نظرة عامة حول أمان Azure Virtual Machines
توفر هذه المقالة نظرة عامة حول ميزات أمان Azure الأساسية التي يمكن استخدامها مع الأجهزة الظاهرية.
يمكنك استخدام أجهزة Azure الظاهرية لتوزيع مجموعة واسعة من حلول الحوسبة بطريقة مرنة. تدعم الخدمة Microsoft Windows وLinux وMicrosoft SQL Server وOracle وIBM وSAP وAzure BizTalk Services. لذا يمكنك توزيع أي حمل عمل وأي لغة على أي نظام تشغيل تقريباً.
يمنحك الجهاز الظاهري Azure مرونة المحاكاة الظاهرية دون الحاجة إلى شراء وصيانة الأجهزة المادية التي تقوم بتشغيل الجهاز الظاهري. يمكنك إنشاء تطبيقاتك وتوزيعها مع ضمان حماية بياناتك وأمانها في مراكز بيانات عالية الأمان.
باستخدام Azure، يمكنك إنشاء حلول متوافقة ومحسّنة للأمان من شأنها:
- حماية أجهزتك الظاهرية من الفيروسات والبرامج الضارة.
- تشفير بياناتك الحساسة.
- تأمين حركة مرور الشبكة.
- تحديد واكتشاف التهديدات.
- تلبية متطلبات الامتثال.
مكافح البرامج الضارة
باستخدام Azure، يمكنك استخدام برامج مكافحة البرامج الضارة من موردي الأمان مثل Microsoft وSymantec وTrend Micro وKaspersky. يساعد هذا البرنامج على حماية أجهزتك الظاهرية من الملفات الضارة والبرامج الإعلانية والتهديدات الأخرى.
تعد Microsoft Antimalware لخدمات Azure Cloud Services والأجهزة الظاهرية قدرة حماية في الوقت الحقيقي تساعد في التعرف على الفيروسات وبرامج التجسس والبرامج الضارة الأخرى وإزالتها. يوفر Microsoft Antimalware for Azure تنبيهات قابلة للتكوين عندما تحاول البرامج الضارة أو غير المرغوب فيها تثبيت نفسها أو التشغيل على أنظمة Azure.
يعد Microsoft Antimalware for Azure حلاً منفرداً للتطبيقات وبيئات المستأجر. تم تصميمه للتشغيل في الخلفية دون تدخل بشري. يمكنك توزيع الحماية استناداً إلى احتياجات أحمال عمل التطبيق، إما من خلال التكوين الأساسي الآمن افتراضياً أو التكوين المخصص المتقدم، بما في ذلك مراقبة مكافحة البرامج الضارة.
تعرف على المزيد حول Microsoft Antimalware لـ Azure والميزات الأساسية المتوفرة.
تعرف على المزيد حول برامج مكافحة البرامج الضارة للمساعدة في حماية أجهزتك الظاهرية:
- نشر حلول لمكافحة البرامج الضارة على أجهزة Azure الظاهرية
- كيفية تثبيت وتكوين Trend Micro Deep Security كخدمة على Windows VM
- حلول الأمان في Azure Marketplace
لحماية أكثر قوة، ضع في اعتبارك استخدام Microsoft Defender لنقطة النهاية. باستخدام Defender لنقطة النهاية، يمكنك الحصول على:
- تقليل الأجزاء المعرضة للهجوم
- حماية من الجيل التالي
- حماية نقطة النهاية والاستجابة لها
- التحقيق والمعالجة التلقائية
- درجة الأمان
- الصيد المتقدم
- الإدارة وواجهات برمجة التطبيقات
- الحماية من التهديدات لـ Microsoft
تعرف على المزيد: بدء استخدام Microsoft Defender لنقطة النهاية
الوحدة النمطية لأمان الأجهزة
يمكن أن يؤدي تحسين أمان المفتاح إلى تعزيز حماية التشفير والمصادقة. يمكنك تبسيط إدارة وأمن بيانات سريتك ومفاتيحك المهمة من خلال تخزينها في Azure Key Vault.
يوفر Key Vault خيار تخزين المفاتيح الخاصة بك في وحدات أمان الأجهزة (HSMs) المعتمدة لمعايير FIPS 140 التي تم التحقق من صحتها . يمكن تخزين مفاتيح التشفير SQL Server للنسخ الاحتياطي أو تشفير البيانات الشفافة في Key Vault مع أي مفاتيح أو أسرار من تطبيقاتك. تتم إدارة الأذونات والوصول إلى هذه العناصر المحمية من خلال معرف Microsoft Entra.
