أفضل ممارسات الأمان لأحمال عمل IaaS في Azure
توضح هذه المقالة أفضل ممارسات الأمان للأجهزة الظاهرية وأنظمة التشغيل.
تستند أفضل الممارسات إلى توافق الآراء، وتعمل مع قدرات النظام الأساسي الحالي لـ Azure ومجموعات الميزات. نظراً لإمكانية تغيير الآراء والتقنيات بمرور الوقت، سيتم تحديث هذه المقالة لتعكس هذه التغييرات.
في معظم سيناريوهات البنية الأساسية كخدمة (IaaS)، تعتبر أجهزة Azure الظاهرية (VM) حمل العمل الرئيسي للمؤسسات التي تستخدم الحوسبة السحابية. تتضح هذه الحقيقة في السيناريوهات المختلطة حيث تريد المؤسسات ترحيل أحمال العمل ببطء إلى السحابة. في مثل هذه السيناريوهات، اتبع اعتبارات الأمان العامة لـ IaaS، وطبق أفضل ممارسات الأمان على جميع الأجهزة الظاهرية الخاصة بك.
حماية الأجهزة الظاهرية باستخدام المصادقة والتحكم في الوصول
الخطوة الأولى في حماية الأجهزة الظاهرية الخاصة بك هي التأكد من أن المستخدمين المعتمدين فقط يمكنهم إعداد أجهزة ظاهرية جديدة والوصول إلى الأجهزة الظاهرية.
إشعار
لتحسين أمان أجهزة Linux الظاهرية على Azure، يمكنك التكامل مع مصادقة Microsoft Entra. عند استخدام مصادقة Microsoft Entra لأجهزة Linux الظاهرية، يمكنك التحكم مركزيا في النهج التي تسمح بالوصول إلى الأجهزة الظاهرية أو ترفضه.
أفضل الممارسات: التحكم في الوصول إلى الجهاز الظاهري. التفاصيل: استخدم نُهج Azure لإنشاء اصطلاحات للموارد في مؤسستك وإنشاء نُهج مخصصة. قم بتطبيق هذه النُهج على الموارد، مثل مجموعات الموارد. ترث الأجهزة الظاهرية التي تنتمي إلى مجموعة موارد نُهجها.
إذا كانت مؤسستك تمتلك العديد من الاشتراكات، فقد تحتاج إلى طريقة لإدارة الوصول والنُهج والامتثال لهذه الاشتراكات بكفاءة. توفرمجموعات إدارة Azure مستوى من النطاق أعلى الاشتراكات. تقوم بتنظيم الاشتراكات في مجموعات الإدارة (الحاويات) وتطبيق شروط الإدارة الخاصة بك على تلك المجموعات. ترث جميع الاشتراكات داخل مجموعة الإدارة تلقائياً الشروط المطبقة على المجموعة. تمنحك مجموعات الإدارة إدارة على مستوى المؤسسة على نطاق واسع بغض النظر عن نوع الاشتراكات التي قد تحصل عليها.
أفضل الممارسات: تقليل التباين في إعداد وتوزيع الأجهزة الظاهرية. التفاصيل: استخدم قوالب Azure Resource Manager لتقوية خيارات التوزيع لديك وتسهيل فهم الأجهزة الظاهرية الموجودة في بيئتك وجردها.
أفضل الممارسات: تأمين الوصول بامتياز. التفاصيل: استخدم أسلوب الامتياز الأقل وأدوار Azure المضمنة لتمكين المستخدمين من الوصول إلى الأجهزة الظاهرية وإعدادها:
- Virtual Machine Contributor: يمكنه إدارة الأجهزة الظاهرية، ولكن ليس الشبكة الظاهرية أو حساب التخزين الذي يتصلون به.
- Classic Virtual Machine Contributor: يمكنه إدارة الأجهزة الظاهرية التي تم إنشاؤها باستخدام نموذج التوزيع الكلاسيكي، وليس حساب الشبكة الظاهرية أو التخزين الذي تتصل به الأجهزة الظاهرية.
