إدارة الأمان في Azure

2024-09-03

قد يدير مشتركو Azure بيئاتهم السحابية من أجهزة متعددة، بما في ذلك محطات عمل الإدارة وأجهزة كمبيوتر المطور وحتى أجهزة المستخدم النهائي المميزة التي لديها أذونات خاصة بالمهمة. في بعض الحالات، يتم تنفيذ الوظائف الإدارية من خلال وحدات التحكم المستندة إلى الويب مثل مدخل Microsoft Azure. في حالات أخرى، قد تكون هناك اتصالات مباشرة ب Azure من الأنظمة المحلية عبر الشبكات الخاصة الظاهرية (VPNs) أو الخدمات الطرفية أو بروتوكولات تطبيق العميل أو (برمجيا) نموذج توزيع Azure الكلاسيكي. بالإضافة إلى ذلك، يمكن أن تكون نقاط نهاية العميل إما مرتبطة بالمجال أو معزولة وغير مدارة، مثل الأجهزة اللوحية أو الهواتف الذكية.

على الرغم من أن قدرات الوصول والإدارة المتعددة توفر مجموعة غنية من الخيارات، إلا أن هذا التغير يمكن أن يضيف مخاطر كبيرة إلى نشر السحابة. قد يكون من الصعب إدارة الإجراءات الإدارية وتعقبها ومراجعة حساباتها. قد يؤدي هذا التغير أيضًا إلى حدوث تهديدات أمنية من خلال الوصول غير المنظم إلى نقاط نهاية العميل المستخدمة لإدارة الخدمات السحابية. يؤدي استخدام محطات العمل العامة أو الشخصية لتطوير البنية الأساسية وإدارتها إلى فتح خطوط متجهة للمخاطر لا يمكن التنبؤ بها مثل استعراض الويب (على سبيل المثال، هجمات ثقب المياه) أو البريد الإلكتروني (على سبيل المثال، الهندسة الاجتماعية والتصيد الاحتيالي).

A diagram showing the different ways a threat could mount a attacks.

تزداد احتمالية الهجمات في هذا النوع من البيئة لأنه من الصعب إنشاء سياسات وآليات أمان لإدارة الوصول بشكل مناسب إلى واجهات Azure (مثل SMAPI) من نقاط نهاية متنوعة على نطاق واسع.

تهديدات الإدارة عن بعد

غالبًا ما يحاول المهاجمون الحصول على وصول متميز عن طريق المساس ببيانات اعتماد الحساب (على سبيل المثال، من خلال فرض كلمة المرور الغاشمة والتصيد الاحتيالي وجمع بيانات الاعتماد)، أو عن طريق خداع المستخدمين لتشغيل تعليمات برمجية ضارة (على سبيل المثال، من مواقع الويب الضارة مع تنزيلات بواسطة محرك الأقراص أو من مرفقات البريد الإلكتروني الضارة). في بيئة سحابية مدارة عن بعد، يمكن أن تؤدي خروقات الحساب إلى زيادة المخاطر بسبب الوصول في أي مكان وفي أي وقت.

حتى مع ضوابط صارمة على حسابات المسؤول الأساسي، يمكن استخدام حسابات المستخدمين ذات المستوى الأدنى لاستغلال نقاط الضعف في استراتيجية الأمان الخاصة بأحد المستخدمين. كما يمكن أن يؤدي الافتقار إلى التدريب الأمني المناسب إلى الخروقات من خلال الكشف العرضي أو الكشف عن معلومات الحساب.

عند استخدام محطة عمل المستخدم أيضا للمهام الإدارية، يمكن اختراقها في العديد من النقاط المختلفة. سواء كان المستخدم يتصفح الويب، أو يستخدم أدوات جهة خارجية أو مفتوحة المصدر، أو يفتح ملف مستند ضار يحتوي على حصان طروادة.