اعرف المزيد:
تشفير قرص الجهاز الظاهري
يعد تشفير قرص Azure إمكانية جديدة لتشفير أقراص الجهاز الظاهري لنظامي التشغيل Windows وLinux. يستخدم تشفير قرص Azure ميزة BitLocker القياسية في Windows وميزة dm-crypt في Linux لتوفير تشفير وحدة التخزين لنظام التشغيل وأقراص البيانات.
يتم دمج الحل مع Azure Key Vault لمساعدتك على التحكم في مفاتيح تشفير القرص والبيانات السرية وإدارتها في اشتراك مخزن المفاتيح. إنه يضمن أن يتم تشفير جميع البيانات الموجودة في أقراص الجهاز الظاهري الثابتة في Azure Storage.
اعرف المزيد:
- تشفير قرص Azure لأجهزة Linux الظاهرية وتشفير قرص Azure لأجهزة Windows الظاهرية
- التشغيل السريع: تشفير جهاز Linux IaaS الظاهري باستخدام Azure PowerShell
النسخ الاحتياطي للجهاز الظاهري
يعد Azure Backup حلاً قابلاً للتطوير يساعد على حماية بيانات التطبيق الخاصة بك باستثمار صفري وتكاليف تشغيل أقل. يمكن أن تؤدي أخطاء التطبيق إلى إتلاف بياناتك، ويمكن أن تؤدي الأخطاء البشرية إلى إدخال أخطاء في تطبيقاتك. مع Azure Backup، تتم حماية الأجهزة الظاهرية التي تعمل بنظامي التشغيل Windows وLinux.
اعرف المزيد:
استرداد موقع Azure
يتمثل جزء مهم من إستراتيجية غرفة البحرين لتسوية المنازعات (BCDR) في مؤسستك في معرفة كيفية الحفاظ على أحمال عمل الشركة والتطبيقات قيد التشغيل عند حدوث حالات انقطاع مخطط لها وغير مخطط لها. يساعد Azure Site Recovery في تنظيم النسخ المتماثل وتجاوز الفشل واستعادة أحمال العمل والتطبيقات بحيث تكون متاحة من موقع ثانوي في حالة تعطل موقعك الأساسي.
استعادة الموقع:
- يبسط إستراتيجية BCDR الخاصة بك: يُسهل استرداد الموقع التعامل مع النسخ المتماثل وتجاوز الفشل واستعادة أحمال العمل والتطبيقات المتعددة للأعمال من مكان واحد. يقوم "استرداد الموقع" بتنسيق النسخ المتماثل وتجاوز الفشل ولكنه لا يعترض بيانات التطبيق أو يحتوي على أي معلومات عنها.
- يوفر نسخاً مرناً: باستخدام Site Recovery، يمكنك تكرار أحمال العمل التي تعمل على الأجهزة الظاهرية Hyper-V والأجهزة الظاهرية VMware وخوادم Windows/Linux الفعلية.
- دعم تجاوز الفشل والاسترداد: توفر ميزة "استرداد الموقع" اختبارات فشل لدعم تدريبات الإصلاح بعد كارثة دون التأثير على بيئات الإنتاج. يمكنك أيضاً تشغيل عمليات تجاوز الفشل المخطط لها مع فقدان البيانات الصفرية لحالات الانقطاع المتوقعة، أو حالات الفشل غير المخطط لها مع فقدان أقل للبيانات (اعتماداً على تكرار النسخ المتماثل) للكوارث غير المتوقعة. بعد تجاوز الفشل، قد تفشل في العودة إلى مواقعك الأساسية. يوفر Site Recovery خطط استرداد يمكن أن تتضمن برامج نصية ومصنفات Azure Automation بحيث يمكنك تخصيص تجاوز الفشل واسترداد التطبيقات متعددة المستويات.
- يزيل مراكز البيانات الثانوية: يمكنك النسخ المتماثل إلى موقع محلي ثانوي أو إلى Azure. يؤدي استخدام Azure كوجهة لاستعادة القدرة على الإصلاح بعد كارثة إلى التخلص من تكلفة صيانة موقع ثانوي وتعقيدها. يتم تخزين البيانات المنسوخة في Azure Storage.