- مسؤول الأمان: في Defender for Cloud فقط: يمكنه عرض نُهج الأمان وعرض حالات الأمان وتعديل نُهج الأمان وعرض التنبيهات والتوصيات ورفض التنبيهات والتوصيات.
- مستخدم DevTest Labs: يمكنه عرض كل شيء والاتصال، والبدء، وإعادة التشغيل، وإيقاف تشغيل الأجهزة الظاهرية.
يمكن لمسؤولي الاشتراك والمسؤولين عن الاشتراك تغيير هذا الإعداد، ما يجعلهم مسؤولين عن جميع الأجهزة الظاهرية في الاشتراك. تأكد من أنك تثق في جميع مسؤولي الاشتراك والمعاونين لتسجيل الدخول إلى أي من أجهزتك.
إشعار
نوصي بدمج الأجهزة الظاهرية مع نفس دورة الحياة في نفس مجموعة الموارد. باستخدام مجموعات الموارد، يمكنك توزيع تكاليف الفواتير لمواردك ومراقبتها وعرضها.
تعمل المنظمات التي تتحكم في الوصول إلى الأجهزة الظاهرية والإعداد عليها على تحسين أمان الأجهزة الظاهرية بشكل عام.
استخدم أجهزة ظاهرية متعددة لتوفر أفضل
إذا كان جهاز VM الخاص بك يقوم بتشغيل تطبيقات مهمة تحتاج إلى توفُّر عالٍ فإننا نوصي بشدة باستخدام أجهزة ظاهرية متعددة. للحصول على توفر أفضل، استخدم مجموعة توفر أو مناطقمتوفرة.
مجموعة التوفر هي تجميع منطقي يمكنك استخدامه في Azure للتأكد من عزل موارد الجهاز الظاهري التي تضعها داخلها عن بعضها البعض عند نشرها في مركز بيانات Azure. يضمن Azure أن الأجهزة الظاهرية التي تضعها في مجموعة توفر تعمل عبر خوادم فعلية متعددة، ورفوف حسابية، ووحدات تخزين، ومبدلات شبكة. في حالة حدوث فشل في أحد الأجهزة أو برنامج Azure، ستتأثر مجموعة فرعية فقط من الأجهزة الظاهرية الخاصة بك، وسيظل التطبيق العام الخاص بك متاحاً لعملائك. تعد مجموعات التوافر قدرة أساسية عندما تريد إنشاء حلول سحابية موثوقة.
الحماية من البرامج الضارة
يجب عليك تثبيت الحماية من البرامج الضارة للمساعدة في التعرف على الفيروسات وبرامج التجسس والبرامج الضارة الأخرى وإزالتها. يمكنك تثبيت Microsoft Antimalware أو حل حماية نقطة النهاية لشريك Microsoft (Trend Micro و Broadcom و McAfee و Windows Defender و System Center Endpoint Protection).
تتضمن Microsoft Antimalware ميزات مثل الحماية في الوقت الحقيقي والمسح المجدول ومعالجة البرامج الضارة وتحديثات التوقيع وتحديثات المحرك وتقارير العينات وجمع أحداث الاستبعاد. بالنسبة للبيئات المستضافة بشكل منفصل عن بيئة الإنتاج الخاصة بك، يمكنك استخدام ملحق مكافحة البرامج الضارة للمساعدة في حماية الأجهزة الظاهرية الخاصة بك والخدمات السحابية.
يمكنك تكامل Microsoft Antimalware وحلول الشركاء مع Microsoft Defender for Cloud لتسهيل النشر والكشف المضمن (التنبيهات والحوادث).
أفضل الممارسات: قم بتثبيت أحد حلول مكافحة البرامج الضارة للحماية من البرامج الضارة.
التفاصيل: قم بتثبيت حل شريك Microsoft أو Microsoft Antimalware
أفضل الممارسات: ادمج حل مكافحة البرامج الضارة مع Defender for Cloud لمراقبة حالة الحماية.
التفاصيل: إدارة مشكلات حماية نقطة النهاية باستخدام Defender for Cloud
إدارة تحديثات جهاز VM الخاص بك
يُقصد بـ Azure VMs، مثل جميع الأجهزة الظاهرية المحلية، أن تتم إدارتها بواسطة المستخدم. لا ينقل Azure تحديثات Windows لها. تحتاج إلى إدارة تحديثات VM الخاصة بك.