بشكل عام، يمكن تتبع معظم الهجمات المستهدفة التي تؤدي إلى خروقات البيانات إلى مآثر المستعرض والمكونات الإضافية (مثل Flash وPDF وJava) والتصيد الاحتيالي للرمح (البريد الإلكتروني) على أجهزة سطح المكتب. قد يكون لهذه الأجهزة أذونات على المستوى الإداري أو مستوى الخدمة للوصول إلى الخوادم المباشرة أو أجهزة الشبكة للعمليات عند استخدامها لتطوير الأصول الأخرى أو إدارتها.

أساسيات الأمان التشغيلي

لمزيد من الإدارة والعمليات الآمنة، يمكنك تقليل سطح هجوم العميل عن طريق تقليل عدد نقاط الإدخال المحتملة. ويمكن القيام بذلك من خلال المبادئ الأمنية: "الفصل بين الواجبات" و"الفصل بين البيئات".

عزل الوظائف الحساسة عن بعضها البعض لتقليل احتمال أن يؤدي الخطأ على مستوى واحد إلى خرق في مستوى آخر. أمثلة:

يجب عدم دمج المهام الإدارية مع الأنشطة التي قد تؤدي إلى حل وسط (على سبيل المثال، البرامج الضارة في البريد الإلكتروني للمسؤول والتي تصيب خادم البنية الأساسية).
لا ينبغي أن تكون محطة العمل المستخدمة لعمليات عالية الحساسية هي نفس النظام المستخدم لأغراض عالية المخاطر مثل استعراض الإنترنت.

تقليل سطح هجوم النظام عن طريق إزالة البرامج غير الضرورية. مثال:

لا يجب أن تتطلب محطة العمل القياسية الإدارية أو الدعم أو التطوير تثبيت عميل بريد إلكتروني أو تطبيقات إنتاجية أخرى إذا كان الغرض الرئيسي للجهاز هو إدارة الخدمات السحابية.

يجب أن تخضع أنظمة العملاء التي لديها وصول المسؤول إلى مكونات البنية الأساسية لأدق سياسة ممكنة لتقليل مخاطر الأمان. أمثلة:

يمكن أن تتضمن نهج الأمان إعدادات نهج المجموعة التي ترفض الوصول المفتوح إلى الإنترنت من الجهاز واستخدام تكوين جدار حماية مقيد.
استخدم الشبكات الظاهرية الخاصة بأمان بروتوكول الإنترنت (IPsec) إذا كانت هناك حاجة إلى الوصول المباشر.
تكوين مجالات Active Directory منفصلة للإدارة والتطوير.
عزل حركة مرور شبكة محطة عمل الإدارة وتصفيتها.
استخدام برامج مكافحة البرامج الضارة.
تنفيذ المصادقة متعددة العوامل لتقليل مخاطر بيانات الاعتماد المسروقة.

كما يعمل دمج موارد الوصول والقضاء على نقاط النهاية غير المدارة على تبسيط مهام الإدارة.

توفير الأمان لإدارة Azure عن بعد

يوفر Azure آليات أمان لمساعدة المسؤولين الذين يديرون خدمات سحابة Azure والأجهزة الظاهرية. تشمل هذه الآليات ما يلي:

المصادقة والتحكم في الوصول المستند إلى الدور Azure (Azure RBAC).
المراقبة، التسجيل، والتدقيق.
الشهادات والاتصالات المشفرة.
مدخل إدارة الويب.
تصفية حزمة الشبكة.

مع تكوين الأمان من جانب العميل ونشر مركز البيانات لبوابة إدارة، من الممكن تقييد ومراقبة وصول المسؤول إلى التطبيقات والبيانات السحابية.

إشعار

قد تؤدي بعض التوصيات الواردة في هذه المقالة إلى زيادة استخدام البيانات أو الشبكة أو حساب الموارد، وقد تزيد من تكاليف الترخيص أو الاشتراك.

