Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tento článek popisuje osvědčené postupy zabezpečení pro virtuální počítače a operační systémy.
Osvědčené postupy vycházejí ze názorů a pracují s aktuálními možnostmi platformy Azure a sadami funkcí. Vzhledem k tomu, že se názory a technologie můžou v průběhu času měnit, bude tento článek aktualizován tak, aby odrážel tyto změny.
Ve většině scénářů infrastruktury jako služby (IaaS) jsou virtuální počítače Azure hlavními úlohami pro organizace, které používají cloud computing. This fact is evident in hybrid scenarios where organizations want to slowly migrate workloads to the cloud. V takových scénářích postupujte podle obecných aspektů zabezpečení pro IaaS a použijte osvědčené postupy zabezpečení pro všechny vaše virtuální počítače.
Ochrana virtuálních počítačů pomocí ověřování a řízení přístupu
Prvním krokem při ochraně virtuálních počítačů je zajistit, aby nové virtuální počítače a přístup k virtuálním počítačům mohli nastavovat jenom autorizovaní uživatelé.
Note
Pokud chcete zlepšit zabezpečení virtuálních počítačů s Linuxem v Azure, můžete se integrovat s ověřováním Microsoft Entra. Pokud používáte ověřování Microsoft Entra pro virtuální počítače s Linuxem, centrálně řídíte a vynucujete zásady, které povolují nebo zakazují přístup k virtuálním počítačům.
Best practice: Control VM access. Detail: Use Azure policies to establish conventions for resources in your organization and create customized policies. Apply these policies to resources, such as resource groups. Virtuální počítače, které patří do skupiny prostředků, dědí její zásady.
Pokud má vaše organizace mnoho předplatných, můžete potřebovat způsob, jak efektivně u těchto předplatných spravovat přístup, zásady a dodržování předpisů. Skupiny pro správu Azure poskytují úroveň správy pro účely nad rámec předplatných. Předplatná uspořádáte do skupin pro správu (kontejnerů) a na tyto skupiny použijete podmínky zásad správného řízení. Všechna předplatná ve skupině pro správu automaticky dědí podmínky aplikované na skupinu. Skupiny pro správu poskytují správu na podnikové úrovni ve velkém měřítku bez ohledu na to, jaké typy předplatného případně máte.
Best practice: Reduce variability in your setup and deployment of VMs. Detail: Use Azure Resource Manager templates to strengthen your deployment choices and make it easier to understand and inventory the VMs in your environment.
Best practice: Secure privileged access. Detail: Use a least privilege approach and built-in Azure roles to enable users to access and set up VMs:
- Přispěvatel virtuálních počítačů: Může spravovat virtuální počítače, ale ne virtuální síť nebo účet úložiště, ke kterému jsou připojené.
- Přispěvatel klasických virtuálních počítačů: Může spravovat virtuální počítače vytvořené pomocí modelu nasazení Classic, ale ne virtuální síť nebo účet úložiště, ke kterému jsou virtuální počítače připojené.
- Security Admin: In Defender for Cloud only: Can view security policies, view security states, edit security policies, view alerts and recommendations, dismiss alerts and recommendations.
- Uživatel DevTest Labs: Může zobrazit všechno a připojit se, spustit, restartovat a vypnout virtuální počítače.
Správci a spolusprávci předplatného můžou toto nastavení změnit, čímž se stanou administrátory všech virtuálních počítačů v rámci předplatného. Ujistěte se, že důvěřujete všem správcům a spolusprávcům svého předplatného, aby se mohli přihlašovat k libovolnému vašemu počítači.
Note
Doporučujeme konsolidovat virtuální počítače se stejným životním cyklem do stejné skupiny prostředků. Pomocí skupin prostředků můžete nasazovat, monitorovat a souhrnně sledovat fakturační náklady pro vaše prostředky.
Organizace, které řídí přístup k virtuálním počítačům a nastavují, zlepšují celkové zabezpečení virtuálních počítačů.
Použití škálovacích sad virtuálních počítačů pro zajištění vysoké dostupnosti
Pokud váš virtuální počítač spouští důležité aplikace, které potřebují vysokou dostupnost, důrazně doporučujeme používat škálovací sady virtuálních počítačů.
Škálovací sady virtuálních počítačů umožňují vytvářet a spravovat skupinu virtuálních počítačů s vyrovnáváním zatížení. Počet instancí virtuálních počítačů se může automaticky zvyšovat nebo snižovat v reakci na poptávku nebo podle určeného rozvrhu. Škálovací sady poskytují vašim aplikacím vysokou dostupnost a umožňují centrálně spravovat, konfigurovat a aktualizovat mnoho virtuálních počítačů. Pro samotnou škálovací sadu nejsou žádné náklady, platíte jenom za každou instanci virtuálního počítače, kterou vytvoříte.
