Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tento článek obsahuje přehled základních funkcí zabezpečení Azure pro virtuální počítače.
Azure Virtual Machines umožňuje nasadit širokou škálu výpočetních řešení agilním způsobem. Tato služba podporuje Microsoft Windows, Linux, Microsoft SQL Server, Oracle, IBM, SAP a Azure BizTalk Services. Do téměř jakéhokoli operačního systému můžete nasadit jakoukoli úlohu a libovolný jazyk.
Virtuální počítače Azure poskytují flexibilitu virtualizace bez nutnosti koupě a údržby fyzického hardwaru. Můžete vytvářet a nasazovat aplikace s jistotou, že jsou vaše data chráněná ve vysoce zabezpečených datacentrech.
S Azure můžete vytvářet řešení kompatibilní se zabezpečením, která:
- Ochrana virtuálních počítačů před viry a malwarem
- Šifrování citlivých dat
- Zabezpečení síťového provozu
- Identifikace a detekce hrozeb
- Splňte požadavky na dodržování předpisů
Ověřené spuštění
Důvěryhodné spuštění je výchozí pro nově vytvořené virtuální počítače Azure 2. generace a škálovací sady virtuálních počítačů. Důvěryhodné spuštění chrání před pokročilými a trvalými technikami útoku, včetně spouštěcích sad, rootkitů a malwaru na úrovni jádra.
Důvěryhodné spuštění poskytuje:
- Zabezpečené spouštění: Chrání před instalací rootkitů a spouštěcích sad založených na malwaru tím, že zajišťuje, že se můžou spouštět pouze podepsané operační systémy a ovladače.
- vTPM (virtual Trusted Platform Module): Vyhrazený zabezpečený trezor pro klíče a měření, který umožňuje poskytování důkazu a ověření integrity spouštěcího procesu.
- Monitorování integrity spouštění: Používá ověření identity prostřednictvím programu Microsoft Defender for Cloud k ověření integrity spouštěcího řetězce a upozornění na selhání.
Důvěryhodné spuštění je možné povolit na existujících virtuálních počítačích a škálovacích sadách virtuálních počítačů. Další informace najdete v tématu Důvěryhodné spuštění pro virtuální počítače Azure.
Důvěrné výpočetní operace
Důvěrné výpočetní prostředí Azure chrání data při používání prostřednictvím hardwarových důvěryhodných spouštěcích prostředí. Důvěrné virtuální počítače používají technologii AMD SEV-SNP k vytvoření hranice vynucené hardwarem mezi vaší aplikací a zásobníkem virtualizace.
Důvěrné virtuální počítače poskytují:
- Izolace založená na hardwaru: Mezi virtuálními počítači, hypervisorem a kódem pro správu hostitelů
- Důvěrné šifrování disku s operačním systémem: Vytvoří vazbu šifrovacích klíčů disku k čipu TPM virtuálního počítače, takže obsah disku bude přístupný jenom virtuálnímu počítači.
- Verze zabezpečeného klíče: Kryptografická vazba mezi ověřováním platformy a šifrovacími klíči virtuálního počítače
- Ověření identity: Přizpůsobitelné zásady pro zajištění dodržování předpisů hostitele před nasazením
Další informace najdete v tématu Důvěrné virtuální počítače Azure.
Azure Backup
Azure Backup je škálovatelné řešení, které chrání data aplikací s nulovou investicí do kapitálu a minimálními provozními náklady. Chyby aplikací můžou poškodit vaše data a lidské omyly zase můžou způsobit chyby v aplikacích. Díky službě Azure Backup jsou vaše virtuální počítače s Windows a Linuxem chráněné.
Azure Backup poskytuje nezávislé a izolované zálohy, které chrání před náhodným zničením dat. Zálohy jsou uloženy v trezoru služby Recovery Services s integrovanou správou bodů obnovení.
Další informace najdete v tématu Co je Azure Backup? a Nejčastější dotazy ke službě Azure Backup.
Azure Site Recovery
Azure Site Recovery pomáhá orchestrovat replikaci, převzetí služeb při selhání a obnovení úloh a aplikací, aby byly dostupné ze sekundárního umístění, pokud dojde k výpadku primárního umístění.