محطة عمل متصلبة للإدارة

الهدف من تقوية محطة العمل هو القضاء على جميع الوظائف باستثناء الوظائف الأكثر أهمية المطلوبة لتشغيلها، ما يجعل الهجوم المحتمل على السطح صغيرا قدر الإمكان. يتضمن تصلب النظام تقليل عدد الخدمات والتطبيقات المثبتة، والحد من تنفيذ التطبيق، وتقييد الوصول إلى الشبكة إلى ما هو مطلوب فقط، والحفاظ دائما على النظام محدثا. علاوة على ذلك، يؤدي استخدام محطة عمل متشددة للإدارة إلى فصل الأدوات والأنشطة الإدارية عن مهام المستخدم النهائي الأخرى.

ضمن بيئة مؤسسة محلية، يمكنك الحد من سطح الهجوم للبنية الأساسية المادية الخاصة بك من خلال شبكات إدارة مخصصة وغرف خوادم لديها حق الوصول إلى البطاقة ومحطات العمل التي تعمل على المناطق المحمية من الشبكة. في نموذج تكنولوجيا المعلومات السحابي أو المختلط، يمكن أن يكون الاجتهاد بشأن خدمات الإدارة الآمنة أكثر تعقيدًا بسبب نقص الوصول الفعلي إلى موارد تكنولوجيا المعلومات. يتطلب تنفيذ حلول الحماية تكوينا دقيقا للبرامج والعمليات التي تركز على الأمان والسياسات الشاملة.

يمكن أن يؤدي استخدام بصمة برامج مصغرة أقل امتيازا في محطة عمل مؤمنة لإدارة السحابة وتطوير التطبيقات إلى تقليل مخاطر الحوادث الأمنية من خلال توحيد بيئات الإدارة والتطوير عن بعد. يمكن أن يساعد تكوين محطة العمل المتصلب في منع اختراق الحسابات المستخدمة لإدارة موارد السحابة الهامة عن طريق إغلاق العديد من الطرق الشائعة المستخدمة من قبل البرامج الضارة والمآثر. على وجه التحديد، يمكنك استخدام تقنية Windows AppLocker وHyper-V للتحكم في سلوك نظام العميل وعزله والتخفيف من التهديدات، بما في ذلك البريد الإلكتروني أو استعراض الإنترنت.

على محطة عمل متصلبة، يقوم المسؤول بتشغيل حساب مستخدم قياسي (الذي يحظر التنفيذ على المستوى الإداري) ويتم التحكم في التطبيقات المقترنة بواسطة قائمة السماح. العناصر الأساسية لمحطة العمل المتصلبة هي كما يلي:

المسح والتصحيح النشطين. نشر برامج الحماية من البرامج الضارة، وإجراء عمليات فحص منتظمة للثغرات الأمنية، وتحديث جميع محطات العمل باستخدام آخر تحديث أمان في الوقت المناسب.
وظائف محدودة. قم بإلغاء تثبيت أي تطبيقات غير مطلوبة وتعطيل الخدمات غير الضرورية (بدء التشغيل).
تصلب الشبكة. استخدم قواعد جدار حماية Windows للسماح فقط بعناوين IP والمنافذ وعناوين URL الصالحة المتعلقة بإدارة Azure. تأكد من حظر الاتصالات البعيدة الواردة إلى محطة العمل أيضا.
تقييد التنفيذ. السماح فقط بمجموعة من الملفات القابلة للتنفيذ المعرفة مسبقا المطلوبة لتشغيل الإدارة (يشار إليها باسم "الرفض الافتراضي"). بشكل افتراضي، يجب رفض إذن المستخدمين لتشغيل أي برنامج ما لم يتم تعريفه بشكل صريح في قائمة السماح.
أقل امتيازًا. يجب ألا يكون لدى مستخدمي محطة عمل الإدارة أي امتيازات إدارية على الجهاز المحلي نفسه. بهذه الطريقة، لا يمكنهم تغيير تكوين النظام أو ملفات النظام، إما عن قصد أو عن غير قصد.

يمكنك فرض كل هذا باستخدام كائنات نهج المجموعة (GPOs) في خدمات مجال Active Directory (AD DS) وتطبيقها من خلال مجال الإدارة (المحلي) الخاص بك على جميع حسابات الإدارة.