أفضل ممارسة: احرص على تحديث أجهزة VM الخاصة بك.
التفاصيل: استخدم حل إدارة التحديث في Azure Automation لإدارة تحديثات نظام التشغيل لأجهزة الكمبيوتر التي تعمل بنظامي التشغيل Windows وLinux والتي تم توزيعها في Azure أو في البيئات المحلية أو في موفري السحابة الآخرين. يمكنك تقييم حالة التحديثات المتاحة بسرعة على جميع أجهزة الكمبيوتر العميلة وإدارة عملية تثبيت التحديثات المطلوبة للخوادم.
تستخدم أجهزة الكمبيوتر التي تتم إدارتها بواسطة "إدارة التحديث" التكوينات التالية لإجراء عمليات توزيع التقييم والتحديث:
- Microsoft Monitoring Agent (MMA) لـ Windows أو Linux
- تكوين الحالة المطلوبة (DSC) لـ PowerShell لنظام التشغيل Linux
- عامل التشغيل الآلي المختلط
- Azure Automation أوWindows Server Update Services (WSUS) لأجهزة الكمبيوتر Windows
إذا كنت تستخدم Windows Update، فاترك إعداد Windows Update التلقائي ممكّناً.
أفضل الممارسات: تأكد عند التوزيع أن الصور التي أنشأتها تتضمن أحدث جولة من تحديثات Windows.
التفاصيل: تحقق من وجود جميع تحديثات Windows وقم بتثبيتها كخطوة أولى في كل عملية توزيع. هذا المقياس مهم بشكل خاص للتطبيق عند توزيع الصور التي تأتي منك أو من مكتبتك الخاصة. رغم أن الصور من Azure Marketplace يتم تحديثها تلقائياً بشكل افتراضي، فقد يكون هناك وقت تأخير (يصل إلى بضعة أسابيع) بعد الإصدار العام.
أفضل الممارسات: إعادة توزيع أجهزة VM بشكل دوري لفرض إصدار جديد من نظام التشغيل.
التفاصيل: حدد الجهاز الظاهري الخاص بك باستخدام قالب Azure Resource Manager حتى تتمكن من إعادة توزيعه بسهولة. يمنحك استخدام قالب جهاز ظاهري مصحح وآمن عند الحاجة إليه.
أفضل الممارسات: تطبيق تحديثات الأمان بسرعة على الأجهزة الظاهرية.
التفاصيل: قم بتمكين Microsoft Defender for Cloud (المستوى المجاني أو المستوى القياسي) لتحديد تحديثات الأمان المفقودة وتطبيقها.
أفضل الممارسات: قم بتثبيت آخر تحديثات الأمان.
التفاصيل: بعض أحمال العمل الأولى التي ينقلها العملاء إلى Azure هي المعامل والأنظمة الخارجية. إذا كانت أجهزة Azure VM تستضيف تطبيقات أو خدمات تحتاج إلى الوصول إليها عبر الإنترنت، فكن يقظاً بشأن التصحيح. تصحيح خارج نظام التشغيل. يمكن أن تؤدي الثغرات الأمنية غير المصححة في التطبيقات الشريكة أيضاً إلى مشاكل يمكن تجنبها إذا كانت هناك إدارة جيدة للتصحيح.
أفضل الممارسات: توزيع واختبار حل النسخ الاحتياطي.
التفاصيل: يجب التعامل مع النسخة الاحتياطية بنفس الطريقة التي تتعامل بها مع أي عملية أخرى. هذا صحيح بالنسبة للأنظمة التي تشكل جزءاً من بيئة الإنتاج الخاصة بك والتي تمتد إلى السحابة.
يجب أن تتبع أنظمة الاختبار والتطوير إستراتيجيات النسخ الاحتياطي التي توفر إمكانات استعادة مشابهة لما اعتاد عليه المستخدمون، بناءً على تجربتهم مع البيئات المحلية. يجب أن تتكامل أحمال العمل الإنتاجية التي تم نقلها إلى Azure مع حلول النسخ الاحتياطي الحالية عندما يكون ذلك ممكناً. أو يمكنك استخدام Azure Backup للمساعدة في تلبية متطلبات النسخ الاحتياطي.