- يتكامل مع تقنيات BCDR الحالية: يشترك استرداد الموقع مع ميزات BCDR للتطبيقات الأخرى. على سبيل المثال، يمكنك استخدام "استرداد الموقع" للمساعدة في حماية نهاية SQL Server الخلفية لأحمال عمل الشركة. يتضمن ذلك دعماً أصلياً لـ SQL Server Always On لإدارة تجاوز فشل مجموعات التوفر.
اعرف المزيد:
- ما هو Azure Site Recovery؟
- كيف تعمل خدمة استرداد موقع Azure؟
- ما أحمال العمل التي يحميها Azure Site Recovery؟
الشبكات الظاهرية
تحتاج الأجهزة الظاهرية إلى اتصال بالشبكة. لدعم هذا المطلب، يتطلب Azure أن تكون الأجهزة الظاهرية متصلة بـ Azure Virtual Network.
شبكة Azure الظاهرية هي بنية منطقية مبنية فوق نسيج شبكة Azure الفعلي. يتم عزل كل شبكة ظاهرية Azure المنطقية من كافة الشبكات الظاهرية الأخرى في Azure. يساعد هذا العزل على ضمان عدم إمكانية وصول عملاء Microsoft Azure الآخرين إلى نسبة استخدام الشبكة في عمليات التوزيع الخاصة بك.
اعرف المزيد:
- نظرة عامة على أمان شبكة Azure
- نظرة عامة على الشبكة الظاهرية
- ميزات الشبكات والشراكات لسيناريوهات المؤسسة
إدارة نهج الأمن وإعداد التقارير
يساعد Microsoft Defender for Cloud على منع التهديدات التي تواجهك واكتشافها والاستجابة لها. يمنحك Defender for Cloud رؤية أكبر والتحكم في أمان موارد Azure الخاصة بك. يوفر مراقبة أمنية متكاملة وإدارة النهج عبر اشتراكات Azure الخاصة بك. يساعد في الكشف عن التهديدات التي قد تمر دون أن يلاحظها أحد، ويعمل مع نظام بيئي واسع من الحلول الأمنية.
يساعدك Defender for Cloud على تحسين ومراقبة أمان أجهزتك الظاهرية من خلال:
- تقديم توصيات أمان للأجهزة الظاهرية. تتضمن التوصيات الأمثلة: تطبيق تحديثات النظام، وتكوين نقاط نهاية ACL، وتمكين مكافحة البرامج الضارة، وتمكين مجموعات أمان الشبكة، وتطبيق تشفير القرص.
- مراقبة حالة أجهزتك الظاهرية.
اعرف المزيد:
- مقدمة إلى Microsoft Defender for Cloud
- الأسئلة المتداولة حول Microsoft Defender for Cloud
- Microsoft Defender للتخطيط والعمليات السحابية
التوافق
تم اعتماد Azure Virtual Machines لـ FISMA وFederal Risk and Authorization Management Program وHIPAA وPCI DSS المستوى 1 وبرامج الامتثال الرئيسية الأخرى. تُسهل هذه الشهادة على تطبيقات Azure الخاصة بك تلبية متطلبات الامتثال، كما تسهل على عملك معالجة مجموعة واسعة من المتطلبات التنظيمية المحلية والدولية.
اعرف المزيد:
الحساب السري
في حين أن الحوسبة السرية ليست من الناحية الفنية جزءاً من أمان الجهاز الظاهري، فإن موضوع أمان الجهاز الظاهري ينتمي إلى موضوع المستوى الأعلى لأمان "الحوسبة". تنتمي الحوسبة السرية إلى فئة أمان "الحوسبة".
تضمن الحوسبة السرية أنه عندما تكون البيانات "في وضع واضح"، وهو أمر مطلوب للمعالجة الفعالة، فإن البيانات محمية داخل بيئة تنفيذ موثوقة https://en.wikipedia.org/wiki/Trusted_execution_environment (TEE - تُعرف أيضاً باسم الجيب)، ويظهر مثال على ذلك في الشكل أدناه.
تضمن TEEs عدم وجود طريقة لعرض البيانات أو العمليات الداخلية من الخارج، حتى مع وجود مصحح أخطاء. حتى أنهم يضمنون أن التعليمة البرمجية المصرح به هو الوحيد المسموح به للوصول إلى البيانات. إذا تم تغيير التعليمة البرمجية أو العبث به، فسيتم رفض العمليات وتعطيل البيئة. يفرض TEE هذه الحماية خلال تنفيذ التعليمة البرمجية بداخله.
اعرف المزيد:
الخطوات التالية
تعرف على أفضل ممارسات الأمان للأجهزة الظاهرية وأنظمة التشغيل.