إدارة الخدمات والتطبيقات والبيانات

يتم تنفيذ تكوين خدمات سحابة Azure إما من خلال مدخل Microsoft Azure أو SMAPI، عبر واجهة سطر الأوامر Windows PowerShell أو تطبيق مصمم خصيصا يستفيد من واجهات RESTful هذه. تتضمن الخدمات التي تستخدم هذه الآليات معرف Microsoft Entra ومساحة تخزين Azure ومواقع Azure على الويب وشبكة Azure الظاهرية وغيرها.

توفر التطبيقات المنشورة من الجهاز الظاهري أدوات العميل والواجهات الخاصة بها حسب الحاجة، مثل وحدة تحكم إدارة Microsoft (MMC)، أو وحدة تحكم إدارة المؤسسة (مثل مركز نظام Microsoft أو Windows Intune)، أو تطبيق إدارة آخر Microsoft SQL Server Management Studio، على سبيل المثال. توجد هذه الأدوات عادة في بيئة مؤسسة أو شبكة عميل. قد تعتمد على بروتوكولات شبكة اتصال معينة، مثل بروتوكول سطح المكتب البعيد (RDP)، التي تتطلب اتصالات مباشرة ذات حالة. قد يكون لدى بعضها واجهات ممكنة على الويب لا ينبغي نشرها أو الوصول إليها بشكل مفتوح عبر الإنترنت.

يمكنك تقييد الوصول إلى إدارة البنية الأساسية وخدمات النظام الأساسي في Azure باستخدام المصادقة متعددة العوامل وشهادات إدارة X.509 وقواعد جدار الحماية. يتطلب مدخل Microsoft Azure وSMAPI أمان طبقة النقل (TLS). ومع ذلك، تتطلب منك الخدمات والتطبيقات التي تنشرها في Azure اتخاذ تدابير حماية مناسبة بناء على التطبيق الخاص بك. يمكن تمكين هذه الآليات بشكل متكرر بسهولة أكبر من خلال تكوين محطة عمل موحدة متشددة.

إرشادات الأمان

بشكل عام، المساعدة على تأمين محطات عمل المسؤول لاستخدامها مع السحابة مشابهة للممارسات المستخدمة لأي محطة عمل محلية. على سبيل المثال، أذونات الإنشاء والتقييدية المصغرة. بعض الجوانب الفريدة لإدارة السحابة أقرب إلى إدارة المؤسسة عن بعد أو خارج النطاق. وتشمل هذه استخدام بيانات الاعتماد والتدقيق فيها، والوصول عن بعد المحسن أمنيا، والكشف عن التهديدات والاستجابة لها.

المصادقة

يمكنك استخدام قيود تسجيل الدخول إلى Azure لتقييد عناوين IP المصدر للوصول إلى الأدوات الإدارية وتدقيق طلبات الوصول. لمساعدة Azure على تحديد عملاء الإدارة (محطات العمل و/أو التطبيقات)، يمكنك تكوين كل من SMAPI (عبر أدوات مطورة من قبل العميل مثل Windows PowerShell cmdlets) ومدخل Microsoft Azure لطلب تثبيت شهادات الإدارة من جانب العميل، بالإضافة إلى شهادات TLS/SSL. نوصي أيضًا بأن يتطلب وصول المسؤول مصادقة متعددة العوامل.

قد يكون لبعض التطبيقات أو الخدمات التي تنشرها في Azure آليات المصادقة الخاصة بها لكل من وصول المستخدم النهائي والمسؤول، بينما يستفيد البعض الآخر استفادة كاملة من معرف Microsoft Entra. اعتمادا على ما إذا كنت تعمل على توحيد بيانات الاعتماد عبر خدمات الأمان المشترك لـ Active Directory (AD FS)، أو استخدام مزامنة الدليل أو الحفاظ على حسابات المستخدمين فقط في السحابة، يساعدك استخدام Microsoft Identity Manager (جزء من Microsoft Entra ID P1 أو P2) على إدارة دورات حياة الهوية بين الموارد.