المنظمات التي لا تفرض نُهج تحديث البرامج أكثر عرضة للتهديدات التي تستغل الثغرات الأمنية المعروفة والمثبتة مسبقاً. للامتثال للوائح الصناعة، يجب على الشركات إثبات أنها مجتهدة وتستخدم ضوابط أمان صحيحة للمساعدة في ضمان أمان أحمال العمل الموجودة في السحابة.
توجد العديد من أوجه التشابه بين أفضل ممارسات تحديث البرامج لمركز البيانات التقليدي وAzure IaaS. نوصي بتقييم نُهج تحديث البرامج الحالية الخاصة بك لتضمين الأجهزة الظاهرية الموجودة في Azure.
إدارة وضع أمان الجهاز الظاهري الخاص بك
تتطور التهديدات الإلكترونية. تتطلب حماية الأجهزة الظاهرية الخاصة بك قدرة مراقبة يمكنها اكتشاف التهديدات بسرعة، ومنع الوصول غير المصرح به إلى مواردك، وتشغيل التنبيهات، وتقليل الإيجابيات الخاطئة.
لمراقبة الوضع الأمني لأجهزة Windows وLinux VMs، استخدم Microsoft Defender for Cloud. في Defender for Cloud، قم بحماية أجهزة VM الخاصة بك من خلال الاستفادة من الإمكانات التالية:
- قم بتطبيق إعدادات أمان نظام التشغيل مع قواعد التكوين الموصى بها.
- تحديد وتنزيل أمان النظام والتحديثات الهامة التي قد تكون مفقودة.
- قم بتوزيع توصيات لحماية نقاط النهاية من البرامج الضارة.
- تحقق من صحة تشفير القرص.
- تقييم ومعالجة الثغرات الأمنية.
- كشف التهديدات.
يمكن لـ Defender for Cloud مراقبة التهديدات بنشاط، ويتم كشف التهديدات المحتملة في تنبيهات الأمان. يتم تجميع التهديدات ذات الصلة في عرض واحد يسمى الحادث الأمني.
يخزن Defender for Cloud البيانات في Azure Monitor logs. توفر سجلات Azure Monitor لغة استعلام ومحرك تحليلات يمنحك نتائج تحليلات حول تشغيل تطبيقاتك ومواردك. يتم أيضاً جمع البيانات من Azure Monitorوحلول الإدارة والوكلاء المثبتين على الأجهزة الظاهرية في السحابة أو في أماكن العمل. تساعدك هذه الوظيفة المشتركة في تكوين صورة كاملة لبيئتك.
تظل المنظمات التي لا تفرض أماناً قوياً لأجهزة VM الخاصة بها غير مدركة للمحاولات المحتملة من قِبَل المستخدمين غير المصرح لهم للتحايل على ضوابط الأمان.
مراقبة أداء الجهاز الظاهري
يمكن أن يكون إساءة استخدام الموارد مشكلة عندما تستهلك عمليات الأجهزة الظاهرية موارد أكثر مما ينبغي. يمكن أن تؤدي مشكلات الأداء مع الجهاز الظاهري إلى انقطاع الخدمة، مما ينتهك مبدأ الأمان المتمثل في التوافر. هذا مهم بشكل خاص لأجهزة VM التي تستضيف IIS أو خوادم ويب أخرى، لأن الاستخدام العالي لوحدة المعالجة المركزية أو الذاكرة قد يشير إلى هجوم رفض الخدمة (DoS). من الضروري مراقبة الوصول إلى الجهاز الظاهري ليس فقط بشكل تفاعلي أثناء حدوث مشكلة، ولكن أيضاً بشكل استباقي ضد الأداء الأساسي كما تم قياسه أثناء التشغيل العادي.
نوصي باستخدام Azure Monitor لإبراز سلامة المورد الخاص بك. ميزات مراقب Azure:
- ملفات سجل تشخيص الموارد: تراقب موارد الجهاز الظاهري لديك وتحدد المشكلات المحتملة التي قد تعرض الأداء والتوافر للخطر.
