Zásady zabezpečení a používání virtuálních počítačů v Azure
Platí pro: ✔️ Virtuální počítače s Windows s Linuxem ✔️ ✔️ – Flexibilní škálovací sady Uniform Scale Sets ✔️
Je důležité udržovat virtuální počítač zabezpečený pro aplikace, které spouštíte. Zabezpečení virtuálních počítačů může zahrnovat jednu nebo více služeb a funkcí Azure, které pokrývají zabezpečený přístup k vašim virtuálním počítačům a zabezpečenému úložišti vašich dat. Tento článek obsahuje informace, které umožňují udržovat virtuální počítač a aplikace zabezpečené.
antimalware
Moderní prostředí hrozeb pro cloudová prostředí je dynamické a zvyšuje tlak na zachování účinné ochrany, aby splňoval požadavky na dodržování předpisů a zabezpečení. Microsoft Antimalware pro Azure je bezplatná funkce ochrany v reálném čase, která pomáhá identifikovat a odstranit viry, spyware a další škodlivý software. Výstrahy můžete nakonfigurovat tak, aby vás informovaly, když se známý škodlivý nebo nežádoucí software pokusí nainstalovat nebo spustit na virtuálním počítači. Nepodporuje se na virtuálních počítačích s Linuxem nebo Windows Serverem 2008.
Microsoft Defender for Cloud
Microsoft Defender for Cloud pomáhá předcházet hrozbám virtuálním počítačům, zjišťovat je a reagovat na ně. Defender for Cloud poskytuje integrované monitorování zabezpečení a správu zásad napříč předplatnými Azure, pomáhá zjišťovat hrozby, které by jinak nemusely být nepovšimnuty, a funguje s širokým ekosystémem řešení zabezpečení.
Přístup za běhu v programu Defender for Cloud se dá použít napříč nasazením virtuálního počítače, aby se omezil příchozí provoz do virtuálních počítačů Azure, což snižuje riziko útoků a v případě potřeby poskytuje snadný přístup k virtuálním počítačům. Když je povolený přístup za běhu a uživatel požádá o přístup k virtuálnímu počítači, Defender for Cloud zkontroluje, jaká oprávnění má uživatel pro virtuální počítač. Pokud mají správná oprávnění, žádost se schválí a Defender for Cloud automaticky nakonfiguruje skupiny zabezpečení sítě (NSG) tak, aby umožňovaly příchozí provoz na vybrané porty po omezenou dobu. Po vypršení platnosti služby Defender for Cloud obnoví skupiny zabezpečení sítě do předchozích stavů.
Šifrování
Pro spravované disky se nabízejí dvě metody šifrování. Šifrování na úrovni operačního systému, což je Azure Disk Encryption, a šifrování na úrovni platformy, což je šifrování na straně serveru.
Šifrování na straně serveru
Spravované disky Azure automaticky šifrují vaše data ve výchozím nastavení při jejich zachování v cloudu. Šifrování na straně serveru chrání vaše data a pomáhá splnit závazky organizace týkající se zabezpečení a dodržování předpisů. Data ve spravovaných discích Azure se transparentně šifrují pomocí 256bitového šifrování AES, jednoho z nejsilnějších dostupných blokových šifer a je kompatibilní se standardem FIPS 140-2.
Šifrování nemá vliv na výkon spravovaných disků. Za šifrování nejsou žádné další náklady.
Pro šifrování spravovaného disku můžete spoléhat na klíče spravované platformou nebo můžete spravovat šifrování pomocí vlastních klíčů. Pokud se rozhodnete spravovat šifrování pomocí vlastních klíčů, můžete zadat klíč spravovaný zákazníkem, který se má použít k šifrování a dešifrování všech dat na spravovaných discích.
Další informace o šifrování na straně serveru najdete v článcích pro Windows nebo Linux.
Azure Disk Encryption
U vylepšených virtuálních počítačů s Windows a zabezpečení a dodržování předpisů virtuálních počítačů s Linuxem je možné virtuální disky v Azure zašifrovat. Virtuální disky na virtuálních počítačích s Windows se šifrují v klidovém stavu pomocí BitLockeru. Virtuální disky na virtuálních počítačích s Linuxem se šifrují v klidovém stavu pomocí dm-cryptu.