قابلية التوصيل

تتوفر العديد من الآليات للمساعدة في تأمين اتصالات العميل بشبكات Azure الظاهرية. تتيح اثنتان من هذه الآليات، VPN من موقع إلى موقع (S2S) وVP2S من نقطة إلى موقع (P2S)، استخدام IPsec (S2S) القياسي للصناعة للتشفير والنفق. عندما يتصل Azure بإدارة خدمات Azure العامة مثل مدخل Microsoft Azure، يتطلب Azure أمان بروتوكول نقل النص التشعبي (HTTPS).

يجب أن تستخدم محطة العمل المتصلبة المستقلة التي لا تتصل ب Azure من خلال بوابة RD VPN المستندة إلى نقطة إلى موقع SSTP لإنشاء الاتصال الأولي بشبكة Azure الظاهرية، ثم إنشاء اتصال RDP بالأجهزة الظاهرية الفردية من مع نفق VPN.

تدقيق الإدارة مقابل إنفاذ النهج

عادة ما يكون هناك نهجان للمساعدة في تأمين عمليات الإدارة: التدقيق وإنفاذ النهج. يوفر القيام بكليهما ضوابط شاملة، ولكن قد لا يكون ممكنا في جميع الحالات. بالإضافة إلى ذلك، لكل نهج مستويات مختلفة من المخاطر والتكلفة والجهد المرتبط بإدارة الأمان، خاصة فيما يتعلق بمستوى الثقة الموضوعة في كل من الأفراد وبنى النظام.

توفر المراقبة والتسجيل والتدقيق أساسا لتعقب وفهم الأنشطة الإدارية، ولكن قد لا يكون من الممكن دائما مراجعة جميع الإجراءات بالتفصيل الكامل بسبب كمية البيانات التي تم إنشاؤها. ومع ذلك، فإن تدقيق فعالية سياسات الإدارة هو أفضل الممارسات.

يضع إنفاذ النهج الذي يتضمن ضوابط الوصول الصارمة آليات برمجية يمكن أن تحكم إجراءات المسؤول، ويساعد على ضمان استخدام جميع تدابير الحماية المحتملة. يوفر التسجيل دليلا على الإنفاذ، بالإضافة إلى سجل بمن فعل ما، ومن أين ومتى. يتيح لك التسجيل أيضا التدقيق والتحقق من المعلومات حول كيفية اتباع المسؤولين للنهج، ويوفر دليلا على الأنشطة

تكوين العميل

نوصي بثلاثة تكوينات أساسية لمحطة عمل متصلبة. أكبر المفاضلات بينهما هي التكلفة وسهولة الاستخدام وإمكانية الوصول، مع الحفاظ على ملف تعريف أمان مماثل عبر جميع الخيارات. يوفر الجدول التالي تحليلا قصيرا للفوائد والمخاطر لكل منها. (لاحظ أن "كمبيوتر الشركة" يشير إلى تكوين كمبيوتر سطح المكتب القياسي الذي سيتم نشره لجميع مستخدمي المجال، بغض النظر عن الأدوار.)

التكوين	المزايا	العيوب
محطة عمل مستقلة متصلبة	محطة عمل خاضعة لرقابة مشددة	تكلفة أعلى لأسطح المكتب المخصصة
-	تقليل مخاطر استغلال التطبيق	زيادة جهود الإدارة
-	الفصل الواضح بين الواجبات	-
كمبيوتر الشركة كجهة ظاهرية	خفض تكاليف الأجهزة	-
-	الفصل بين الأدوار والتطبيقات	-

من المهم أن تكون محطة العمل المتصلبة هي المضيف وليس الضيف، مع عدم وجود أي شيء بين نظام التشغيل المضيف والأجهزة. اتباع "مبدأ المصدر النظيف" (المعروف أيضا باسم "الأصل الآمن") يعني أن المضيف يجب أن يكون الأكثر تصلبا. وإلا، فإن محطة العمل المتصلبة (الضيف) تتعرض لهجمات على النظام الذي تستضيفه.