- ملحق تشخيص Azure: يوفر إمكانات المراقبة والتشخيص على أجهزة Windows الظاهرية. يمكنك تمكين هذه الإمكانات بتضمين الملحق كجزء من قالب Azure Resource Manager.
لا تستطيع المنظمات التي لا تراقب أداء الجهاز الظاهري تحديد ما إذا كانت بعض التغييرات في أنماط الأداء طبيعية أم غير طبيعية. قد يشير الجهاز الظاهري الذي يستهلك موارد أكثر من المعتاد إلى هجوم من مورد خارجي أو عملية مخترقة تعمل في الجهاز الظاهري.
تشفير ملفات القرص الثابت الظاهري
نوصي بتشفير الأقراص الثابتة الظاهرية (VHDs) للمساعدة في حماية وحدة تخزين التمهيد ووحدات تخزين البيانات الموجودة في التخزين، إلى جانب مفاتيح التشفير والبيانات السرية الخاصة بك.
يساعدك تشفير قرص Azure لأجهزة Linux الظاهرية وتشفير قرص Azure لأجهزة Windows الظاهرية على تشفير أقراص الجهاز الظاهري الذي يعمل بنظام التشغيل Linux وWindows IaaS. يستخدم تشفير قرص Azure ميزة DM-Crypt القياسية للصناعة في Linux وميزة BitLocker في Windows لتوفير تشفير وحدة التخزين لنظام التشغيل وأقراص البيانات. تم دمج الحل مع Azure Key Vault لمساعدتك في التحكم في مفاتيح تشفير القرص والبيانات السرية في اشتراكك في مخزن المفاتيح وإدارتها. يضمن الحل أيضاً أن يتم تشفير جميع البيانات الموجودة على أقراص الجهاز الظاهري في حالة السكون في Azure Storage.
فيما يلي أفضل الممارسات لاستخدام تشفير قرص Azure:
أفضل الممارسات: تمكين التشفير على الأجهزة الظاهرية.
التفاصيل: يقوم تشفير قرص Azure بإنشاء وكتابة مفاتيح التشفير لمخزن المفاتيح الخاص بك. تتطلب إدارة مفاتيح التشفير في مخزن المفاتيح مصادقة Microsoft Entra. إنشاء تطبيق Microsoft Entra لهذا الغرض. لأغراض المصادقة، يمكنك استخدام المصادقة المستندة إلى سر العميل أو مصادقة Microsoft Entra المستندة إلى شهادة العميل.
أفضل الممارسات: استخدم مفتاح تشفير المفتاح (KEK) لطبقة أمان إضافية لمفاتيح التشفير. أضف مفتاح KEK إلى مخزن المفاتيح الخاصة بك.
التفاصيل: استخدم الأمر Add-AzKeyVaultKey لإنشاء مفتاح تشفير مفتاح في مخزن المفاتيح. يمكنك أيضاً استيراد KEK من وحدة أمان الأجهزة المحلية (HSM) لإدارة المفاتيح. لمزيد من المعلومات، راجع وثائق Key Vault. عند تحديد مفتاح تشفير مفتاح، يستخدم Azure Disk Encryption هذا المفتاح لتحصين أسرار التشفير قبل الكتابة إلى Key Vault. يوفر الاحتفاظ بنسخة ضمان من هذا المفتاح في إدارة المفاتيح المحلية HSM حماية إضافية ضد الحذف العرضي للمفاتيح.
أفضل الممارسات: خذ لقطة و/أو قم بعمل نسخة احتياطية قبل تشفير الأقراص. توفر النسخ الاحتياطية خيار استرداد إذا حدث فشل غير متوقع أثناء التشفير.
التفاصيل: تتطلب الأجهزة الظاهرية المزودة بأقراص مُدارة نسخة احتياطية قبل حدوث التشفير. بعد عمل نسخة احتياطية، يمكنك استخدام الأمر Set-AzVMDiskEncryptionExtension لتشفير الأقراص المدارة عن طريق تحديد المعلمة -skipVmBackup. لمزيدٍ من المعلومات حول كيفية عمل نسخة احتياطية من الأجهزة الظاهرية المشفرة واستعادتها، راجع مقالة Azure Backup.