Virtuální počítače ve škálovací sadě je možné nasadit také do několika zón dostupnosti, jedné zóny dostupnosti nebo regionálně.
Ochrana před malwarem
Měli byste nainstalovat antimalwarovou ochranu, která vám pomůže identifikovat a odstranit viry, spyware a další škodlivý software. You can install Microsoft Antimalware or a Microsoft partner's endpoint protection solution (Trend Micro, Broadcom, McAfee, Windows Defender, and System Center Endpoint Protection).
Microsoft Antimalware obsahuje funkce, jako je ochrana v reálném čase, plánovaná kontrola, náprava malwaru, aktualizace podpisů, aktualizace modulu, generování sestav ukázek a shromažďování událostí vyloučení. Pro prostředí hostovaná odděleně od produkčního prostředí můžete použít antimalwarové rozšíření, které pomáhá chránit vaše virtuální počítače a cloudové služby.
Microsoft Antimalware a partnerskou řešení můžete integrovat s Programem Microsoft Defender for Cloud , abyste usnadnili nasazení a předdefinované detekce (výstrahy a incidenty).
Best practice: Install an antimalware solution to protect against malware.
Detail: Install a Microsoft partner solution or Microsoft Antimalware
Best practice: Integrate your antimalware solution with Defender for Cloud to monitor the status of your protection.
Detail: Manage endpoint protection issues with Defender for Cloud
Správa aktualizací virtuálního počítače
Virtuální počítače Azure, stejně jako všechny místní virtuální počítače, mají být spravované uživatelem. Azure v nich nenabízí instalaci aktualizací Windows. Potřebujete spravovat aktualizace virtuálních počítačů.
Best practice: Keep your VMs current.
Detail: Use the Update Management solution in Azure Automation to manage operating system updates for your Windows and Linux computers that are deployed in Azure, in on-premises environments, or in other cloud providers. Můžete rychle vyhodnotit stav dostupných aktualizací na všech počítačích agenta a spravovat proces instalace požadovaných aktualizací pro servery.
Počítače spravované pomocí Update Managementu používají k provádění posuzovacích a aktualizačních nasazení následující konfigurace:
- Agent Microsoft Monitoring (MMA) pro Windows nebo Linux
- Konfiguraci požadovaného stavu (DSC) PowerShellu pro Linux
- Hybridní pracovník runbooku služby Automation
- Služby Microsoft Update nebo Windows Server Update Services (WSUS) pro počítače s Windows
Pokud používáte Windows Update, nechte nastavení automatických aktualizací povolené.
Best practice: Ensure at deployment that images you built include the most recent round of Windows updates.
Detail: Check for and install all Windows updates as a first step of every deployment. Tato míra je obzvláště důležitá při nasazování imagí, které pocházejí z vaší nebo vlastní knihovny. Přestože se image z Azure Marketplace ve výchozím nastavení aktualizují automaticky, může dojít ke zpoždění (až několik týdnů) po veřejném vydání.
Best practice: Periodically redeploy your VMs to force a fresh version of the OS.
Detail: Define your VM with an Azure Resource Manager template so you can easily redeploy it. Pomocí šablony získáte opravený a zabezpečený virtuální počítač, když ho potřebujete.
Best practice: Rapidly apply security updates to VMs.
Detail: Enable Microsoft Defender for Cloud (Free tier or Standard tier) to identify missing security updates and apply them.
Best practice: Install the latest security updates.
Detail: Some of the first workloads that customers move to Azure are labs and external-facing systems. Pokud vaše virtuální počítače Azure hostují aplikace nebo služby, které musí být přístupné pro internet, buďte opatrní ohledně oprav. Oprava nad rámec operačního systému Nepatchované chyby zabezpečení v partnerských aplikacích můžou také vést k problémům, kterým se můžete vyhnout, pokud je zavedená správná správa oprav.
Best practice: Deploy and test a backup solution.
Detail: A backup needs to be handled the same way that you handle any other operation. To platí pro systémy, které jsou součástí vašeho produkčního prostředí, které se rozšiřují do cloudu.
Testovací a vývojové systémy musí na základě zkušeností s místními prostředími dodržovat strategie zálohování, které poskytují možnosti obnovení podobné tomu, na co si uživatelé zvykli. Produkční úlohy přesunuté do Azure by se měly integrovat s existujícími řešeními zálohování, pokud je to možné. Or, you can use Azure Backup to help address your backup requirements.