يمكنك المزيد من فصل الوظائف الإدارية من خلال صور النظام المخصصة لكل محطة عمل متصلبة تحتوي فقط على الأدوات والأذونات اللازمة لإدارة تطبيقات Azure والسحابة المحددة، مع عناصر نهج المجموعة AD DS المحلية المحددة للمهام الضرورية.

بالنسبة لبيئات تكنولوجيا المعلومات التي لا تحتوي على بنية أساسية محلية (على سبيل المثال، لا يوجد وصول إلى مثيل AD DS محلي لـ GPOs لأن جميع الخوادم موجودة في السحابة)، يمكن لخدمة مثل Microsoft Intune تبسيط توزيع تكوينات محطة العمل وصيانتها.

محطة عمل مستقلة متصلبة للإدارة

مع محطة عمل متصلبة مستقلة، يكون لدى المسؤولين كمبيوتر شخصي أو كمبيوتر محمول يستخدمونه للمهام الإدارية وجهاز كمبيوتر شخصي آخر منفصل أو كمبيوتر محمول للمهام غير الإدارية. في سيناريو محطة العمل المتصلبة المستقل (الموضح أدناه)، يتم تكوين المثيل المحلي لجدار حماية Windows (أو جدار حماية عميل غير خاص بـ Microsoft) لحظر الاتصالات الواردة، مثل RDP. يمكن للمسؤول تسجيل الدخول إلى محطة العمل المتصلبة وبدء جلسة RDP التي تتصل ب Azure بعد إنشاء اتصال VPN بشبكة Azure الظاهرية، ولكن لا يمكنه تسجيل الدخول إلى كمبيوتر شركة واستخدام RDP للاتصال بمحطة العمل المتصلبة نفسها.

A diagram showing the stand-alone hardened workstation scenario.

كمبيوتر الشركة كجهة ظاهرية

في الحالات التي تكون فيها محطة العمل المستقلة المتصلبة باهظة التكلفة أو غير مريحة، يمكن لمحطة العمل المتصلبة استضافة جهاز ظاهري لتنفيذ مهام غير إدارية.

A diagram showing the hardened workstation hosting a virtual machine to perform non-administrative tasks.

لتجنب العديد من المخاطر الأمنية التي يمكن أن تنشأ من استخدام محطة عمل واحدة لإدارة الأنظمة ومهام العمل اليومية الأخرى، يمكنك نشر جهاز ظاهري Windows Hyper-V إلى محطة العمل المتصلبة. يمكن استخدام هذا الجهاز الظاهري ككمبيوتر الشركة. يمكن أن تظل بيئة الكمبيوتر الخاص بالشركة معزولة عن المضيف، ما يقلل من سطح الهجوم ويزيل الأنشطة اليومية للمستخدم (مثل البريد الإلكتروني) من التعايش مع المهام الإدارية الحساسة.

يعمل الجهاز الظاهري للكمبيوتر الخاص بالشركة في مساحة محمية ويوفر تطبيقات المستخدم. يبقى المضيف "مصدر نظيف" ويفرض نهج شبكة صارمة في نظام التشغيل الجذر (على سبيل المثال، حظر وصول RDP من الجهاز الظاهري).

أفضل الممارسات

ضع في اعتبارك الإرشادات الإضافية التالية عند إدارة التطبيقات والبيانات في Azure.

افعل ولا تفعل

لا تفترض أنه بسبب تأمين محطة عمل، لا تحتاج متطلبات الأمان الشائعة الأخرى إلى الوفاء بها. تكون المخاطر المحتملة أعلى بسبب مستويات الوصول المرتفعة التي تمتلكها حسابات المسؤول بشكل عام. يتم عرض أمثلة على المخاطر وممارساتها الآمنة البديلة في الجدول أدناه.