أفضل الممارسات: للتأكد من أن بيانات سرية التشفير لا تتخطى الحدود الإقليمية، يحتاج تشفير قرص Azure إلى وجود مخزن المفاتيح والأجهزة الظاهرية في نفس المنطقة.
التفاصيل: قم بإنشاء واستخدام مخزن مفاتيح موجود في نفس منطقة الجهاز الظاهري ليتم تشفيره.
عند تطبيق تشفير قرص Azure يمكنك تلبية احتياجات العمل التالية:
- يتم تأمين الأجهزة الظاهرية لخدمة تأجير البنية التحتية الثابتة من خلال تقنية التشفير القياسية في الصناعة لتلبية متطلبات الأمان والتوافق التنظيمية.
- تبدأ أجهزة IaaS الظاهرية في إطار المفاتيح والنُهج التي يتحكم فيها العميل، ويمكنك مراجعة استخدامها في مخزن المفاتيح.
تقييد الاتصال المباشر بالإنترنت
مراقبة وتقييد اتصال VM المباشر بالإنترنت. يفحص المهاجمون باستمرار نطاقات IP السحابية العامة بحثاً عن منافذ الإدارة المفتوحة ويحاولون الهجمات "السهلة" مثل كلمات المرور الشائعة والثغرات الأمنية المعروفة غير المصححة. يسرد الجدول التالي أفضل الممارسات للمساعدة في الحماية من هذه الهجمات:
أفضل الممارسات: منع التعرض غير المقصود لتوجيه الشبكة وأمانها.
التفاصيل: استخدم Azure RBAC للتأكد من أن مجموعة الشبكات المركزية فقط هي التي تمتلك الإذن لموارد الشبكات.
أفضل الممارسات: تحديد وإصلاح الأجهزة الظاهرية المكشوفة التي تسمح بالوصول من "أي" عنوان IP مصدر.
التفاصيل: استخدم Microsoft Defender for Cloud. سيوصي Defender for Cloud بتقييد الوصول من خلال نقاط النهاية المواجهة للإنترنت إذا كان لدى أي من مجموعات أمان الشبكة قاعدة أو أكثر من القواعد الواردة التي تسمح بالوصول من "أي" عنوان IP مصدر. سيوصيك Defender for Cloud بتعديل القواعد الواردة هذه لتقييد الوصول إلى عناوين IP المصدر التي تحتاج حقاً للوصول.
أفضل الممارسات: تقييد منافذ الإدارة (RDP، SSH).
التفاصيل: يمكن استخدام الوصول في الوقت المناسب (JIT) VM لتأمين نسبة استخدام الشبكة الواردة إلى أجهزة Azure الظاهرية الخاصة بك، ما يقلل من التعرض للهجمات مع توفير وصول سهل للاتصال بأجهزة VM عندما بحاجة. عند تمكين JIT، يقوم Defender for Cloud بتأمين نسبة استخدام الشبكة الواردة إلى أجهزة Azure الظاهرية الخاصة بك عن طريق إنشاء قاعدة مجموعة أمان الشبكة. يمكنك تحديد المنافذ الموجودة على الجهاز الظاهري والتي سيتم تأمين نسبة استخدام الشبكة الواردة إليها. يتم التحكم في هذه المنافذ بواسطة حل JIT.
الخطوات التالية
راجع أفضل ممارسات وأنماط أمان Azure لمزيد من أفضل ممارسات الأمان لاستخدامها عند تصميم الحلول السحابية وتوزيعها وإدارتها باستخدام Azure.
تتوفر الموارد التالية لتوفير مزيد من المعلومات العامة حول أمان Azure وخدمات Microsoft ذات الصلة:
- مدونة فريق Azure Security - للحصول على معلومات محدثة عن أحدث إصدار في Azure Security
- Microsoft Security Response Center - حيث يمكن الإبلاغ عن الثغرات الأمنية من Microsoft، بما في ذلك المشكلات المتعلقة بـ Azure، أو عبر البريد الإلكتروني إلى secure@microsoft.com