Obnovení webu:
- Zjednodušuje strategii BCDR: Usnadňuje zpracování replikace, převzetí služeb při selhání a obnovení několika obchodních úloh a aplikací z jednoho umístění.
- Poskytuje flexibilní replikaci: Replikace úloh spuštěných na Hyper-V virtuálních počítačích, virtuálních počítačích VMware a fyzických serverech s Windows/Linuxem
- Podporuje převzetí služeb při selhání a obnovení: Poskytuje testovací převzetí služeb při selhání pro postupy zotavení po havárii, aniž by to mělo vliv na produkční prostředí.
- Eliminuje sekundární datacentra: Replikace do Azure, odstranění nákladů a složitosti údržby sekundární lokality
Další informace najdete v tématu Co je Azure Site Recovery?, Jak Funguje Azure Site Recovery? a Jaké úlohy jsou chráněné službou Azure Site Recovery?.
Virtuální síť
Virtuální počítače vyžadují síťové připojení. Azure vyžaduje připojení virtuálních počítačů k virtuální síti Azure.
Virtuální síť Azure je logická konstrukce vytvořená nad fyzickou síťovou vrstvou Azure. Každá logická virtuální síť Azure je izolovaná od všech ostatních virtuálních sítí Azure. Tato izolace pomáhá zajistit, aby síťový provoz ve vašich nasazeních nebyl přístupný jiným zákazníkům Microsoft Azure.
Další informace najdete v tématu Přehled zabezpečení sítě Azure a Přehled služby Virtual Network.
Správa zásad zabezpečení
Microsoft Defender for Cloud pomáhá předcházet hrozbám, zjišťovat je a reagovat na ně. Defender for Cloud poskytuje lepší přehled o zabezpečení prostředků Azure a větší kontrolu nad nimi. Poskytuje integrované monitorování zabezpečení a správu zásad napříč předplatnými Azure.
Defender for Cloud pomáhá optimalizovat a monitorovat zabezpečení virtuálních počítačů pomocí:
- Poskytování doporučení zabezpečení pro virtuální počítače
- Monitorování stavu virtuálních počítačů
- Poskytování rozšířené ochrany před internetovými útoky v programu Microsoft Defender pro servery
Microsoft Defender pro servery zahrnuje:
- Integrace Microsoft Defenderu pro koncový bod pro detekci a odpověď koncového bodu
- Posouzení ohrožení zabezpečení pro identifikaci slabých míst zabezpečení
- Správně načasovaný přístup k virtuálnímu počítači pro snížení rizika útoku
- Monitorování integrity souborů za účelem zjištění změn důležitých souborů
- Adaptivní řízení aplikací pro schválené aplikace
Další informace najdete v tématu Úvod do programu Microsoft Defender for Cloud, Microsoft Defender for Servers a Microsoft Defender for Cloud – nejčastější dotazy.
Kompatibilita
Azure Virtual Machines je certifikovaný pro FISMA, FedRAMP, HIPAA, PCI DSS Level 1 a další klíčové programy dodržování předpisů. Tato certifikace usnadňuje vašim aplikacím Azure splnění požadavků na dodržování předpisů a pro vaši firmu, aby řešily vnitrostátní a mezinárodní zákonné požadavky.
Další informace najdete v Centru důvěryhodnosti Microsoft: Dodržování předpisů a dokumentaci k dodržování předpisů Azure.
Modul hardwarového zabezpečení
Azure Key Vault poskytuje zabezpečené úložiště pro klíče a tajné kódy. Key Vault nabízí možnost ukládat klíče do modulů hardwarového zabezpečení (HSM) certifikovaných pro standard FIPS 140.
Šifrovací klíče SQL Serveru pro zálohování nebo transparentní šifrování dat můžou být uložené ve službě Key Vault s libovolnými klíči nebo tajnými klíči z vašich aplikací. Oprávnění a přístup k těmto chráněným položkám se spravují prostřednictvím ID Microsoft Entra.
Další informace o správě klíčů Azure najdete v tématu Správa klíčů v Azure.
Další kroky
Seznamte se s osvědčenými postupy zabezpečení pro virtuální počítače a operační systémy.