ما لا يجب فعله	الإجراءات الواجب فعلها
لا تقم باستخدام بيانات اعتماد البريد الإلكتروني لوصول المسؤول أو البيانات السرية الأخرى (على سبيل المثال، TLS/SSL أو شهادات الإدارة)	الحفاظ على السرية من خلال تسليم أسماء الحسابات وكلمات المرور عن طريق الصوت (ولكن ليس تخزينها في البريد الصوتي)، أو إجراء تثبيت عن بعد لشهادات العميل/الخادم (عبر جلسة مشفرة)، أو التنزيل من مشاركة شبكة محمية، أو التوزيع يدويا عبر الوسائط القابلة للإزالة.
-	إدارة دورات حياة شهادة الإدارة بشكل استباقي.
لا تخزن كلمات مرور الحساب غير مشفرة أو غير متجزئة في تخزين التطبيق (كما هو الحال في جداول البيانات أو مواقع SharePoint أو مشاركات الملفات).	إنشاء مبادئ إدارة الأمان ونهج تقوية النظام، وتطبيقها على بيئة التطوير الخاصة بك.
لا تشارك الحسابات وكلمات المرور بين المسؤولين، أو أعد استخدام كلمات المرور عبر حسابات مستخدمين أو خدمات متعددة، خاصة تلك الخاصة بالوسائط الاجتماعية أو الأنشطة الأخرى غير المسؤولة.	إنشاء حساب Microsoft مخصص لإدارة اشتراك Azure، وهو حساب غير مستخدم للبريد الإلكتروني الشخصي.
لا ترسل ملفات تكوين البريد الإلكتروني.	يجب تثبيت ملفات التكوين وملفات التعريف من مصدر موثوق به (على سبيل المثال، محرك أقراص USB محمول مشفر)، وليس من آلية يمكن اختراقها بسهولة، مثل البريد الإلكتروني.
لا تستخدم كلمات مرور ضعيفة أو بسيطة لتسجيل الدخول.	فرض نهج كلمة المرور القوية ودورات انتهاء الصلاحية (التغيير عند الاستخدام الأول) ومهلات وحدة التحكم وتأمين الحساب التلقائي. استخدم نظام إدارة كلمة مرور العميل مع مصادقة متعددة العوامل للوصول إلى مخزن كلمة المرور.
لا تعرض منافذ الإدارة على الإنترنت.	تأمين منافذ Azure وعناوين IP لتقييد وصول الإدارة.
-	استخدم جدران الحماية والشبكات الظاهرية الخاصة وN NAP لجميع اتصالات الإدارة.

عمليات Azure

ضمن تشغيل Microsoft ل Azure، يستخدم مهندسو العمليات وموظفو الدعم الذين يصلون إلى أنظمة إنتاج Azure أجهزة كمبيوتر محطة عمل متصلبة مع أجهزة ظاهرية تم توفيرها لهم للوصول الداخلي إلى شبكة الشركة وتطبيقاتها (مثل البريد الإلكتروني والإنترانت وما إلى ذلك). تحتوي جميع أجهزة كمبيوتر محطة العمل الإدارية على TPMs، ويتم تشفير محرك أقراص التمهيد المضيف باستخدام BitLocker، ويتم ربطها بوحدة تنظيمية خاصة (OU) في مجال الشركة الأساسي ل Microsoft.

يتم فرض تصلب النظام من خلال نهج المجموعة، مع تحديث البرامج المركزية. للتدقيق والتحليل، يتم جمع سجلات الأحداث (مثل الأمان وAppLocker) من محطات عمل الإدارة وحفظها في موقع مركزي.

بالإضافة إلى ذلك، يتم استخدام مربعات الانتقال المخصصة على شبكة Microsoft التي تتطلب مصادقة ثنائية للاتصال بشبكة إنتاج Azure.