Za šifrování virtuálních disků v Azure se neúčtují žádné poplatky. Kryptografické klíče se ukládají ve službě Azure Key Vault pomocí softwarové ochrany nebo můžete importovat nebo generovat klíče v modulech hardwarového zabezpečení (HSM) certifikovaných pro ověřené standardy FIPS 140. Tyto kryptografické klíče slouží k šifrování a dešifrování virtuálních disků připojených k virtuálnímu počítači. Tyto kryptografické klíče si zachováte pod kontrolou a můžete je auditovat. Instanční objekt Microsoft Entra poskytuje zabezpečený mechanismus pro vydávání těchto kryptografických klíčů, protože virtuální počítače jsou zapnuté a vypnuté.
Key Vault a klíče SSH
Tajné kódy a certifikáty je možné modelovat jako prostředky a poskytovat je key Vault. Pomocí Azure PowerShellu můžete vytvořit trezory klíčů pro virtuální počítače s Windows a Azure CLI pro virtuální počítače s Linuxem. Můžete také vytvořit klíče pro šifrování.
Zásady přístupu trezoru klíčů uděluje oprávnění klíčům, tajným klíčům a certifikátům samostatně. Můžete tak například uživateli udělit přístup pouze ke klíčům, ale žádná oprávnění k tajným klíčům. Nicméně oprávnění pro přístup ke klíčům, tajným klíčům a certifikátům se nastavují na úrovni trezoru. Jinými slovy zásady přístupu trezoru klíčů nepodporují oprávnění na úrovni objektu.
Když se připojíte k virtuálním počítačům, měli byste k zajištění bezpečnějšího způsobu přihlášení použít kryptografii s veřejným klíčem. Tento proces zahrnuje výměnu veřejného a privátního klíče pomocí příkazu Secure Shell (SSH) k ověření sami sebe místo uživatelského jména a hesla. Hesla jsou zranitelná vůči útokům hrubou silou, zejména na internetových virtuálních počítačích, jako jsou webové servery. Pomocí páru klíčů SSH (Secure Shell) můžete vytvořit virtuální počítač s Linuxem, který k ověřování používá klíče SSH, a eliminovat tak nutnost přihlášení pomocí hesel. K připojení z virtuálního počítače s Windows k virtuálnímu počítači s Linuxem můžete použít také klíče SSH.
Spravované identity pro prostředky Azure
Běžnou výzvou při vytváření cloudových aplikací je, jak v kódu spravovat přihlašovací údaje pro ověřování u cloudových služeb. Zajištění zabezpečení těchto přihlašovacích údajů je důležitý úkol. V ideálním případě by se přihlašovací údaje nikdy neměly nacházet na vývojářských pracovních stanicích ani se vracet se změnami do správy zdrojového kódu. Azure Key Vault nabízí možnost bezpečného ukládání přihlašovacích údajů, tajných kódů a dalších klíčů, ale váš kód se musí ověřit ve službě Key Vault, aby je mohl načíst.
Tento problém řeší funkce spravovaných identit pro prostředky Azure v Microsoft Entra. Tato funkce poskytuje službám Azure automaticky spravovanou identitu v Microsoft Entra ID. Identitu můžete použít k ověření ve všech službách, které podporují ověřování Microsoft Entra, včetně služby Key Vault, bez jakýchkoli přihlašovacích údajů ve vašem kódu. Váš kód spuštěný na virtuálním počítači může požádat o token ze dvou koncových bodů, které jsou přístupné jenom z virtuálního počítače. Podrobnější informace o této službě najdete na stránce přehledu spravovaných identit pro prostředky Azure.
Zásady
Zásady Azure se dají použít k definování požadovaného chování virtuálních počítačů vaší organizace. Pomocí zásad může organizace vynucovat různé konvence a pravidla v celém podniku. Vynucení požadovaného chování může pomoct zmírnit riziko a zároveň přispět k úspěchu organizace.
Řízení přístupu na základě rolí Azure
Pomocí řízení přístupu na základě role v Azure (Azure RBAC) můžete oddělit povinnosti v rámci vašeho týmu a udělit uživatelům na virtuálním počítači jenom množství přístupu, které potřebují k provádění svých úloh. Místo toho, abyste všem udělili neomezená oprávnění k virtuálnímu počítači, můžete povolit jenom určité akce. Řízení přístupu pro virtuální počítač můžete nakonfigurovat na webu Azure Portal pomocí Azure CLI neboAzure PowerShellu.