Organizace, které nevynucují zásady aktualizace softwaru, jsou vystaveny hrozbám, které zneužívají známé, dříve opravené chyby zabezpečení. Aby byly společnosti v souladu s oborovými předpisy, musí prokázat, že jsou usilovné a používají správné kontrolní mechanismy zabezpečení, které pomáhají zajistit zabezpečení svých úloh umístěných v cloudu.
Osvědčené postupy aktualizace softwaru pro tradiční datové centrum a Azure IaaS mají mnoho podobností. Doporučujeme vyhodnotit aktuální zásady aktualizací softwaru tak, aby zahrnovaly virtuální počítače umístěné v Azure.
Správa stavu zabezpečení virtuálního počítače
Kybernetické hrozby se vyvíjejí. Ochrana virtuálních počítačů vyžaduje funkci monitorování, která dokáže rychle detekovat hrozby, zabránit neoprávněnému přístupu k vašim prostředkům, aktivovat výstrahy a snížit falešně pozitivní výsledky.
To monitor the security posture of your Windows and Linux VMs, use Microsoft Defender for Cloud. V defenderu pro cloud zabezpečte virtuální počítače pomocí následujících možností:
- Použijte nastavení zabezpečení operačního systému s doporučenými konfiguračními pravidly.
- Identifikujte a stáhněte zabezpečení systému a důležité aktualizace, které můžou chybět.
- Nasaďte doporučení pro antimalwarovou ochranu koncového bodu.
- Ověřte šifrování disku.
- Posouzení a odstranění zranitelností.
- Detect threats.
Defender for Cloud může aktivně monitorovat hrozby a potenciální hrozby jsou vystavené v výstrahách zabezpečení. Korelované hrozby se agregují v jednom zobrazení označovaného jako incident zabezpečení.
Defender for Cloud ukládá data do protokolů služby Azure Monitor. Protokoly služby Azure Monitor poskytují dotazovací jazyk a analytický modul, který vám poskytne přehled o provozu vašich aplikací a prostředků. Data is also collected from Azure Monitor, management solutions, and agents installed on virtual machines in the cloud or on-premises. Tyto sdílené funkce umožňují, abyste si vytvořili úplný přehled o vašem prostředí.
Organizace, které nevynucují silné zabezpečení virtuálních počítačů, si stále neuvědomují potenciální pokusy neoprávněných uživatelů o obcházení bezpečnostních prvků.
Monitorování výkonu virtuálního počítače
Zneužití prostředků může být problém, když procesy virtuálních počítačů spotřebovávají více prostředků, než by měly. Problémy s výkonem virtuálního počítače můžou vést k přerušení služeb, což porušuje princip zabezpečení dostupnosti. To je zvlášť důležité pro virtuální počítače, které hostují službu IIS nebo jiné webové servery, protože vysoké využití procesoru nebo paměti může znamenat útok doS (DoS). Je nezbytné monitorovat nejen přístup k virtuálním počítačům v době, kdy k problému dochází, ale také proaktivně proti základnímu výkonu měřeným během normálního provozu.
We recommend that you use Azure Monitor to gain visibility into your resource’s health. Funkce služby Azure Monitor:
- Soubory protokolu diagnostiky prostředků: Monitoruje prostředky virtuálních počítačů a identifikuje potenciální problémy, které by mohly ohrozit výkon a dostupnost.
- Rozšíření Azure Diagnostics: Poskytuje funkce monitorování a diagnostiky na virtuálních počítačích s Windows. Tyto funkce můžete povolit zahrnutím rozšíření do šablony Azure Resource Manageru.
Organizace, které nemonitorují výkon virtuálních počítačů, nemůžou určit, jestli jsou určité změny ve vzorech výkonu normální nebo neobvyklé. Virtuální počítač, který využívá více prostředků než obvykle, může značit útok z externího prostředku nebo ohroženého procesu spuštěného na virtuálním počítači.
Šifrování souborů virtuálního pevného disku
Doporučujeme zašifrovat vaše virtuální pevné disky (VHD), abyste chránili zaváděcí svazek i datové svazky uložené v úložišti, spolu s vašimi šifrovacími klíči a tajemstvími.
Azure Disk Encryption pro virtuální počítače s Linuxem a Azure Disk Encryption pro virtuální počítače s Windows pomáhá šifrovat disky virtuálních počítačů s Linuxem a Windows IaaS. Azure Disk Encryption uses the industry-standard DM-Crypt feature of Linux and the BitLocker feature of Windows to provide volume encryption for the OS and the data disks. Řešení je integrované se službou Azure Key Vault , které vám pomůže řídit a spravovat šifrovací klíče a tajné kódy disku v předplatném trezoru klíčů. Řešení také zajišťuje šifrování všech dat na discích virtuálního počítače v klidovém stavu ve službě Azure Storage.