قائمة التحقق من الأمان

يساعد تقليل عدد المهام التي يمكن للمسؤولين تنفيذها على محطة عمل متصلبة على تقليل سطح الهجوم في بيئة التطوير والإدارة. استخدم التقنيات التالية للمساعدة في حماية محطة العمل المحصنة:

متصفح الويب هو نقطة إدخال رئيسية للتعليمات البرمجية الضارة بسبب تفاعلاته الواسعة مع الخوادم الخارجية. راجع نهج العميل وفرض التشغيل في الوضع المحمي، وتعطيل الوظائف الإضافية، وتعطيل تنزيلات الملفات. تأكد من عرض تحذيرات الأمان. استفد من مناطق الإنترنت وأنشئ قائمة بالمواقع الموثوق بها التي قمت بتكوين تصلب معقول لها. حظر جميع المواقع الأخرى والرمز داخل المستعرض، مثل ActiveX وJava.
المستخدم القياسي. يؤدي التشغيل كمستخدم قياسي إلى تحقيق عدد من المزايا، أكبرها أن سرقة بيانات اعتماد المسؤول عبر البرامج الضارة تصبح أكثر صعوبة. بالإضافة إلى ذلك، لا يحتوي حساب المستخدم القياسي على امتيازات مرتفعة على نظام التشغيل الجذر، ويتم تأمين العديد من خيارات التكوين وواجهات برمجة التطبيقات بشكل افتراضي.
توقيع التعليمات البرمجية. يوفر توقيع التعليمات البرمجية جميع الأدوات والبرامج النصية المستخدمة من قبل المسؤولين آلية قابلة للإدارة لنشر نهج تأمين التطبيق. لا تتوسع التجزئة مع التغييرات السريعة على التعليمات البرمجية، ولا توفر مسارات الملفات مستوى عاليا من الأمان. تعيين نهج تنفيذ PowerShell لأجهزة كمبيوتر Windows.
نهج المجموعة. إنشاء نهج إداري عمومي يتم تطبيقه على أي محطة عمل مجال تستخدم للإدارة (وحظر الوصول من جميع الآخرين)، وعلى حسابات المستخدمين المصادق عليها على محطات العمل هذه.
توفير محسن للأمان. حماية صورة محطة العمل الأساسية المحصنة للمساعدة في الحماية من العبث. استخدم تدابير الأمان مثل التشفير والعزل لتخزين الصور والأجهزة الظاهرية والبرامج النصية وتقييد الوصول (ربما استخدم عملية إيداع/سحب قابلة للتدقيق).
التصحيح. الحفاظ على بنية متسقة (أو الحصول على صور منفصلة للتطوير والعمليات والمهام الإدارية الأخرى)، والفحص بحثا عن التغييرات والبرامج الضارة بشكل روتيني، والحفاظ على تحديث البنية، وتنشيط الأجهزة فقط عند الحاجة إليها.
الإدارة. استخدم AD DS GPOs للتحكم في جميع واجهات Windows للمسؤولين، مثل مشاركة الملفات. تضمين محطات عمل الإدارة في عمليات التدقيق والمراقبة والتسجيل. تعقب جميع وصول المسؤول والمطور واستخدامه.

الملخص

يمكن أن يساعدك استخدام تكوين محطة عمل متشددة لإدارة خدمات سحابة Azure والأجهزة الظاهرية والتطبيقات على تجنب العديد من المخاطر والتهديدات التي يمكن أن تأتي من إدارة البنية الأساسية الهامة تكنولوجيا المعلومات عن بعد. يوفر كل من Azure وWindows آليات يمكنك استخدامها للمساعدة في حماية الاتصالات والمصادقة وسلوك العميل والتحكم فيها.

الخطوات التالية

تتوفر الموارد التالية لتوفير مزيد من المعلومات العامة حول Azure خدمات Microsoft ذات الصلة:

تأمين الوصول المتميز - احصل على التفاصيل التقنية لتصميم وبناء محطة عمل إدارية آمنة لإدارة Azure
مركز توثيق Microsoft - تعرف على قدرات النظام الأساسي لـ Azure التي تحمي نسيج Azure وأحمال العمل التي تعمل على Azure
Microsoft Security Response Center - حيث يمكن الإبلاغ عن الثغرات الأمنية من Microsoft، بما في ذلك المشكلات المتعلقة بـ Azure، أو عبر البريد الإلكتروني إلى secure@microsoft.com