛先へのルーティングを最小限に抑えます。
  • 可能であれば、エンド ユーザー デバイスを最適化して 、既知のトラフィックをクラウド サービスに直接分割 しながら、他のすべての宛先のトラフィックをルーティングおよび検査し続ける必要があります。 これらの機能とポリシーをエンド ユーザー デバイスに近づけることで、不要なネットワーク トラフィックとそれに関連するオーバーヘッドを防ぐことができます。

自動スケーリング機能でネットワーク セキュリティ ツールを使用する

ネットワーク トラフィックに基づいて、セキュリティ アプライアンスの需要が高くなり、それ以外の場合は需要が低くなる場合があります。 多くのネットワーク セキュリティ アプライアンスは、予想される最も高い需要に対応するためにスケールにデプロイされ、非効率性につながります。 さらに、これらのツールを再構成するには、多くの場合、再起動が必要になり、許容できないダウンタイムと管理オーバーヘッドが発生します。

Green Software Foundation のアラインメント: ハードウェアの効率

勧告：

• 自動スケーリングを使用すると、バックエンド リソースを権利化して、手動による介入なしで需要を満たすことができます。
• このアプローチにより、ネットワーク トラフィックの変化に対応する時間が大幅に短縮され、不要なリソースの無駄が減り、持続可能性の効果が向上します。
• 関連するサービスの詳細については、 Application Gateway で Web アプリケーション ファイアウォール (WAF) を有効にし、 Azure Firewall Premium をデプロイして構成する方法を参照してください。

TLS 終端を使うかどうかを評価する

TLS の終了と再確立は、特定のアーキテクチャでは不要な可能性がある CPU 消費量です。

グリーンソフトウェアファンデーションのアライメント: エネルギー効率

勧告：

• 境界ゲートウェイで TLS を終了し、ワークロード ロード バランサーとワークロードに対して TLS 以外を続行できるかどうかを検討します。
• TLS 終了に関する情報を確認して、パフォーマンスと使用率が提供する影響について理解を深めます。
• トレードオフを検討します。バランスの取れたレベルのセキュリティは、より持続可能でエネルギー効率の高いワークロードを提供できる一方で、より高いレベルのセキュリティによってコンピューティング リソースの要件が増加する可能性があります。

DDoS 保護を使用する

分散型サービス拒否 (DDoS) 攻撃は、運用システムを過負荷にして中断することを目的とするため、クラウド内のリソースに大きな影響を与えます。 攻撃が成功すると、ネットワークとコンピューティング リソースが急増し、使用量とコストが不必要に急増します。

グリーンソフトウェアファンデーションアライメント: エネルギー効率、 ハードウェア効率

勧告：

• DDoS 保護では 、抽象化されたレイヤーでの攻撃を軽減するため、お客様が運用するサービスに到達する前に攻撃が軽減されます。
  • コンピューティング サービスとネットワーク サービスの悪意のある使用を軽減することは、最終的には不要な炭素排出量の削減に役立ちます。

エンドポイントのセキュリティ

クラウドでワークロードとソリューションをセキュリティで保護することが不可欠です。 クライアント デバイスに至るあらゆる方法で軽減策を最適化する方法を理解すると、排出量を削減するための肯定的な結果が得られます。

Microsoft Defender for Endpointの統合

クラウド インフラストラクチャに対する多くの攻撃は、攻撃者の直接的な利益のためにデプロイされたリソースを誤用しようとしています。 このような悪用の 2 つのケースは、ボットネットと暗号化マイニングです。

どちらの場合も、顧客が運営するコンピューティング リソースを制御し、それらを使用して新しい暗号化コインを作成するか、DDoS 攻撃や大量の電子メール スパム キャンペーンなどのセカンダリ アクションを開始するリソースのネットワークとして使用します。

Green Software Foundation のアラインメント: ハードウェアの効率

推奨 事項：

• Microsoft Defender for Endpoint と Defender for Cloud を統合して、暗号化マイニングとボットネットを識別してシャットダウンします。
  • EDR 機能は高度な攻撃検出を提供し、それらの脅威を修復するための対応アクションを実行できます。 これらの一般的な攻撃によって作成された不要なリソースの使用は、多くの場合、セキュリティ アナリストの介入なしに、迅速に検出および修復できます。

レポーティング

セキュリティ アプライアンスからの排出量に関するレポートを作成するには、適切な情報と分析情報を適切なタイミングで取得することが重要です。

セキュリティ リソースにタグを付け

テナント内のすべてのセキュリティ アプライアンスをすばやく見つけて報告することは困難な場合があります。 セキュリティ リソースを特定することは、ビジネスのより持続可能な運用モデルの戦略を設計する際に役立ちます。

グリーンソフトウェアファンデーションの連携: 持続可能性の測定

勧告：

• セキュリティ リソースにタグを付けて、セキュリティ リソースの排出量の影響を記録します。

次のステップ

持続可能な AI ワークロードを設計するための考慮事項と推奨事項を確認します。