Pro použití služby Azure Disk Encryption platí následující osvědčené postupy:
Best practice: Enable encryption on VMs.
Detail: Azure Disk Encryption generates and writes the encryption keys to your key vault. Správa šifrovacích klíčů ve vašem trezoru klíčů vyžaduje ověřování Microsoft Entra. Pro tento účel vytvořte aplikaci Microsoft Entra. Pro účely ověřování můžete použít ověřování založené na tajných klíčích klienta nebo ověřování Microsoft Entra založené na klientském certifikátu.
Best practice: Use a key encryption key (KEK) for an additional layer of security for encryption keys. Přidejte KEK do úložiště klíčů.
Detail: Use the Add-AzKeyVaultKey cmdlet to create a key encryption key in the key vault. KEK můžete také importovat z místního modulu hardwarového zabezpečení (HSM) pro správu klíčů. Další informace najdete v dokumentaci ke službě Key Vault. Když je zadán klíč pro šifrování klíčů, Azure Disk Encryption tento klíč použije k zabalení šifrovacích tajemství před zápisem do služby Key Vault. Uložení kopie tohoto klíče v místní správě klíčů hsM nabízí další ochranu před náhodným odstraněním klíčů.
Best practice: Take a snapshot and/or backup before disks are encrypted. Zálohy poskytují možnost obnovení, pokud během šifrování dojde k neočekávané chybě.
Detail: VMs with managed disks require a backup before encryption occurs. After a backup is made, you can use the Set-AzVMDiskEncryptionExtension cmdlet to encrypt managed disks by specifying the -skipVmBackup parameter. For more information about how to back up and restore encrypted VMs, see the Azure Backup article.
Best practice: To make sure the encryption secrets don’t cross regional boundaries, Azure Disk Encryption needs the key vault and the VMs to be located in the same region.
Detail: Create and use a key vault that is in the same region as the VM to be encrypted.
Při použití služby Azure Disk Encryption můžete splňovat následující obchodní potřeby:
- K zabezpečení virtuálních počítačů IaaS v nečinnosti se používá standardní oborová šifrovací technologie s cílem splnit požadavky na zabezpečení a dodržování předpisů.
- Virtuální počítače IaaS se spouštějí v rámci klíčů a zásad řízených zákazníkem a můžete auditovat jejich využití ve vašem trezoru klíčů.
Omezení přímého připojení k internetu
Monitorujte a omezte přímé připojení k internetu virtuálního počítače. Útočníci neustále skenují veřejné IP rozsahy cloudu, hledají otevřené porty pro správu a pokoušejí se o jednoduché útoky, jako jsou běžná hesla a známé nezáplatované zranitelnosti. Následující tabulka uvádí osvědčené postupy, které pomáhají chránit před těmito útoky:
Best practice: Prevent inadvertent exposure to network routing and security.
Detail: Use Azure RBAC to ensure that only the central networking group has permission to networking resources.
Best practice: Identify and remediate exposed VMs that allow access from “any” source IP address.
Detail: Use Microsoft Defender for Cloud. Defender for Cloud vám doporučí omezit přístup přes internetové koncové body, pokud některá z vašich skupin zabezpečení sítě má jedno nebo více příchozích pravidel, která povolují přístup z libovolné zdrojové IP adresy. Defender for Cloud will recommend that you edit these inbound rules to restrict access to source IP addresses that actually need access.
Best practice: Restrict management ports (RDP, SSH).
Detail: Just-in-time (JIT) VM access can be used to lock down inbound traffic to your Azure VMs, reducing exposure to attacks while providing easy access to connect to VMs when needed. Když je povolený JIT, Defender for Cloud uzamkne příchozí provoz do virtuálních počítačů Azure vytvořením pravidla skupiny zabezpečení sítě. Na virtuálním počítači vyberete porty, na které se zamkne příchozí provoz. Tyto porty řídí řešení JIT.
Next steps
Podívejte se na osvědčené postupy a vzory zabezpečení Azure, kde najdete další osvědčené postupy zabezpečení, které můžete použít při navrhování, nasazování a správě cloudových řešení pomocí Azure.
K dispozici jsou následující zdroje informací, které poskytují obecnější informace o zabezpečení Azure a souvisejících služby Microsoft:
- Blog týmu zabezpečení Azure – Aktuální informace o nejnovější verzi zabezpečení Azure
- Microsoft Security Response Center – kde můžou být nahlášená ohrožení zabezpečení Microsoftu, včetně problémů s Azure, nebo prostřednictvím e-mailu secure@microsoft.com